Wat is een privacy statement?
Vanaf 25 mei 2018 zijn alle bedrijven (dus ook zzp’ers en mkb’ers) die persoonsgegevens verwerken verplicht om beter te informeren over hun privacybeleid. Dit doe je met een Privacy Statement. Hij is wettelijk verplicht, je voorkomt er boetes mee en je laat aan je klanten zien dat je netjes met hun persoonsgegevens omgaat. In een privacy statement (of privacyverklaring) neem je op wat voor beleid je voert ten aanzien van het verwerken van persoonsgegevens. Je zet er in welke gegevens je met welk doel verwerkt en of deze gegevens nog met andere partijen worden gedeeld. Dit deel je vervolgens mee aan je klanten/cliënten. Het is niet verplicht om een privacy statement te laten ondertekenen.
Heb ik een privacy statement nodig?
De AVG (Algemene verordening gegevensbescherming) schrijft voor dat alle bedrijven en zzp’ers in Nederland die persoonsgegevens verwerken, verplicht zijn een te voldoen aan de informatieplicht. Met het hebben van een privacy statement voldoe je eenvoudig aan deze plicht. In de praktijk wordt dan ook in bijna alle gevallen voldaan aan de informatieplicht door middel van een privacy statement.
Het verwerken van persoonsgegevens is iets dat tegenwoordig bijna ieder bedrijf doet. Onder ‘verwerken’ vallen alle handelingen met betrekking tot persoonsgegevens; verzamelen, vastleggen, raadplegen, opvragen etc. Een voorbeeld van het verwerken van persoonsgegevens is bijvoorbeeld het opslaan van een naam van een klant in een klantenbestand. De kans dat je een privacy statement nodig hebt, is dus erg groot.
Het verwerken van persoonsgegevens is iets dat tegenwoordig bijna ieder bedrijf doet. Onder ‘verwerken’ vallen alle handelingen met betrekking tot persoonsgegevens; verzamelen, vastleggen, raadplegen, opvragen etc. Een voorbeeld van het verwerken van persoonsgegevens is bijvoorbeeld het opslaan van een naam van een klant in een klantenbestand. De kans dat je een privacy statement nodig hebt, is dus erg groot.
Voordelen van een privacy statement
De Autoriteit Persoonsgegevens (AP) ziet erop dat dat alle regels omtrent privacy en persoonsgegevens goed worden nageleefd. Wanneer deze regels niet worden nageleefd, kan dat leiden tot hoge boetes. Deze boetes lopen in sommige gevallen zelfs op tot 4% van de jaaromzet. Een privacy statement is een van de documenten die ervoor zorgt dat je een dergelijke boete ontloopt.
Ook werkt een privacy statement als marketingmiddel; je onderscheidt je en kweekt vertrouwen door je klant of cliënt te wijzen op de vergaande maatregelen die jij neemt om zijn of haar privacy te beschermen. Ook weten jouw klanten of cliënten waar zij aan toe zijn, dit draagt bij aan een positieve beeldvorming over jouw bedrijf.
Ook werkt een privacy statement als marketingmiddel; je onderscheidt je en kweekt vertrouwen door je klant of cliënt te wijzen op de vergaande maatregelen die jij neemt om zijn of haar privacy te beschermen. Ook weten jouw klanten of cliënten waar zij aan toe zijn, dit draagt bij aan een positieve beeldvorming over jouw bedrijf.
Wat regel je in een privacy statement?
In het privacy statement van VraagHugo regel je onder meer:
- Hoe de persoonsgegevens wordt gebruikt
- Hoe de persoonsgegevens worden verkregen
- Of gegevens worden gedeeld aan derden
- Hoe persoonsgegevens gewijzigd kunnen worden
- Wat de rechten van de klant/cliënt zijn
Hoe lang mag ik persoonsgegevens bewaren?
Veel bedrijven willen gegevens het liefste oneindig lang bewaren. Je weet immers nooit of de gegevens nog van pas komen. Dat mag echter niet. Bij het verzamelen van gegevens moet je van tevoren nadenken over hoe lang je bepaalde gegevens echt nodig hebt.
