privacywet

Als je een website hebt, dan is de kans groot dat je een privacyverklaring nodig hebt. Het is een belangrijk juridisch document, dat voor veel mensen moeilijk zelf op te stellen is.

Wat is een privacyverklaring?

Een privacyverklaring wordt ook wel privacy policy of privacy statement genoemd. Het is een gedragscode waarin je aangeeft wat je doet met de gegevens die je, via jouw website, van je bezoekers verzamelt.

Wet bescherming persoonsgegevens

Regels voor de omgang met persoonsgegevens zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin is vastgelegd dat je persoonsgegevens op een zorgvuldige wijze moet verwerken.

Om je bezoekers duidelijk te maken hoe jij met hun gegevens omgaat, plaats je die in jouw privacybeleid.

Europees geregeld

De privacy policy is, net als de Cookiewet, in Europees verband geregeld. Althans, dat is de bedoeling. Omdat iedere lidstaat van de EU de privacyrichtlijn omzet in nationale wetgeving, is er op Europees niveau een lappendeken aan systemen ontstaan. Dit brengt administratieve lasten met zich mee en draagt niet altijd positief bij aan de bescherming van persoonsgegevens in de EU.”

In april 2016 is er een verordening aangenomen die duidelijkheid moet geven over het omgaan met persoonsgegevens. Deze verordening is sinds 24 mei 2016 van kracht. Organisaties hebben nu de tijd om hun bedrijfsvoering op de nieuwe regels aan te passen.

Vanaf 25 mei 2018 is de verordening in alle lidstaten van de EU van toepassing en kan er gehandhaafd worden.

Wat staat er in een privacyverklaring?

In de privacy policy omschrijf je wat je met de verzamelde gegevens doet en waarom. Het kan zo zijn dat je de gegevens gebruikt om later contact op te kunnen nemen met de bezoeker, een nieuwsbrief te versturen of producten en diensten te leveren.

In een privacyverklaring moet je in ieder geval de volgende punten opnemen.

Identiteit

Neem in je privacy policy in elk geval jouw naam of bedrijfsnaam en contactgegevens op. Voor webshops is het sowieso verplicht om deze gegevens op je website weer te geven.

Doel

Geef duidelijk aan wat het doel is van het verzamelen van persoonsgegevens. Als de gegevens worden gebruikt voor meerdere doeleinden, bijvoorbeeld voor zowel het abonneren op een mailinglist als voor direct marketing, dan moet je beide doelen afzonderlijke beschrijven.

Verplichte opgave van gegevens

Neem in je privacybeleid op of het verstrekken van gevraagde persoonsgegevens verplicht of optioneel is (bijvoorbeeld door het plaatsen van de bekende asterisk [*] bij verplichte velden). Verplichte informatie is nodig om de gevraagde service te kunnen bieden, zoals het verstrekken van je volledige namen om online een vliegticket op jouw naam te kunnen boeken.

Inzage en wijziging

In de Wet bescherming persoonsgegevens staat dat iemand zijn verzamelde persoonsgegevens moet kunnen inzien. Daarnaast moet het mogelijk zijn om de informatie te verbeteren, aan te vullen, te verwijderen, of af te schermen.

Als de gegevens feitelijk onjuist zijn, is dat een legitieme reden. Ook als de informatie onvoldoende of onvolledig is voor het doel, niet strikt noodzakelijk is voor het doel of in strijd is met wettelijke voorschriften, moet je wijziging van de gegevens toestaan.

In jouw privacy statement geef je aan hoe zo’n wijzigingsverzoek ingediend kan worden, hoe je ermee omgaat en hoe snel je erop reageert. Er geldt overigens een maximumtermijn van vier weken.

Ontvangers van verzamelde gegevens

Bij het privacy verklaring opstellen moet omschreven worden wie de ontvangers zijn van de verzamelde persoonsgegevens. Omschrijf de legitieme reden waarom deze derde partijen de persoonsgegevens ontvangen.

Daarbij is het ook van belang te melden of de data wordt verzonden naar landen buiten de EU. Als dat het geval is, moet je ook aangeven of deze landen de persoonsgegevens adequaat beschermt.

Toestemming

Als je de persoonsgegevens van jouw klanten of bezoekers wilt gebruiken, dan is in een aantal gevallen toestemming nodig voor dit gebruik.

Denk daarbij aan het versturen van een nieuwsbrief of het verkopen van persoonsgegevens aan derden. In dat geval moet je expliciet toestemming hebben voor het betreffende gebruik van de gegevens.

Wil je zowel een nieuwsbrief sturen als de gegevens verkopen, dan moet je voor beide apart toestemming vragen.

 

Beveiliging van persoonsgegevens

Geef in de privacyverklaring aan welke technische en organisatorische maatregelen je hebt genomen om persoonsgegevens te beveiligen tegen verlies, diefstal en onrechtmatig gebruik.

