Voorbeeld-template privacybeleid
De bedrijfswereld van tegenwoordig hangt voornamelijk af van gegevens en van de informatie die uit die gegevens wordt gehaald.
Gegevens zijn kritiek voor bedrijven die die informatie verwerken om diensten en producten aan hun klanten te leveren. Vanuit een commercieel oogpunt is iedereen in een bedrijf - van het top management tot de operationele medewerkers - in grote mate afhankelijk van informatie.
In een complexe omgeving, waar zoveel afhangt van de gegevens die bedrijven verzamelen en verwerken, wordt de bescherming van die informatie steeds belangrijker. Onder de stappen die door bedrijfseigenaren worden genomen om de gegevens van hun gebruikers te beschermen, neemt het opstellen van een duidelijk en beknopt privacybeleid een centrale plaats in.
In dit artikel bespreken we de elementen van een privacybeleid om je beter inzicht te geven in de samenstelling van een effectief privacybeleid dat vertrouwen bij je klanten opwekt en je beschermt tegen een aantal problemen rond aansprakelijkheid.
- 1. Wat is een privacybeleid?
- 2. Waarom heb je een privacybeleid nodig?
- 2.1. Een privacybeleid is wettelijk vereist
- 2.2. Een privacybeleid is vereist door diensten van derde partijen
- 2.3. Een privacybeleid voor grotere transparantie
- 3. Voorbeeld van een privacybeleid van een website
- 4. Voorbeelden van nuttige clausules voor je privacybeleid
- 4.1. Welke gegevens worden verzameld en hoe
- 4.2. Hoe de gegevens worden gebruikt
- 4.3. Hoe de gegevens worden opgeslagen en beschermd
- 4.4. Contactinformatie van het bedrijf
- 4.5. Gebruik van cookies, logbestanden en tracking
- 4.6. Beleidsclausule betreffende weigeren
- 5. Veelgestelde vragen over privacybeleid
- 6. Conclusie
Wat is een privacybeleid?
Een privacybeleid is een verklaring of een juridisch document dat verklaart hoe een bedrijf of website de gegevens van klanten en bezoekers verzamelt, behandelt en verwerkt. Het beschrijft uitdrukkelijk of die gegevens vertrouwelijk worden behandeld of worden gedeeld met of verkocht aan derde partijen.
Persoonlijke informatie kan uit het volgende bestaan:
- Naam
- Adres
- Telefoonnummer
- Leeftijd
- Geslacht
- Huwelijkse staat
- Ras
- Nationaliteit
- Religieuze overtuiging
Zo beschrijft een uittreksel uit het privacybeleid van Pinterest duidelijk de gegevens die Pinterest verzamelt van zijn gebruikers, en van elke andere bron waaruit gebruikers Pinterest gegevens laten verzamelen. De gegevens die de gebruiker vrijwillig verstrekt omvatten namen, foto's, pins, likes, e-mailadressen, en/of telefoonnummers enz., die alle als persoonsgegevens worden beschouwd.
Bovendien verklaart Pinterest dat het locatiegegevens van gebruikers van mobiele apparaten verzamelt, en als iemand een aankoop op Pinterest doet, worden betaal- en contactgegevens - inclusief een adres en telefoonnummer - verzameld. Als gebruikers producten of diensten voor anderen kopen, verzamelt Pinterest hun contact- en verzendgegevens ook.
Gebruikers kunnen Pinterest ook toestemming geven voor toegang tot gegevens die met andere websites zoals Facebook en Twitter worden gedeeld, door hun Pinterest-account daaraan te koppelen. Deze gegevens omvatten ook gegevens over hun vrienden en volgers. De account-instellingen bevatten informatie over hoeveel toegang Pinterest tot hun gebruikersgegevens heeft.
Samengevat, laat je in een privacybeleid je gebruikers alles weten over hoe je ervoor zorgt dat hun privacy door jouw bedrijfspraktijken wordt gerespecteerd.
