Verzamel je via je website ook maar de kleinste hoeveelheid persoonsgegevens, dan heb je een privacyverklaring nodig. Een goede privacyverklaring website is geen juridische bijzaak, maar een wettelijke plicht onder de AVG en tegelijk een teken van betrouwbaarheid richting je bezoekers. In dit artikel lees je precies wanneer het verplicht is, welke onderdelen erin horen en welke fouten je beter kunt vermijden.
Wanneer is een privacyverklaring verplicht?
Veel ondernemers denken dat een privacyverklaring alleen nodig is bij een webshop of een groot klantenbestand. Dat klopt niet. Onder de Algemene Verordening Gegevensbescherming (AVG) ben je verplicht een privacyverklaring te tonen zodra je persoonsgegevens verwerkt. En dat doe je sneller dan je denkt.
Verwerk je een of meer van de volgende gegevens, dan heb je een privacyverklaring nodig:
- Een contactformulier waarin iemand naam en e-mailadres invult
- Een nieuwsbrief-inschrijving
- Bestellingen of offerteaanvragen via je site
- Analytische cookies, zoals Google Analytics
- Reacties onder blogartikelen of een klantaccount
Met andere woorden: vrijwel elke zakelijke website valt hieronder. Geen privacyverklaring hebben kan leiden tot klachten bij de Autoriteit Persoonsgegevens en, bij overtredingen, tot boetes.
Welke onderdelen moeten erin staan?
De AVG schrijft niet één vast format voor, maar wel welke informatie aanwezig moet zijn. Een complete privacyverklaring website bevat in elk geval de volgende onderdelen.
Wie je bent en hoe je bereikbaar bent
Vermeld je bedrijfsnaam, KvK-nummer, adres en contactgegevens. Bezoekers moeten weten wie verantwoordelijk is voor de verwerking van hun gegevens. Heb je een functionaris voor gegevensbescherming (FG)? Dan noem je die hier ook, inclusief contactgegevens.
Welke gegevens je verzamelt en met welk doel
Beschrijf concreet welke persoonsgegevens je verwerkt: denk aan naam, e-mailadres, telefoonnummer, IP-adres of betaalgegevens. Koppel elk gegeven aan een duidelijk doel. Een e-mailadres verzamel je bijvoorbeeld om de nieuwsbrief te versturen, een adres om een bestelling te bezorgen. Wees specifiek, want vage omschrijvingen als “om onze dienstverlening te verbeteren” zijn niet voldoende.
De grondslag voor de verwerking
De AVG vereist dat je voor elke verwerking een wettelijke grondslag hebt. Er zijn er zes, maar voor de meeste websites gaat het om: toestemming (bijvoorbeeld bij de nieuwsbrief), de uitvoering van een overeenkomst (een bestelling), of een gerechtvaardigd belang. Benoem per gegevensstroom welke grondslag van toepassing is.
Bewaartermijnen
Je mag gegevens niet eindeloos bewaren. Geef per categorie aan hoe lang je gegevens bewaart, of welk criterium je daarvoor gebruikt. Voor offerteaanvragen kun je bijvoorbeeld een termijn van twee jaar aanhouden, voor administratie geldt vaak de wettelijke bewaarplicht van zeven jaar.
De rechten van betrokkenen
Mensen hebben onder de AVG diverse rechten over hun gegevens. Vermeld dat bezoekers het recht hebben op inzage, correctie, verwijdering, beperking, bezwaar en dataportabiliteit. Leg ook uit hoe ze die rechten kunnen uitoefenen en dat ze een klacht kunnen indienen bij de Autoriteit Persoonsgegevens.
Cookies en verwerkers
Beschrijf welke cookies je site plaatst en waarvoor. Werk je samen met externe partijen die namens jou gegevens verwerken, zoals je hostingpartij, een mailprovider of een betaaldienst, dan benoem je die als verwerkers. Met deze partijen sluit je bovendien een verwerkersovereenkomst.
Wat is het verschil met een cookiebeleid?
Een privacyverklaring en een cookiebeleid worden vaak door elkaar gehaald, maar het zijn twee verschillende documenten. De privacyverklaring gaat over álle persoonsgegevens die je verwerkt. Het cookiebeleid richt zich specifiek op de cookies en vergelijkbare technieken die je website plaatst, en op de toestemming die je daarvoor vraagt via een cookiebanner.
In de praktijk vullen ze elkaar aan. Het cookiebeleid mag een onderdeel van je privacyverklaring zijn, maar voor de duidelijkheid kiezen veel bedrijven voor twee aparte pagina’s die naar elkaar verwijzen.
Updaten: een privacyverklaring is nooit “af”
Je privacyverklaring is een levend document. Verandert er iets in je werkwijze, schakel je een nieuwe tool of verwerker in, of bied je een nieuwe dienst aan, dan moet de verklaring mee. Controleer minimaal één keer per jaar of alles nog klopt. Zet eventueel een datum van laatste wijziging onderaan, zodat bezoekers zien dat het document actueel is.
Waar plaats je de privacyverklaring?
De privacyverklaring moet makkelijk vindbaar zijn. De standaard en verwachte plek is een link in de footer van je website, zodat hij op elke pagina bereikbaar is. Daarnaast verwijs je er direct naar bij elk formulier waar je gegevens verzamelt, bijvoorbeeld onder je contact- of nieuwsbriefformulier. Gebruik altijd dezelfde, herkenbare benaming zoals “Privacyverklaring”.
Veelgemaakte fouten
Bij het opstellen van een privacyverklaring website gaat het regelmatig mis. De meest voorkomende valkuilen:
- Een gekopieerde standaardtekst die niet klopt met wat jouw site daadwerkelijk doet
- Verwerkers vergeten te benoemen, terwijl je wel hun tools gebruikt
- Geen bewaartermijnen opgenomen, of alleen vage formuleringen
- Onleesbaar juridisch taalgebruik in plaats van begrijpelijke taal
- De verklaring nooit updaten na wijzigingen op de site
Het doel is transparantie. Een privacyverklaring die niemand begrijpt of die niet matcht met de werkelijkheid, voldoet niet aan de AVG.
Hulp nodig bij je privacyverklaring?
Een privacyverklaring die klopt met jouw website en aan de AVG voldoet, vraagt om maatwerk. Wil je zeker weten dat jouw site juridisch in orde is en dat de verklaring goed is verwerkt in je WordPress-site? Neem contact op en we kijken samen wat er voor jouw situatie nodig is.