Privacy statements: ze zijn niet de leukste materie om je in te verdiepen, maar ze zijn nu eenmaal verplicht. En met de GDPR in aantocht worden de regels alleen maar strenger. De rechten van de gebruikers worden immers nog meer uitgebreid en hun persoonsgegevens nog beter beschermd. En dat is een goede zaak, omdat het je zo ook de kans geeft om je privacybeleid te herzien en er een frisse wending aan te geven. Maar wat is een privacy statement juist, wanneer moet je het hebben en wat moet er zeker instaan? De vele regeltjes zijn allesbehalve evident. Daarom helpen we je graag het bos terug door de bomen te zien en leggen we je uit hoe je dat vervelende privacy statement op je website nu best aanpakt.
GDPR en privacy statements
Op 25 mei 2018 gaat de GDPR (General Data Protection Regulation) van kracht, een nieuwe Europese en wetgeving die de gegevens van de burgers extra wil beschermen. Concreet wil dat zeggen dat je als burger veel meer inzicht krijgdedet in de manier waarop organisaties persoonsgegevens verzamelen en verwerken. En als organisatie wil dat op zijn beurt zeggen dat je aan heel wat verplichtingen moet voldoen.
Zo moeten organisaties bijvoorbeeld:
- de data van de Europese burger beschermen;
- maatregelen nemen tegen hackers en datalekken;
- verhoogde security maatregelen invoeren;
- datalekken binnen 72 uur melden;
- een ‘data protection officer’ aanstellen als de organisatie een grote omvang heeft;
- toestemming vragen om persoonsgegevens op te slaan en te gebruiken;
- individuen het recht geven om vergeten te worden;
- duidelijk de procedure voor het verzamelen en opslaan van persoonlijke gegevens uit de doeken doen.
Die regeltjes willen dus zeggen dat je als organisatie open moet communiceren met de personen van wie je de gegevens gebruikt. Zo moet je onder andere kunnen aantonen welke gegevens je allemaal verzamelt en waarom, op welke manier je ze gebruikt, hoe je ze beveiligt en wat de rechten zijn van de betrokkenen. De tekst waarin je die zaken allemaal uitlegt, noemen we het privacy statement. De kans is groot dat het privacy statement dat nu op je website staat al grotendeels in orde is, maar toch is het belangrijk om dit met het oog op GDPR nog eens onder de loep te nemen.
Wanneer moet ik een privacy statement op mijn website voorzien?
Een privacy statement op je website plaatsen is geen kwestie van vrije keuze. Wanneer je als website of webshop persoonsgegevens verzamelt, dan is het verplicht om je gebruikers hierover in te lichten. Twijfel je of dat bij jou het geval is? Denk er dan aan dat bijna elke website bewust of onbewust persoonsgegevens verzamelt. Een contact- of inschrijfformulier, een factuur, een klantenkaart, een loonbrief, een nieuwsbrief, Google Analytics, … De voorbeelden zijn eindeloos, ook al denk je er misschien niet meteen aan. Heb je een webshop? Dan is een privacy statement sowieso verplicht. Webshops kunnen immers niet functioneren zonder persoonsgegevens. Denk bijvoorbeeld maar aan adresgegevens om de bestelling op te kunnen sturen.
In de meeste gevallen zal je dus een privacy statement op je website moeten plaatsen. Idealiter zouden gebruikers je privacy policy moeten terugvinden op alle plaatsen waar je persoonsgegevens verzamelt. Verstop het in elk geval niet in de algemene voorwaarden - daar gaat niemand het lezen - maar maak er een aparte pagina voor aan en zorg voor een link naar die pagina in de footer.
Wat gebeurt als ik de regels aan mijn laars lap en ik toch geen privacy statement op mijn website of webshop plaats? Dan loop je risico op fikse boetes die kunnen oplopen tot 4% van je omzet. Bij twijfel neem je dus maar beter het zekere voor het onzekere en plaats je een duidelijke privacyverklaring op je website.
Wat moet er allemaal in mijn privacy statement staan?