Waarom heb je een privacybeleid nodig?
Privacy is geen nieuw begrip. Mensen hebben altijd behoefte gehad aan privacy in hun sociale en privéleven. Maar het idee van privacy als een mensenrecht is een relatief modern fenomeen.
Wereldwijd is er wet- en regelgeving ontwikkeld voor de bescherming van gegevens met betrekking tot overheid, onderwijs, gezondheid, kinderen, consumenten, financiële instellingen enz.
Deze gegevens zijn kritiek voor de persoon aan wie ze toebehoren. Van creditcardnummers en burgerservicenummers tot e-mailadressen en telefoonnummers, onze gevoelige, persoonlijk identificeerbare gegevens zijn belangrijk. Dit soort gegevens in onbetrouwbare handen kan potentieel verstrekkende consequenties hebben.
Bedrijven of websites die klantgegevens behandelen zijn vereist om hun privacybeleid op hun zakelijke websites te publiceren. Als je eigenaar bent van een website, web-app, mobiele app of pc-app die gebruikersgegevens verzamelt of verwerkt, is het vrijwel zeker dat je een privacybeleid op je website moet publiceren (of in de app toegang moet geven tot het volledige Privacybeleid).
Er bestaan diverse redenen voor een website om zijn privacybeleid op zijn website te publiceren.
Hier volgt een aantal hoofdredenen:
- Wettelijk vereist
- Vereist door diensten van derde partijen
- Vergroot de transparantie
Laten we wat dieper ingaan op elk van deze redenen.
Een privacybeleid is wettelijk vereist
Om ervoor te zorgen dat personen zich op hun gemak voelen bij het delen van hun persoonsgegevens op het internet, moet er een soort wettelijke verantwoordelijkheid voor bedrijven bestaan om die gegevens te beschermen en de gebruiker op de hoogte te houden van de status en gezondheid van hun gegevens.
Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:
- Click on "Start creating your Privacy Policy" on our website.
- Select the platforms where your Privacy Policy will be used and go to the next step.
- Add information about your business: your website and/or app.
- Select the country:
- Answer the questions from our wizard relating to what type of information you collect from your users.
-
Enter your email address where you'd like your Privacy Policy sent and click "Generate".
And you're done! Now you can copy or link to your hosted Privacy Policy.
Landen overal ter wereld realiseren zich dat het noodzakelijk is om de gegevens en privacy van hun burgers te beschermen. Bedrijven en websites die klantgegevens verzamelen en/of verwerken zijn vereist om een privacybeleid te publiceren en zich daaraan te houden.
Een meerderheid van de landen heeft al wetten ingevoerd om de gegevensbeveiliging en privacy van hun gebruikers te beschermen. Deze wetten eisen dat bedrijven expliciet toestemming krijgen van de gebruikers van wie ze de gegevens willen opslaan en verwerken.
Een aantal van deze wetten zijn de volgende:
Het is zeer belangrijk voor een bedrijf of website die gebruikersgegevens in een bepaalde regio of bepaald land verzamelen en verwerken, om volledig inzicht te hebben in de gegevens- en privacybeschermingswetten die in die regio en de regio waarin zijn klanten en eindgebruikers zich te bevinden van toepassing zijn. Niet-naleving van deze wetten kan resulteren in hoge boetes en zelfs vervolging van de overtreder.
In sommige gevallen moeten bedrijven wetten volgen die specifiek op bepaalde staten van toepassing zijn of verordeningen die specifiek voor bepaalde sectoren gelden.
Dit is bijvoorbeeld hoe General Motors de CalOPPA in de VS naleeft door een paragraaf die specifiek op Californië van toepassing is in zijn privacybeleid op te nemen:
General Motors stelt zijn gebruikers in Californië op de hoogte van hun rechten door zijn privacybeleid, zoals vereist door de CalOPPA.
Als jouw website/app gebruikers overal ter wereld bereikt, ongeacht waar je gevestigd bent of jouw hoofdkwartier staat, moet je ervoor zorgen dat je de privacywetgeving in alle toepasselijke landen die je bereikt naleeft.