Je mag persoonsgegevens namelijk alleen gebruiken voor vooraf bepaalde, wettelijk toegestane doeleinden. Wanneer je bepaalde gegevens niet meer nodig hebt voor het bereiken van dat doeleinde, moet je de gegevens verwijderen of anonimiseren.
Een paar voorbeelden:
Je houdt van al je werknemers een personeelsdossier bij, omdat dit wettelijk verplicht is. Wanneer een werknemer uit dienst is en je alle salarisbetalingen hebt verricht, moet je zijn personeelsdossier dus verwijderen.
Je hebt gegevens van je klanten in je financiële administratie. Je bent wettelijk verplicht die gegevens zeven jaar te bewaren, zodat de belastingdienst controles kan uitvoeren. Na die zeven jaar moet je de persoonsgegevens van je klanten uit je administratie verwijderen.
Je bewaart e-mailadressen en de bestelhistorie van je klanten, omdat je ze later wil kunnen mailen met informatie over aanbiedingen. Na verloop van tijd is de bestelhistorie gevuld met heel oude bestellingen, die niet meer relevant zijn. Je moet deze gegevens dan verwijderen.
Je mag persoonsgegevens namelijk alleen gebruiken voor vooraf bepaalde, wettelijk toegestane doeleinden. Wanneer je bepaalde gegevens niet meer nodig hebt voor het bereiken van dat doeleinde, moet je de gegevens verwijderen of anonimiseren.
Een paar voorbeelden:
Je houdt van al je werknemers een personeelsdossier bij, omdat dit wettelijk verplicht is. Wanneer een werknemer uit dienst is en je alle salarisbetalingen hebt verricht, moet je zijn personeelsdossier dus verwijderen.
Je hebt gegevens van je klanten in je financiële administratie. Je bent wettelijk verplicht die gegevens zeven jaar te bewaren, zodat de belastingdienst controles kan uitvoeren. Na die zeven jaar moet je de persoonsgegevens van je klanten uit je administratie verwijderen.
Je bewaart e-mailadressen en de bestelhistorie van je klanten, omdat je ze later wil kunnen mailen met informatie over aanbiedingen. Na verloop van tijd is de bestelhistorie gevuld met heel oude bestellingen, die niet meer relevant zijn. Je moet deze gegevens dan verwijderen.
Ik heb een privacy statement gemaakt… En nu?
Je privacy statement gebruik je om de betrokkene te informeren over de gegevens die je over hem verwerkt, de doeleinden van die verwerking en de rechten die de betrokkene heeft. Je moet de privacy statement dus onder de aandacht van de betrokkene brengen, voordat je de persoonsgegevens verkrijgt. De betrokkene hoeft de privacy statement niet te tekenen; het is geen overeenkomst maar een informatiedocument.
Een van de belangrijkste verplichtingen uit de AVG is de verplichting om de persoon over wie je gegevens verwerkt – de betrokkene – daarover te informeren. Als het ook maar enigszins mogelijk is, moet je dat doen voordat je die gegevens verkrijgt.
Veel partijen verzamelen gegevens via hun website. In dat geval is de website zelf natuurlijk de beste plek. Je kunt de privacy statement dan bijvoorbeeld in de footer van je website zetten.
Als je gebruikers een bestelling plaatsen of een account aanmaken, dan is het een goed idee om bij de laatste stap nog even een linkje te zetten naar de privacy statement. Op die manier weet je zeker dat je gebruikers de mogelijkheid hebben gehad om je privacy statement te lezen.
Een van de belangrijkste verplichtingen uit de AVG is de verplichting om de persoon over wie je gegevens verwerkt – de betrokkene – daarover te informeren. Als het ook maar enigszins mogelijk is, moet je dat doen voordat je die gegevens verkrijgt.
Veel partijen verzamelen gegevens via hun website. In dat geval is de website zelf natuurlijk de beste plek. Je kunt de privacy statement dan bijvoorbeeld in de footer van je website zetten.
Als je gebruikers een bestelling plaatsen of een account aanmaken, dan is het een goed idee om bij de laatste stap nog even een linkje te zetten naar de privacy statement. Op die manier weet je zeker dat je gebruikers de mogelijkheid hebben gehad om je privacy statement te lezen.
Wat zijn persoonsgegevens?