De privacy policy is een enorm belangrijk document dat niet zomaar lukraak opgesteld mag worden. Het is immers erg belangrijk dat je privacy statement voldoet aan de richtlijnen van de GDPR. Heel wat mensen laten daarom hun beleid opstellen door een advocatenkantoor of plukken een standaardversie van het internet. Maar die privacy policies zijn vaak erg langdradig en ingewikkeld geschreven, met het gevolg dat mensen ze nooit lezen. En laat dat nu net ingaan tegen de geest van de GDPR. Daarom is het erg belangrijk dat je privacy statement aan de volgende kenmerken voldoet:
- Transparant
- Begrijpelijk
- Toegankelijk
- Beknopt
Niet alleen stelt de GDPR voorop dat je privacyverklaring erg leesbaar moet zijn, de wetgeving bepaalt ook welke informatie de betrokkenen moeten krijgen en welke items bijgevolg dus zeker in je verklaring moeten terugkomen. Globaal gezien moet je de gebruiker op de hoogte stellen van hoe het eraan toegaat op het vlak van zijn privacy. Concreet wil dat zeggen dat je de betrokkene moet vertellen wie zijn gegevens verzamelt, hoe de gegevensverzameling gebeurt, met wie de gegevens gedeeld worden, hoe ze beschermd worden, de bewaartermijn, de rechten van de gebruikers, of de gegevens al dan niet binnen de EU verwerkt worden en of je gebruikmaakt van automatische besluitvorming.
We overlopen de invulling van elk van die aspecten even in detail:
1. Wie verzamelt de informatie?
Om te beginnen is het enorm belangrijk dat je de identiteit en de contactinformatie vermeldt van degene die de informatie verzamelt - jouw organisatie dus. De betrokkenen moeten immers weten bij wie hun persoonsgegevens uiteindelijk terechtkomen en hoe ze die organisatie kunnen bereiken.
Vermeld dus duidelijk volgende gegevens:
- De exacte naam van de organisatie
- Het volledige adres
- Het BTW-nummer
- Het telefoonnummer en/of e-mailadres
Heeft je organisatie een data protection officer die zich bezighoudt met de privacyregelgeving? Vermeld dan ook contactgegevens van die persoon. Het is nodig om een data protection officer aan te stellen wanneer je bedrijf met een grote hoeveelheid data bezig is en het risico op een privacy inbreuk dus reëel is. Het is niet verplicht om een naam te vermelden, maar je moet wel minstens een adres, telefoonnummer of e-mailadres opgeven zodat deze persoon bereikt kan worden.
Heb je een omvangrijke organisatie met verschillende afdelingen? Dan geef je best duidelijk aan welk departement verantwoordelijk is voor de verwerking van een bepaald type persoonsgegevens en bij welk aanspreekpunt je gebruikers terechtkunnen. Hetzelfde geldt wanneer je een buitenlandse verwerkingsverantwoordelijke hebt. Zorg ervoor dat de naam, het adres, het BTW-nummer en het telefoonnummer/e-mailadres duidelijk terug te vinden zijn.
2. Hoe gebeurt de gegevensverzameling?
Welke gegevens verzamel ik en op welke manier?
Ook over je gegevensverzameling moet je erg open zijn. Zo moet je om te beginnen duidelijk vermelden welke gegevens je verzamelt en op welke manier (dus met welke technologie) je dat doet. Schrijf bijvoorbeeld: ‘Wij verzamelen informatie zoals het type browser, het IP-adres en je e-mailadres en naam. Die gegevens verkrijgen we via Google Analytics, cookies en de registratieprocedure.’
Wat is het doel van die gegevensverzameling?
Daarnaast is het belangrijk om te vermelden voor welke doeleinden je die gegevens verzamelt. Volgens de GDPR mag je immers enkel informatie verzamelen en verwerken wanneer dat nodig is voor een bepaald doel. Denk hierbij aan marketing, onderzoek, HR-management, aankoop, dienstverlening enzovoort. Zo heb je bijvoorbeeld namen en e-mailadressen nodig om een nieuwsbrief te kunnen versturen. Om als webshop een bestelling te kunnen verzenden, heb je adresgegevens nodig. Om te communiceren met klanten, heb je contactgegevens nodig. Als je de site wilt verbeteren, heb je informatie nodig over het browsertype, IP-adres, de bezochte pagina’s en aantal keren dat er geklikt werd. Probeer om telkens je doelstelling zo concreet mogelijk te verwoorden, zodat je gebruiker duidelijk ziet dat de gegevens ook echt nodig zijn voor de vooropgestelde doelen.
Wat is de rechtsgrond van de gegevensverzameling?
Ten slotte kan je ook de wettelijke grondslag vermelden waarmee je de gegevens verzamelt. In principe is dit niet verplicht, maar het kan je privacyverklaring wel waardevoller maken. Zo krijgen je gebruikers niet alleen meer vertrouwen, maar heb jij ook steeds een basis om op terug te vallen. De GDPR spreekt van meerdere rechtsgronden, maar die zijn natuurlijk niet in alle gevallen van toepassing. Daarom is het belangrijk om op voorhand na te denken welke rechtsgrond bij jou van toepassing is. Volgende rechtsgronden zijn mogelijk:
- Toestemming van de betrokkene
- Om een contract of dienstverlening te kunnen voorbereiden of uitvoeren
- Een wettelijke verplichting (bijvoorbeeld een landelijke wetgeving die luchtvaartmaatschappijen verplicht om informatie door te geven aan de overheid)
- Het algemeen belang (bijvoorbeeld zodat publieke autoriteiten hun taken kunnen uitvoeren of voor wetenschappelijke of historische doeleinden)
- Zaken van levensbelang
- Het gewettigd belang van de verantwoordelijke of van een derde partij, waarbij de verwerking noodzakelijk is.
