Als je een website hebt, dan is de kans groot dat je een privacyverklaring nodig hebt. Als jouw website privacygevoelige gegevens verzamelt en/of opslaat, ben je namelijk wettelijk al verplicht om een privacyverklaring op je website te plaatsen, en dat is in feite al het geval als je een eenvoudig contactformulier op jouw website gebruikt.
Wet bescherming persoonsgegevens
De regels voor de omgang met persoonsgegevens zijn vastgelegd in de Wet bescherming persoonsgegevens (Vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG). Hierin is o.a. vastgelegd dat je persoonsgegevens op een zorgvuldige wijze moet verwerken. Om bezoekers duidelijk te maken hoe jij met hun gegevens omgaat plaats je die in een privacyverklaring.
Wat is een privacyverklaring?
Een privacyverklaring, ook wel privacy policy of privacy statement genoemd. Is een soort gedragscode waarin jij omschrijft wat je doet met de gegevens van bezoekers die je via jouw website verzamelt.
Europees geregeld
De privacy policy is, net als de Cookiewet, in Europees verband geregeld. In april 2016 is er een verordening aangenomen die duidelijkheid moet geven over het omgaan met persoonsgegevens. Vanaf 25 mei 2018 is de verordening in alle lidstaten van de EU van kracht en zal er gehandhaafd worden.
Wat staat er in een privacyverklaring?
In de privacy policy omschrijf je dus wat je met de verzamelde gegevens doet en waarom. De reden is meestal vrij eenvoudig, gegevens vanuit het contactformulier gebruik je om later contact op te kunnen nemen met de bezoeker, een nieuwsbrief te versturen of producten en diensten te leveren.
In een privacyverklaring moet een bezoeker in ieder geval de volgende punten terug vinden.
Wie je bent
Neem in je privacyverklaring in ieder geval je naam en/of bedrijfsnaam en contactgegevens op. (Voor webshops is dit overigens al een verplichting).
Doel
Geef aan wat het doel is van het verzamelen van persoonsgegevens. Als je de gegevens gebruikt voor meerdere doeleinden, bijvoorbeeld het inschrijven voor een nieuwsbrief of om later contact op te nemen, dan moet je beide doelen afzonderlijk omschrijven.
Verplichte opgave van gegevens
Neem in je privacyverklaring op of het verstrekken van gevraagde persoonsgegevens verplicht of optioneel is (bijvoorbeeld door het plaatsen van de asterisk [*] bij verplichte velden). Verplichte informatie kan bijvoorbeeld nodig zijn om later een factuur te versturen.
Inzage en wijziging
In de Wet bescherming persoonsgegevens staat dat iemand zijn verzamelde persoonsgegevens in moet kunnen zien. Daarnaast moet het mogelijk zijn om deze informatie te verbeteren, aan te vullen, te verwijderen, of af te schermen.
De reden hiervoor kan zijn dat gegevens bijvoorbeeld onjuist zijn, of in strijd is met wettelijke voorschriften. In alle gevallen moet je wijziging van gegevens toestaan.
In jouw privacyverklaring geef je aan hoe zo’n wijzigingsverzoek aangevraagd kan worden, hoe je ermee omgaat en hoe snel je reageert. Hiervoor geldt overigens een maximumtermijn van vier weken.
Ontvangers van verzamelde gegevens
Bij het opstellen van de privacy verklaring moet omschreven worden of er (naast jijzelf) extra ontvangers zijn van de verzamelde informatie. Dat kan bijvoorbeeld het geval zijn als je het versturen van jouw nieuwsbrief hebt uitbesteed aan een extern bedrijf. Omschrijf in dat geval de reden waarom deze externe partijen de persoonsgegevens ontvangen. Daarbij is het ook van belang te melden of er informatie wordt verzonden naar landen buiten de EU. Mocht dat het geval zijn, dan moet je ook aangeven hoe deze landen de gegevens beschermen.
