071-8878857 info@privyon.nl

10 gouden regels voor de privacyverklaring

Door Herman Braam, 8 augustus 2013.

Zodra bezoekers op jouw website persoonsgegevens achterlaten heb je te maken met privacywetgeving. Deze verplicht je bijvoorbeeld om je bezoekers te vertellen welke persoonsgegevens je verzamelt en met welk doel. Een handige manier om je bezoekers hierover te informeren is de privacyverklaring, vaak ook privacybeleid of privacy statement genoemd. Een stukje tekst waarin je uitlegt welke gegevens je verzamelt, waarom je dat doet, wat je er mee van plan bent en hoe je er voor zorgt dat er niet meer mee gebeurt dan je hebt beloofd.

Waar moet een privacyverklaring aan voldoen?

Volgens de richtlijnen van het College Bescherming Persoonsgegevens (CBP) moet de privacyverklaring in duidelijke en begrijpelijke taal zijn geschreven, eenvoudig te vinden zijn en bij voorkeur benaderd kunnen worden op ieder onderdeel van de website. Om aan dat laatste te voldoen kun je bijvoorbeeld een link naar de privacyverklaring opnemen onder elke pagina. Bij veel websites vind je daarom onder aan de site een “privacy” knopje. Daarnaast kun je een verwijzing naar deze verklaring plaatsen in formulieren waar bezoekers persoonsgegevens invoeren. Denk hierbij bijvoorbeeld aan contactformulieren, bestel- en inschrijfformulieren.

Als je geregeld hebt dat de verklaring voor iedereen makkelijk te vinden is, volgt de vraag wat er eigenlijk in de verklaring moet komen te staan. Een privacyverklaring dient in ieder geval de volgende elementen te bevatten:

  1. Identiteit: De bedrijfsnaam met zowel fysieke als elektronische adresgegevens.
  2. Doeleinden: Een duidelijke uitleg waarom je de persoonsgegevens verzamelt en of bezoekers verplicht zijn deze gegevens te verstrekken. Bij doelen kun je bijvoorbeeld denken aan: “de levering van een dienst of product”, “het beantwoorden van vragen van bezoekers”, “het versturen van nieuwsbrieven” of “het verzamelen van gegevens voor de analyse van de website”. 
  3. Ontvangers: Als je persoonsgegevens van je bezoekers deelt met anderen, vermeld dat dan duidelijk en geef aan met wie.
  4. Rechten bezoekers: Wijs bezoekers op hun recht op inzage, correctie en verwijdering van hun opgeslagen persoonsgegevens. Maak daarbij duidelijk tot wie betrokkenen zich kunnen wenden om deze rechten uit te oefenen.
  5. Privacy vragen: Neem de contactgegevens (fysiek en elektronisch) van de dienst of persoon op die voor jouw website verantwoordelijk is voor het beantwoorden van vragen over de bescherming van persoonsgegevens.
  6. Cookies: Maakt de website gebruik van cookies, dan ben je verplicht uit te leggen welke cookies je gebruikt en wat je daarmee doet. Het kan ook geen kwaad uit te leggen wat cookies zijn. Let er op dat je je bezoekers om toestemming moet vragen voordat er cookies worden gebruikt, hierop zijn slechts enkele uitzonderingen. 
  7. Overige gegevensverwerking: Indien van toepassing dien je toe te lichten welke persoonsgegevens de website automatisch verzamelt. Denk hierbij bijvoorbeeld aan het vastleggen van IP-adressen van bezoekers in webserver logfiles.
  8. Beveiliging: Je moet uitleggen welke technische en organisatorische maatregelen er getroffen zijn om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
  9. Bewaartermijn: Vermeld hoelang je de verschillende persoonsgegevens gaat bewaren. Hou er rekening mee dat gegevens niet langer bewaard mogen worden dan nodig voor is voor de doeleinden waarvoor je ze hebt verzameld. Voor onbepaalde tijd bewaren mag niet zonder goede reden.
  10. Uitsluiting: Licht toe welke spelregels je hanteert voor het weigeren van toegang tot de website. Denk hierbij bijvoorbeeld aan het weigeren van bezoekers bij constatering van misbruik of oneigenlijk gebruik.

Hou het simpel

De richtlijnen van het CBP benadrukken dat de privacyverklaring in eenvoudige en duidelijke taal geschreven moet zijn. Ik zou je daarom aan willen raden de verklaring niet onnodig te ‘juridiseren’. Hou het simpel en zie de privacyverklaring als een unieke gelegenheid om het vertrouwen van je bezoekers te winnen. Beschrijf hoe jij zorgt dat er zorgvuldig met hun gegevens wordt omgegaan en zorg dat je het zelf ook begrijpt. De wet is immers duidelijk, jij en niemand anders, blijft verantwoordelijk voor de bescherming van de jouw toevertrouwde persoonsgegevens.

Over de auteur: Herman Braam is oprichter en eigenaar van Privyon.
Specialist in vraagstukken op het snijvlak van IT en privacy. Helpt organisaties te voldoen aan de privacywetgeving
Contact via hbraam@privyon.nl of LinkedIn.