Stel dat je een beroep doet op de toestemming van de betrokkene. Schrijf dan bijvoorbeeld dat je over een naam en e-mailadres beschikt, omdat de gebruiker dit bewust heeft ingevuld bij het aanmelden voor de nieuwsbrief. Informatie over de browser, het type toestel en het IP-adres komen dan weer van cookies, die gebruiker moeten accepteren wanneer ze naar een website surfen. En dat brengt ons bij het volgende punt.
Cookies
Cookies bevatten ook vaak heel wat persoonsgegevens. Wanneer je ze dus gebruikt, is het noodzakelijk om aan te geven wat cookies zijn, welke cookies je gebruikt, wat hun bewaartermijn is en voor welke doeleinden je ze nodig hebt. Meestal doe je dat in een aparte cookie policy.
3. Met wie worden de persoonsgegevens allemaal gedeeld?
Wie ontvangt de gegevens? Wie heeft er allemaal toegang toe? Worden ze nog aan iemand anders doorgegeven? Probeer zo transparant mogelijk te zijn en geef in je privacy statement duidelijk aan met wie je de persoonsgegevens deelt.
Verwerk je de gegevens enkel binnen je eigen bedrijf? Vermeld dit dan expliciet en vertel idealiter ook welke categorie van werknemers in je organisatie hier toegang tot heeft. Werk je ook met andere partijen samen om de gegevens te verwerken, zoals externe firma’s, partnerbedrijven, leveranciers enzovoort? Dan is het ook nodig om dit expliciet te vermelden. Laat de betrokkene zo goed en zo kwaad mogelijk weten waar hun gegevens belanden.
Stel: jij verzamelt de gegevens, maar geeft ze door aan een externe firma voor marketing en analyse. Schrijf dan bijvoorbeeld: ‘wij verzamelen je naam en e-mailadres voor onze nieuwsbrief en geven die door aan een externe marketing firma die de nieuwsbrief voor ons opstelt.’
4. Hoe worden de gegevens beschermd?
Ten vierde is het belangrijk dat je aantoont welke stappen je onderneemt om de veiligheid, vertrouwelijkheid en integriteit van de persoonsgegevens te garanderen. Het is natuurlijk niet de bedoeling dat je alle technologieën en procedures tot in de kleinste details vertelt, want dat zou de bescherming van de gegevens net ondermijnen. Maar je kan wel in grote lijnen vertellen wat je doet om de gegevens te beschermen.
Concreet wil dat dus zeggen dat:
- Je moet voorkomen dat persoonsgegevens gelekt worden - dus publiek gemaakt worden of in verkeerde handen terechtkomen.
- Je de integriteit van de data moet beschermen, wat wil zeggen dat ze niet zomaar gewijzigd of gewist mogen worden.
- Je moet vermijden dat de gegevens verloren gaan, bijvoorbeeld door regelmatig een back-up te maken.
5. Hoelang worden de gegevens bewaard?
Daarnaast is het ook erg belangrijk dat je in je privacy policy vermeldt hoelang de gegevens bewaard worden. Volgens de GDPR mag je data immers niet langer bewaren dan nodig. Doe je dat wel, dan maak je in principe misbruik van de data. Daarom vertel je best zo specifiek mogelijk wat de bewaartermijn is voor elke gegevenscategorie.
6. Wat zijn de rechten van de gebruikers?
Dankzij de GDRP krijgen de betrokkenen veel meer rechten in verband met de verwerking van hun persoonsgegevens. Als organisatie is het dan weer aan jou om je gebruikers hierover in te lichten en processen te voorzien waarmee je die rechten kan garanderen. Som daarom in je privacy statement op wat de rechten zijn van je gebruikers en hoe ze contact met je kunnen opnemen wanneer ze een bepaald recht willen inroepen.
Volgens de GDPR zijn de volgende rechten van toepassing:
1. Recht op inzage/toegang
Iedere gebruiker en bezoeker waarvan je gegevens verzamelt, heeft het recht om toegang te vragen tot zijn informatie en deze in te kijken. Ook mag hij bekijken hoe zijn gegevens verwerkt worden.
2. Recht op rechtzetting
De gebruiker heeft steeds het recht om na inzage bepaalde persoonsgegevens te laten verbeteren, aanvullen of wissen.
3. Recht om te worden vergeten
De gebruiker heeft het recht om volledig uit alle systemen en databases gewist te worden.