Toestemming
Het versturen van nieuwsbrieven dient apart opgenomen te worden in je privacybeleid. Verzamelde persoonsgegevens worden hier namelijk voor gebruikt en daar is expliciet toestemming van de bezoekers voor nodig.
Beveiliging van persoonsgegevens
Geef in de privacyverklaring ook aan welke technische en organisatorische maatregelen je hebt genomen om persoonsgegevens te beveiligen tegen verlies, diefstal en onrechtmatig gebruik. Deze melding is ook verplicht op alle plaatsen waar persoonsgegevens ingevoerd kunnen worden, bijvoorbeeld tijdens een bestelproces, of bij aanmeldformulieren voor een nieuwsbrief.
Rechtsgeldigheid privacy policy
Een privacy statement moet de persoon waaraan deze gericht is daadwerkelijk bereiken om rechtsgeldig te zijn. Klakkeloos aannemen dat een bezoeker de link naar de verklaring op je website heeft gevolgd en de voorwaarden heeft gelezen is niet voldoende. Een bezoeker dus eerst akkoord laten gaan met de voorwaarden bij het inschrijven voor een nieuwsbrief is aan te bevelen.
Aanvullende eisen
Soms zijn er nog strengere voorwaarden van toepassing. Als je bijvoorbeeld persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt, moet je hiervan melding maken bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens). Doe je dit niet? Dan kan de autoriteit een boete opleggen van maximaal 4.500 euro.
Webshops en privacyverklaring
Heb je een webshop dan is een privacyverklaring altijd verplicht. Een webshop verzamelt tijdens het bestelproces al veel persoonsgegevens. Voor de privacywetgeving voldoende reden om de verklaring voor alle webshops verplicht te stellen.
Boete bij ontbreken privacy statement
Het is in veel gevallen dus via de privacywetgeving verplicht om een privacy verklaring op je website te hebben. Heb je geen privacyverklaring op je website? Dan kan Autoriteit Persoonsgegevens (AP) een boete opleggen, en die kan flink oplopen tot wel 800 euro.
Ook Cookies moeten in je privacyverklaring
Als je gebruik maakt van cookies op jouw website dan is een cookieverklaring verplicht. In deze verklaring leg je uit welke cookies je website plaatst, waarom en hoe deze gebruikt worden. Daarnaast moet je hier opnieuw aangeven of je deze gegevens aan een externe partij verstrekt. Met een cookiescript moet je jouw website bezoekers bovendien laten bepalen of ze cookies accepteren.
Cookiewet
Artikel 11.7a van de Telecommunicatiewet, in de volksmond ook wel de Cookiewet genoemd, is een wet die sinds juni 2012 van kracht is. Deze wet regelt dat elke website met bezoekers uit Nederland verplicht is om de bezoekers te informeren over het gebruik van cookies.
Nederlandse bezoekers moeten, nog voordat er ook maar één cookie wordt geplaatst, expliciet toestemming geven voor het plaatsen van deze cookies.
Voor technisch noodzakelijke cookies, zoals een winkelmandje of een inlogformulier, is overigens geen toestemming vereist. Gebruik je Google Analytics, Google Maps, YouTube, Facebook of Twitter op je website, dan is toestemming wel nodig.
Boetes worden flink verhoogt
De nieuwe privacy wet van mei volgend jaar moet organisaties dwingen serieus met persoonsgegevens om te gaan. Met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet moet dat wel lukken.
Wij kunnen ons goed voorstellen dat je na het lezen van deze informatie wat twijfels of mogelijk vragen hebt.
Stuur in dat geval een mail naar info@ivdesign.nl, of bel ons op 030 – 711 39 53 en geef de gegevens van jouw website door. Wij controleren dan zonder kosten jouw website.
De privacy wetgeving is veel gecompliceerder dan dat we in ons blog kunnen melden. Houd er ook rekening mee dat wij een webdesignbureau zijn en niet gespecialiseerd in ICT-recht. Wij willen je wel graag op weg helpen en vooral bewust maken van de komende veranderingen in de wetgeving. Voor meer informatie kun je dus altijd contact opnemen