Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Het is een verklaring waarin je uitlegt aan je klanten hoe jouw bedrijf omgaat met zijn persoonlijke gegevens. We zien in 2020 nog steeds privacyverklaringen op websites staan, vol met moeilijke (juridische) taal. Dat kan simpeler.
Beknopt, transparant en begrijpelijk
Een goede privacyverklaring- of statement is beknopt, transparant en begrijpelijk. Gebruik daarom duidelijke en eenvoudige taal. Dat betekent onder meer: kort en bondig, vermijd vaktermen en verplaats jezelf in de lezer. Schrijf zo veel mogelijk in taalniveau B2. Met andere woorden, iedereen moet het kunnen lezen en begrijpen.
Als een organisatie zich richt op kinderen onder de 16 moet je de woordkeuze, toon en stijl van de informatie aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze de informatie ook daadwerkelijk kunnen begrijpen.
Een goed voorbeeld van een ijzersterke privacyverklaring vind je op crypt.ee. Deze privacyverklaring laat het verschil zien tussen een -voor de meeste mensen- onbegrijpelijk stuk tekst (for lawyers) en een duidelijke privacyverklaring (for humans).
Met welk doel verwerk je gegevens?
Maak duidelijk met welk doel persoonlijke gegevens worden verwerkt. Denk dan aan zaken als ‘het uitvoeren van de koopovereenkomst’ of ‘beveiliging en optimalisering van de website’ (bijvoorbeeld het vastleggen van IP-adressen). Elk doeleinde moet apart worden vermeld, met daarbij de verwerkingsgrondslag.
Als klanten bijvoorbeeld op een lijst voor nieuwsbrieven geplaatst worden, moeten ze daar expliciet toestemming voor gegeven hebben. Ook moet er in elke nieuwsbrief staan hoe men er weer vanaf komt. Vraag dus altijd toestemming.
Maak je privacyverklaring goed vindbaar
Ok, je hebt een begrijpelijke privacyverklaring. Verstop hem dan niet ergens in de kerkers van je site, maar presenteer je verklaring met trots. Een goede privacyverklaring straalt namelijk transparantie en (privacy)vriendelijkheid uit.
FAQ
Veel Gestelde Vragen en Antwoorden over AVG
Onder de Algemene verordening gegevensbescherming (AVG) heb je een informatieplicht. Dat betekent dat je verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat je met hun persoonsgegevens doet en waarom. In de praktijk is een online privacyverklaring de handigste manier om hier aan te voldoen.
Een privacy statement is wettelijk verplicht voor elke website die persoonsgegevens van bezoekers gebruikt. U moet in het statement aangeven welke privacygevoelige gegevens u verzamelt en met welk doel. De informatieverstrekking bij het verkrijgen van persoonsgegevens rechtstreeks van de betrokkene is in de AVG specifieker en uitgebreider dan die was in de Wbp.
Een privacy statement moet voor klanten makkelijk te vinden. Als klanten op uw website via een digitaal bestelproces producten kunnen bestellen, dan is sterk aan te raden om het privacy statement (naast uw algemene voorwaarden) een “af te vinken” onderdeel van dit proces te laten zijn.
- Recht op inzage. Dat is het recht van mensen om onder meer een kopie te ontvangen van de persoonsgegevens die je van hen verwerkt. De Autoriteit Persoonsgegevens (AP) biedt je een voorbeeldoverzicht.
- Recht op vergetelheid. Mensen hebben het recht om ‘vergeten’ te worden. Maar wist je dat u vaak niet alle persoonsgegevens kunt wissen?
- Recht op rectificatie en aanvulling.
- Het recht om de persoonsgegevens die je verwerkt te laten wijzigen.
Het recht op dataportabiliteit. - Het recht om persoonsgegevens over te laten dragen aan een andere partij.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken tegen de gegevensverwerking.
- Ten slotte hebben mensen recht op duidelijke informatie over wat je met hun persoonsgegevens doet. Onder de AVG moet je aan een aantal specifieke eisen voldoen.
- De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van je vertegenwoordiger in de EU;
- De contactgegevens van de FG (functionaris gegevensbescherming) als je die hebt.
- De doeleinden en rechtsgrond van de verwerking, en als je jezelf beroept op een gerechtvaardigd belang: op welk belang je jezelf beroept.
- De (categorieën van) ontvangers van de persoonsgegevens.
- Of je van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond.
- De bewaartermijn van de gegevens.
- De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering.
- Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
- Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
- Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
- Of je gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe je besluiten neemt.
- Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.
Er zijn 3 soorten cookies:
1. Functionele cookies
2. Analytische cookies
3. Tracking cookies (marketing cookies)
Wat je sowieso altijd moet hebben is een privacy statement en cookie verklaring waarin je aangeeft hoe je omgaat met gegevens, welke je bewaart en welke cookies je plaatst.
Als je geen tracking cookies gebruikt en dus alleen gebruik maakt van analytische en functionele cookies heb je niet per se een cookiemelding nodig. Je moet er dan echter wel voor zorgen dat de gegevens van je bezoekers anoniem zijn. Dit doe je door:
- In Google Analytics aan te geven dat je de gegevens van je bezoekers niet met Google wilt delen. Dit doe je bij ‘Beheer’ > ‘Accountinstellingen’.
- Je laat een code toevoegen aan het Analytics script in je website die het IP-adres anonimiseert.
Maak je gebruik van tracking cookies? Dan moet je een cookiemelding plaatsen waarbij bezoekers aan kunnen geven welke cookies je wel en niet mag plaatsen. Dit betekent dat je de cookies dus pas mag plaatsen zodra de bezoeker middels een cookieverklaring (vaak een pop-up) op akkoord heeft geklikt. Een vooraf met ‘ja’ aangevinkt hokje wanneer de gebruiker om akkoord wordt gevraagd mag daarom niet. Ook stilzwijgen, inactiviteit of omlaag scrollen of variaties op ‘u gaat akkoord als u verder gaat op deze website’ zijn niet toegestaan.
Met tracking cookies worden doorgaans persoonsgegevens verwerkt. Als bedrijven mensen willen volgen met tracking cookies, moeten zij daarvoor eerst op een rechtsgeldige manier toestemming vragen.
Nogmaals
Ook in het geval slechts “toegestane” cookies worden geplaatst betekent dat nog niet dat de bezoeker over het gebruik van dat soort cookies niet geïnformeerd hoeft te worden.Toegestane cookies hoef je niet te melden in een pop-up, maar dat kan dan ook door het gebruik in het privacy- of cookiereglement op te nemen.
Handig: de privacyverklaring generator
Op veiliginternettten.nl kun je een AVG-basistekst genereren voor die:
- Voldoet aan de nieuwe privacywetgeving die sinds mei 2018 geldt (de AVG).
- De privacyverklaring is ook te gebruiken voor persoonsgegevens die je offline verzamelt. Bijvoorbeeld via de telefoon of schriftelijk.
- Kort en voor je doelgroep begrijpelijk is.
- Zo goed als mogelijk is toegespitst op jouw bedrijf of website. In een aantal gevallen moet je na het genereren van de tekst nog stukken aanvullen. Bijvoorbeeld welke cookies jouw website gebruikt en de grondslagen voor verwerking van persoonsgegevens.