De melding is ook verplicht op alle plaatsen waar persoonsgegevens ingevoerd kunnen worden, zoals in een bestelproces, aanmeldformulieren voor een nieuwsbrief en tell-a-friend-formulieren.

Rechtsgeldigheid privacy policy

Een privacy statement moet de persoon waaraan deze gericht is, bereikt hebben om rechtsgeldig te zijn. Aannemen dat iemand de link naar de verklaring op je website heeft gevolgd en de voorwaarden heeft gelezen is onvoldoende.

Om die reden is het ook een eis om de privacyverklaring op te stellen in alle talen die je op jouw website ondersteunt.

Aanvullende eisen

Soms gelden er nog strengere voorwaarden. Als je persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt, moet je hiervan melding maken bij het Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens). Doe je dit niet? Dan kan de autoriteit een boete opleggen van maximaal 4.500 euro.

Wanneer is een privacyverklaring verplicht?

Als jouw website privacygevoelige gegevens verzamelt en/of opslaat, ben je wettelijk verplicht om een privacy statement te hebben. Dat betekent dat als je een eenvoudig contactformulier op jouw website hebt staan, een privacy statement al verplicht is.

Webshops en privacyverklaring

Heb je een webshop? Dan is een privacyverklaring altijd verplicht. Een webshop verzamelt alleen al in het bestelproces heel veel persoonsgegevens. Dat is voor de privacywetgeving voldoende reden om de verklaring voor webshops verplicht te stellen.

 

Boete bij ontbreken privacy statement

Het is in veel gevallen dus via de privacywetgeving verplicht om een privacy statement op je website te hebben. Heb je geen privacyverklaring op je website? Dan kan Autoriteit Persoonsgegevens (AP) een boete opleggen. Sinds 1 januari 2016 is AP bevoegd om boetes uit te schrijven. Zo’n boete kan oplopen tot 800 euro.

Cookieverklaring

Naast een privacyverklaring is vaak ook een cookieverklaring verplicht op je website. Cookies zijn kleine tekstbestandjes die een website kan opslaan op de computer van een bezoeker. In deze bestanden wordt informatie over het bezoek aan de site opgeslagen. 

Er zijn grofweg twee soorten; functionele cookies en tracking cookies.

Functionele cookies

De functionele cookies worden gebruikt voor het onthouden van loginnaam of instellingen, maar ook voor het koppelen van een browser aan tijdelijke variabelen op de server. Dit worden ook wel session cookies genoemd.

Tracking cookies

Tracking cookies worden gebruikt om een profiel te maken van de bezoeker. Vrij onschuldig gebruik van tracking cookies is het bekijken waar de bezoeker vandaan komt en welke pagina’s worden bezocht. Handig voor je statistieken.

Het wordt anders wanneer er op basis van je bezoek aan meerdere websites een profiel wordt opgebouwd met informatie als je geslacht, leeftijdscategorie, interesses en zoekopdrachten. Dit soort gegevens wordt vaak gebruikt om relevante advertenties aan bezoekers te tonen.

Cookieverklaring verplicht

Als je gebruik maakt van cookies op jouw website, is een cookieverklaring verplicht. In deze verklaring leg je uit welke cookies je website plaatst, waarom en hoe deze gebruikt worden.

Daarnaast moet je ook hier aangeven of je de gegevens aan derden verstrekt en zo ja aan wie. Met een cookiescript moet je jouw website bezoekers bovendien laten bepalen of ze cookies accepteren.

Cookiewet

Artikel 11.7a van de Telecommunicatiewet wordt in de volksmond de Cookiewet genoemd. Het is een wet die sinds juni 2012 van kracht is. De wet regelt dat elke website met bezoekers uit Nederland verplicht is om de bezoekers te informeren over het gebruik van cookies.

Nederlandse bezoekers moeten, voordat ook maar één cookie wordt geplaatst, eenmalig expliciet toestemming geven voor het plaatsen van deze cookies.

Voor technisch noodzakelijke cookies, zoals een winkelmandje of een inlogformulier, is overigens geen toestemming vereist. Gebruik je Google Analytics, Google Maps, YouTube, Facebook of Twitter op je site? Dan is wel toestemming nodig.

Hoge boete bij overtreden Cookiewet

Houd je jezelf niet aan de Cookiewet? Dan kan de Autoriteit Consument & Markt (ACM, voorheen OPTA) een boete van maximaal 450.000 euro opleggen. Om dit soort hoge boetes te voorkomen, hebben veel uitgevers de bekende cookie walls geïnstalleerd. Zij krijgen namelijk inkomsten uit advertenties waarvoor tracking cookies geplaatst worden.