Het begrip ‘persoonsgegevens’ wordt heel ruim uitgelegd. Het gaat dus niet alleen maar om iemands naam, maar om elk gegeven op basis waarvan je iemand kunt identificeren. Een uniek nummer, een huisadres, een postcode, een IP-adres, het zijn allemaal persoonsgegevens. Ook alle gegevens die in een database gekoppeld zijn aan dergelijke identificerende gegevens, zijn door die koppeling persoonsgegevens. Maar ook gepseudonimiseerde gegevens (zoals gehashte of versleutelde gegevens) zijn persoonsgegevens.
Indirect identificerende gegevens
Wanneer je iemand op basis van bepaalde gegevens alleen indirect kunt identificeren, is er eveneens sprake van persoonsgegevens. Stel je bijvoorbeeld voor dat je een database hebt waarin alleen locatiegegevens staan. Dan kan het zo zijn dat die gegevens zo uniek zijn dat er maar een heel klein groepje mensen bestaat van wie dat locatiepatroon zou kunnen zijn. Daarom is er ook in dat geval sprake van persoonsgegevens.
Bedrijfsgegevens
Ook wanneer je (alleen) gegevens verwerkt over kleine bedrijven, is er over het algemeen sprake zijn van persoonsgegevens. Dat bedrijf kan namelijk ook een eenmanszaak, of een bv met maar één werknemer zijn.
Enkele voorbeelden van persoonsgegevens:
Accountnummer
Afbeeldingen
Beroepsactiviteiten
Gewoonten
Hypotheken
Interesse in een product
NAW-gegevens
Profielfoto
Reisgedrag
Sociale contacten
Solvabiliteit
Surfgedrag
Telefoonnummer
Uitgaven
Indirect identificerende gegevens
Wanneer je iemand op basis van bepaalde gegevens alleen indirect kunt identificeren, is er eveneens sprake van persoonsgegevens. Stel je bijvoorbeeld voor dat je een database hebt waarin alleen locatiegegevens staan. Dan kan het zo zijn dat die gegevens zo uniek zijn dat er maar een heel klein groepje mensen bestaat van wie dat locatiepatroon zou kunnen zijn. Daarom is er ook in dat geval sprake van persoonsgegevens.
Bedrijfsgegevens
Ook wanneer je (alleen) gegevens verwerkt over kleine bedrijven, is er over het algemeen sprake zijn van persoonsgegevens. Dat bedrijf kan namelijk ook een eenmanszaak, of een bv met maar één werknemer zijn.
Enkele voorbeelden van persoonsgegevens:
Accountnummer
Afbeeldingen
Beroepsactiviteiten
Gewoonten
Hypotheken
Interesse in een product
NAW-gegevens
Profielfoto
Reisgedrag
Sociale contacten
Solvabiliteit
Surfgedrag
Telefoonnummer
Uitgaven
De meest gestelde vragen over een privacy statement
Moeten mijn klanten de privacy statement ondertekenen?
De AVG schrijft voor dat als je persoonsgegevens verwerkt, je verplicht bent om een privacy statement te he... lees meer
Hoe lang mag ik persoonsgegevens bewaren?
Veel bedrijven willen gegevens het liefste oneindig lang bewaren. Je weet immers nooit of de gegevens nog v... lees meer
Ik heb een privacy statement gemaakt en nu?
Antwoord: je privacy statement gebruik je om de betrokkene te informeren over de gegevens die je over hem v... lees meer
Wat zijn persoonsgegevens?
Het begrip wordt heel ruim uitgelegd. Het gaat dus niet alleen maar om iemands naam, maar om elk gegeven op... lees meer
Wie gingen je voor?
VraagHugo is echt een 'game changer'. Ik heb meteen het abonnement genomen.
Arnoud Haverlag
Co-founder van startup studio Backspace
VraagHugo bespaart ons bedrijf veel onnodige kosten en tijd. Bovendien is alles juridisch gecheckt en op maat. Ideaal!
Danijel Dercksen
Co-owner Qontent Matters
VraagHugo: verrassend eenvoudig, voordelig en to-the-point. Ik had niet verwacht dat kwalitatief juridisch advies zo toegankelijk kon zijn.
Patrick Roozeman
Algemeen Directeur MultiTankCard