Wat is een privacybeleid?
Als ondernemer verzamel je doorgaans veel gegevens over je klanten. Bijvoorbeeld wanneer ze een account op je website aanmaken, of een bestelling doen in je webshop.
Zo verzamel je onder andere adresgegevens, telefoonnummers of de volledige naam van je klanten. Dit noemen we ook wel persoonsgegevens, omdat ze direct over een bepaalde persoon gaan of naar iemand te herleiden zijn. Klanten vertrouwen erop dat je verantwoordelijk omgaat met deze gegevens.
In een privacybeleid beschrijf je wat je als organisatie precies doet om persoonsgegevens te beschermen. Zo'n beleid is niet per se naar buiten gericht, het is een soort handleiding voor jou en je medewerkers.
AVG privacy
De Algemene Verordening Persoonsgegevens (AVG) schrijft voor dat organisaties die persoonsgegevens verwerken en verzamelen, aantoonbaar verantwoordelijk omgaan met deze data. Dit wordt ook wel de verantwoordingsplicht genoemd.
Door een gedegen privacybeleid op te stellen, kun je voldoen aan deze verantwoordingsplicht. Hierin beschrijf je welke technische en organisatorische maatregelen je hebt genomen om de data te beschermen.
De Autoriteit Persoonsgegevens voert regelmatig controles uit op de verantwoordingsplicht en transparantieplicht.
Wanneer je persoonsgegevens verwerkt, moet je jouw klanten ook op een transparante manier informeren over hoe je hun persoonsgegevens verwerkt. Dat noem je ook wel de transparantieplicht (informatieplicht). Een goede manier om dit te doen, is met een privacyverklaring.
Privacybeleid opstellen, hoe doe je dat?
Een privacybeleid is dus een soort handleiding met informatie over hoe jij en je medewerkers persoonsgegevens verzamelen, verwerken en beschermen.
De Autoriteit Persoonsgegevens (AP) schrijft geen specifiek format voor waaraan zo'n beleid moet voldoen en heeft geen handleiding voor een privacybeleid opstellen. Het belangrijkst is dat er geen discussie kan ontstaan over de exacte verwerking en bescherming van persoonsgegevens.
Privacybeleid voorbeeld
De volgende opsomming is een voorbeeld van hoe je een privacy beleid zou kunnen opstellen:
- Een inleiding waarin wordt uitgelegd wat het doel van het beleid is, waarom dit binnen de organisatie van belang is
- Een uitleg over welke (soort) persoonsgegevens verzameld worden
- Waarom deze gegevens verzameld worden
- Wat de rechten van de klanten zijn
- Welke maatregelen worden genomen om de gegevens te beschermen
- De functies en verantwoordelijkheden van de medewerkers die betrokken zijn bij de verzameling van persoonsgegevens
- Wie toezicht houdt op de naleving van het beleid en op welke manier. Wat er gebeurt wanneer het beleid niet wordt nageleefd?
Tip: Bekijk ook het beleid van Google als privacybeleid voorbeeld.
Privacybeleid of privacyverklaring opstellen?
In de praktijk worden het privacy beleid en de privacyverklaring vaak verward. Beide documenten gaan over de manier waarop je als organisatie persoonsgegevens verwerkt en beschermt. Het verschil zit hem in de doelgroep.
- Het privacybeleid is een intern document voor medewerkers waarmee je als organisatie aan je verantwoordingsplicht voldoet.
- De privacyverklaring is een uitleg aan je klanten over wat er met de persoonsgegevens gebeurt. De meeste bedrijven plaatsen deze verklaring op hun website, maar soms wordt het ook op papier overhandigd.
Wat staat er in een privacyverklaring?
Een privacyverklaring is een informatief document voor je klanten, houd het daarom vooral duidelijk en leesbaar. Verplichte onderdelen zijn:
- De contactgegevens van de verwerkende partij (jouw bedrijf)
- Welke gegevens je organisatie precies verzamelt en verwerkt en waarom je die nodig hebt
- Hoe lang je deze persoonsgegevens bewaart
- Hoe klanten de gegevens kunnen opvragen of laten verwijderen
- Of je de gegevens met derde partijen deelt. Zo ja, met welke en waarom?
Veelgestelde vragen over het privacybeleid voor ondernemers
- Wat is het verschil tussen een privacybeleid en een privacyverklaring? In zowel het privacybeleid als de privacyverklaring leg je uit hoe je de persoonsgegevens van je klanten beschermt. Het verschil is dat de privacyverklaring is bedoeld om klanten te informeren en het privacybeleid voor intern gebruik.
- Zijn het privacybeleid en de privacyverklaring verplicht? Als je persoonsgegevens verzamelt, moet je voldoen aan de verantwoordingsplicht en transparantieplicht van de AVG. Hoe je dat doet, mag je zelf weten, maar een privacybeleid en privacyverklaring zijn goede methodes. Let op: als je veel gevoelige gegevens verwerkt, ben je wèl verplicht om een privacybeleid op te stellen.