Hoewel gegevensbescherming en privacywetgeving per regio verschillen, moet een privacybeleid zijn gebruikers uitgebreid informeren over de manier waarop hun gegevens worden gebruikt.
Zo is de AVG momenteel de strengste privacywet ter wereld en een van de belangrijkste eisen voor elk bedrijf dat onder zijn rechtsgebied valt, is dat het over een Privacybeleid volgens de AVG beschikt, dat zeer specifieke informatie bevat en in een gemakkelijk te begrijpen manier is geschreven.
Of je website nu een zelfhelp-blog is, of een spel dat in Google Play wordt gehost, het is jouw verantwoordelijkheid om je eindgebruikers volledige informatie te geven over hoe verbonden externe partijen hun gegevens zullen verzamelen en verwerken en (waar mogelijk) voor welk doel.
Een privacybeleid is vereist door diensten van derde partijen
Nog los van het geldende recht, eisen websites zoals Apple, Amazon en Google dat eigenaren van websites en apps een privacybeleid publiceren als ze een van hun diensten gebruiken.
Veel websites en apps gebruiken reclame door derden op pagina's en in de apps om inkomsten te genereren. Omdat deze advertenties ook gebruikersgegevens verzamelen, eisen derde partijen dat de websites of apps hun gebruikers toestemming vragen om hun persoonsgegevens te delen.
Als je bijvoorbeeld Google Analytics op je website gebruikt, eisen de dienstenvoorwaarden van Google Analytics dat je een privacybeleid publiceert. Daarnaast moet je ook bekendmaken dat je Google Analytics gebruikt en enige informatie geven over hoe daarmee gegevens worden verzameld en verwerkt:
Als je een Google app-ontwikkelaar bent, eist het Richtsnoer voor privacybeleid dat jij je gebruikers op de hoogte stelt van welke gegevens je verzamelt, waarom je ze verzamelt en wat je ermee doet.
Een aantal van de populairste diensten van derde partijen eisen dat eigenaren van websites en apps een privacybeleid op hun website publiceren. Enkele van deze diensten zijn:
- Amazon Affiliates
- ClickBank
- Google Play Store
- Google Analytics
- Google Adsense
- Google AdWords
- Facebook Apps
- Twitter Lead Generation
- App Store van Apple
Externe leveranciers zoals Google, Facebook en Amazon eisen dat hun gebruikers (eigenaren van websites en apps) hun eigen gebruikers expliciet informeren als ze reclamefuncties, cookies, of trackingdiensten op hun websites/apps gebruiken om een betere gebruikerservaring te bieden op basis van vroeger browsinggedrag.
Dit is hoe Ookla - een testbedrijf voor vaste broadband en mobiele netwerken - zijn gebruikers in zijn privacybeleid informeert dat het cookies, logbestanden, flashcookies, lokale opslag enz. gebruikt in zijn applicaties op de websites en mobiele applicaties om (1) de prestatie te verbeteren, (2) beter te begrijpen hoe de software van Ookla functioneert, en (3) de gebruiker een gepersonaliseerde ervaring te geven.
Een privacybeleid voor grotere transparantie
Bedrijven waarvan de bedrijfsmodellen zich richten op het hanteren van gevoelige klantgegevens vinden het ontzettend belangrijk dat hun gebruikers vertrouwen in hen hebben. Een duidelijk en uitgebreid privacybeleid dat gebruikers precies vertelt welke informatie het bedrijf verzamelt en wat het met die informatie doet, geeft vertrouwen in een bedrijf. Het geeft gebruikers een gevoel van veiligheid dat ze weten hoeveel controle ze over hun eigen persoonsgegevens hebben krachtens de voorwaarden waarop ze zich aanmelden.