4. Recht om klacht in te dienen
De gebruiker heeft steeds het recht om een klacht in te dienen bij de Privacycommissie wanneer hij of zij vindt dat de persoonsgegevens op een onrechtmatige manier verzameld en verwerkt worden.
5. Recht om toestemming in te trekken
Elke gebruiker of bezoeker waarvan er persoonsgegevens verzameld worden, heeft het recht om zich te verzetten tegen de verwerking van die gegevens.
6. Recht op beperking van de verwerking
De betrokkene heeft het recht om de verwerking van zijn persoonsgegevens (tijdelijk) te beperken.
7. Recht op overdraagbaarheid
De betrokkene heeft recht om zijn persoonsgegevens aan en andere verantwoordelijke over te dragen.
8. Recht om zich te verzetten tegen beslissingen op basis van geautomatiseerde verwerkingen
De gebruiker heeft het recht om de automatische profilering te laten uitschakelen.
7. Worden mijn gegevens ook buiten Europa verwerkt?
Verder moet je vermelden of je de gegevens enkel binnen de Europese gemeenschap verwerkt of ook samenwerkt met externe organisaties die zich niet in de EU bevinden. Buiten Europa gelden er immers andere privacyregels, waardoor de kans bestaat dat die organisaties je gegevens anders verwerken dan vermeld in de policy. In de VS hebben bijvoorbeeld ook andere instanties zoals de NSA inzage in je gegevens.
Als je gegevens toch buiten de Europese Unie terechtkomen, dan moet je garanderen dat de gegevens op dezelfde manier beveiligd worden volgens de EU-normen. Kan je dat niet garanderen, leg dan uit welke bescherming van toepassing is. In dat geval kan de gebruiker zelf oordelen of hij vindt dat zijn gegevens voldoende beschermd worden en je website of webshop verder wil gebruiken.
8. Wordt er gebruikgemaakt van geautomatiseerde besluitvorming?
Wanneer er gebruikgemaakt wordt van profilering of geautomatiseerde besluitvorming, dan moet je dit als organisatie vermelden in je privacy policy. In dat geval moet je duidelijk vertellen hoe de besluitvorming plaatsvindt, wat de logica achter de verwerking ervan is en wat de mogelijke gevolgen zijn voor de betrokkenen.
9. Wanneer werd de privacyverklaring voor het laatst herzien?
Een privacy statement is een levend document, wat wil zeggen dat er regelmatig iets gewijzigd kan worden. Stel dat je bijvoorbeeld recent met een nieuwsbrief bent begonnen en je daar e-mailadressen voor aan het verzamelen bent. In dat geval ga je je privacy statement moeten wijzigen en dit ook expliciet gaan vermelden. Je privacy policy moet immers te allen tijde actueel zijn.
Daarom is het belangrijk om te vermelden wanneer je privacy statement voor het laatst werd bijgewerkt en idealiter ook welk versienummer het is. Geef in je privacy statement ook aan dat er af en toe iets gewijzigd kan worden. Ook bewaar je best de oudere versies van je privacy policy, zodat je altijd iets hebt om op terug te vallen in geval van betwisting.
Samenvatting
Je privacy statement updaten is geen overbodige luxe met de GDPR in aantocht. Wanneer je als organisatie aan een of andere vorm van gegevensverwerking doet, dan is het immers verplicht dat er een privacy statement op je website staat. Zo niet, dan loop je de kans op een fikse boete. Maar wat moet er nu allemaal instaan? Volgende items mogen zeker niet ontbreken:
- Wat is de identiteit en contactinformatie van degene die de gegevens verzamelt?
- Welke gegevens verzamel je, op welke manier en met welk doel?
- Gebruik je de gegevens enkel binnen je organisatie of deel je ze ook met derden?
- Welke maatregelen neem je om de gegevens te beschermen?
- Hoe lang bewaar je de gegevens?
- Welke rechten hebben je gebruikers?
- Verwerk je de gegevens ook buiten de EU?
- Maak je gebruik van van automatische besluitvorming?
- Wanneer heb je de privacyverklaring voor het laatst herzien?
Bovendien is het erg belangrijk om alles op een beknopte, transparante, begrijpbare en toegankelijke manier te verwoorden. Laat ingewikkelde woorden achterwege, maar leg het helder en maak het leesbaar.
Weet je niet hoe je aan je privacy statement moet beginnen? Hulp nodig met je GDPR? Wij hebben ons alvast verdiept in de regelgeving en helpen je graag verder. Neem contact met ons op en samen bekijken we hoe we je privacy statement kunnen verbeteren.
Wil je graag meer updates van ons ontvangen? Schrijf je dan in voor onze nieuwsbrief, waarin we je wekelijks waardevolle tips sturen.