Opstellen privacystatement
Sinds de invoering van de nieuwe privacywet AVG is iedere ondernemer verplicht informatie te delen over hoe hij omgaat met persoonsgegevens. In onze checklist van de AVG staat onder meer het opzetten van een verwerkingsregister en het opstellen van een privacystatement.
Hierin geef je beknopt en in begrijpelijke taal aan welke zaken je rekening houdt met betrekking tot persoonsgegevens van je klanten en bezoekers.
Dat lijkt vooraf een grote opgave, maar in de praktijk valt dit doorgaans mee. Zeker als je een kleine onderneming hebt. Ga er een middag goed voor zitten en je bent al een heel eind. Laat uiteindelijk de tekst altijd even door een jurist lezen, dan weet je zeker dat het klopt.
Direct aan de slag? Je kunt ook meteen door naar het stappenplan, of naar de handige voorbeelden.
Schrijf voor de gebruiker
Spits het privacystatement toe op de gebruiker: jouw klanten, oftewel de lezers van de verklaring. Je kunt op diverse websites allerlei teksten knippen en plakken, maar de tekst moet wel op jouw bedrijf en klanten van toepassing zijn. Je kunt bij diverse bedrijven eens kijken hoe zij het aanpakken. Van Coolblue tot bol.com en Albert Heijn.
Het begint met het taalgebruik. De AVG zelf staat vol met juridisch en ambtelijke taal. Zoals je hierboven kunt lezen, laten ook de multinationals deze specifieke termen weg. In principe moet iedereen het kunnen begrijpen. De klanten die jouw statement lezen zijn waarschijnlijk geen juristen. Prop je verklaring dus niet vol met onnodig moeilijke woorden.
Schrijf het privacystatement in duidelijke en eenvoudige taal zodat iedere lezer het kan begrijpen.
Wat staat er in een privacyverklaring?
Dat hangt heel erg af van wat jouw bedrijf met de persoonsgegevens doet. Een freelance journalist zal in de meeste gevallen weinig met persoonsgegevens van anderen doen.
Een webshop verzamelt juist veel gegevens van klanten: om orders te verwerken, om persoonlijke aanbiedingen te doen of een nieuwsbrief te versturen. Gebruik voorbeelden om de uitleg zo duidelijk mogelijk te maken.
Privacyverklaring in 9 stappen
1. Inleiding
Het begint met een korte inleiding, waarom je dit privacystatement schrijft en dat je gaat uitleggen hoe je met deze gegevens omgaat.
2. Eigen gegevens
Vermeld hier je bedrijfsnaam, contactgegevens etc. Heb je een groter bedrijf en een Functionaris Gegevensbescherming in dienst? Dan ben je verplicht om de contactgegevens van de functionaris te vermelden.
3. Welke gegevens je verzamelt
Dat verschilt dus per onderneming, het hangt er ook vanaf of je op social media actief bent. Logischerwijs verzamelen de meeste ondernemingen een (bedrijfs)naam, telefoonnummer, e-mailadres, social media-accountnamen etc.
4. Het doel van de gegevens verzamelen
Leg uit wat het doel is van het verzamelen van de persoonsgegevens. Bijvoorbeeld omdat je de klant of gebruiker nieuwsbrieven wilt sturen, je de gegevens wilt gebruiken om een offerte te maken of omdat je wilt reageren op een online reactie. Wanneer een klant jou mailt met een vraag over een product, kun je diegene niet zomaar een nieuwsbrief sturen.
5. De bewaartermijn van de gegevens
Er staat in de AVG geen specifieke bewaartermijn voor persoonsgegevens. Ondernemingen bepalen zelf hoe lang zij deze gegevens bewaren, maar je dient dit wel aan te geven. Dit zal per onderneming erg verschillen.
Gebruik concrete voorbeelden om de uitleg in de privacyverklaring zo duidelijk mogelijk te maken.
Sommige bedrijven bewaren gegevens vijf jaar om op basis van eerder contact gepast en adequaat te kunnen reageren.
Heb je een forum op je website dan kun je bijvoorbeeld vermelden dat de reacties onder berichten altijd blijven altijd staan, omdat andere gebruikers daar weer op reageren en je anders een discussie beïnvloedt.
6. Overige ontvangers van de persoonsgegevens
Er zijn meer partijen die de persoonsgegevens in het bezit krijgen. Deze dien je te vermelden in het privacystatement. Zo is daar bijvoorbeeld de hostingpartij, jouw accountant die facturen verwerkt, bezorgdiensten (de post!), de mailserver etc.
7. De rechten van de bezoeker/klant
Laat de lezer of bezoeker weten welke rechten hij heeft. Bijvoorbeeld dat hij het recht heeft om zijn gegevens aan te passen of zelfs te verwijderen. Je klanten en medewerkers kunnen jou als ondernemer vragen om hun eigen gegevens in te zien of om deze door te sturen aan een andere organisatie. Ook kunnen ze hun toestemming om de gegevens te gebruiken in te trekken. Zij hebben met de AVG het 'recht om vergeten te worden'.
8. Gebruik van cookies
Benoem de programma’s die cookies verzamelen. Als je bijvoorbeeld social mediakanalen aanbiedt om content te delen, laat dan weten dat deze bedrijven (Facebook, Twitter) verantwoordelijk zijn voor dit deel. Datzelfde geldt voor het embedden van YouTube-video’s.
Als je doorlinkt naar externe websites, zijn deze websites verantwoordelijk voor hun eigen beleid. Verwijs daarom door naar hun privacystatement.
Als je Google Analytics gebruikt, laat de bezoekers dan weten dat je dit doet en waarom. Vertel verder wat Google met deze cookies doet (opslaan op server, gebruiken om rapportages te maken). Verwijs ook hier door naar het privacybeleid van Google.
9. Gerechtvaardigd belang
Dit belang weegt soms zwaarder dan de privacy van de betrokken persoon en dien je specifiek te vermelden.
- Bijvoorbeeld als je een personeelsadministratie voert. Of het commerciële belang van jouw bedrijf om jouw klanten marketingaanbiedingen te doen.
- Bijvoorbeeld deze standaardzin: “Wij verwerken persoonsgegevens op grond van een gerechtvaardigd belang, namelijk een commercieel belang.” Kijk maar eens in Google hoe vaak deze zin gebruikt wordt.
Aan de slag met het privacystatement
Wil je een handig voorbeeld van een privacystatement? Kijk dan eens op de website van Charlotte Meindersma. Deze juriste legt op een overzichtelijke manier juridische zaken uit die op het eerste gezicht complex lijken. Ze heeft uiteraard zelf ook een privacystatement opgesteld.
En natuurlijk heeft ook IkGaStarten een privacyverklaring. Wil je weten hoe wij met de verwerking van jouw persoonsgegevens omgaan? Lees dan hier ons privacystatement.
Twijfel je ergens over? Meer informatie en uitleg vind je op de website van Autoriteit Persoonsgegevens of laat een specialist het privacystatement doorlichten.