Jouw privacybeleid moet jouw gebruikers informeren over hoe jouw website of app met hun persoonsgegevens omgaat. Jouw gebruikers moeten bovendien worden geïnformeerd over de reden voor het verzamelen van gegevens, en hoe lang hun gegevens op jouw servers blijven opgeslagen.
Zelfs als je geen persoonsgegevens verzamelt, moet je dit feit in een privacybeleid vermelden. Het bevordert de transparantie, omdat gebruikers verwachten een privacybeleid te zien. Als je helemaal geen privacybeleid hebt, kunnen gebruikers aannemen dat je een grote hoeveelheid persoonsgegevens verzamelt en dit niet vermeldt, in plaats van dat je helemaal niets verzamelt.
De zoekmachine DuckDuckGo trackt de zoekactiviteiten van gebruikers niet en slaat ook geen browsinggeschiedenis op. Zijn privacybeleid verklaart dat er geen gebruikersgegevens worden opgeslagen of gedeeld.
Voorbeeld van een privacybeleid van een website
Om transparant tegen je gebruikers te zijn over welke persoonsgegevens je verzamelt en wat je ermee doet, moet je een privacybeleid op je website plaatsen en toegang in de app daartoe geven.
Websites publiceren meestal een link naar het volledige privacybeleid vanuit de footer van de website, terwijl apps over het algemeen het privacybeleid aan een menu "Over" of "Juridisch" toevoegen.
Een andere populaire plaats voor e-commerce winkelapps en -websites is de kassapagina, of accountregistratiepagina, als je geen e-commercecomponent hebt, maar het gebruikers toestaat accounts te creëren.
Medium koppelt zijn privacybeleid aan de website-footer.
Het format en thema van het privacybeleid zijn in lijn met de rest van de website en hebben geen ankernavigatie.
Het bevat de volgende clausules:
- Gegevens die we verzamelen en hoe we die gebruiken
- Gegevensverstrekking
- Publieke gegevens
- Opslag gegevens
- Inbedding derde partij
- Tracking en cookies
- Wijzigen of wissen van uw persoonsgegevens
- Gegevensbeveiliging
- Bedrijfsdoorgiften
- E-mail van Medium
- Wijzigingen in dit beleid
- Vragen
Er is bovendien een paragraaf die specifiek ingaat op gebruikers in de EU en informatie bevat die vereist is door de AVG, zoals:
- De rechtsgronden voor het verzamelen en verwerken van informatie
- Met welke externe partijen (zoals betalingsverwerkers) Medium samenwerkt en gegevens deelt
- Hoe lang gegevens worden bewaard
- De rechten van betrokkenen in de EU
- Hoe je als betrokkene een verzoek om inzage doet
- Contactinformatie voor de EU-vertegenwoordiger van Medium
Als jouw bedrijf, net als Medium, gebruikers in de EU heeft, moet je dit soort informatie in je privacybeleid opnemen om de AVG na te leven.
Laten we nu kijken naar een aantal voorbeelden van specifieke clausules die in je privacybeleid moeten staan.
Voorbeelden van nuttige clausules voor je privacybeleid
Je privacybeleid moet accuraat zijn en gemakkelijk te begrijpen, met alle nodige informatie die wettelijk vereist is en transparantie bevordert.
Over het algemeen gesproken, moet elk privacybeleid ten minste de volgende clausules bevatten:
- Welke gegevens worden verzameld en hoe
- Hoe de gegevens worden gebruikt
- Hoe de gegevens worden opgeslagen en beschermd
- Contactinformatie van het bedrijf
- Gebruik van cookies, logbestanden en tracking
- Hoe een gebruiker verzameling/gebruik van gegevens kan weigeren
Hier volgt elke clausule in actie.
Welke gegevens worden verzameld en hoe
Privacybeleid vertelt gebruikers welke gegevens over hen worden verzameld. Hieronder vallen gegevens die gebruikers vrijwillig en actief verstrekken als ze zich aanmelden voor het gebruik van diensten, en gegevens die automatisch over hen verzameld kunnen worden, zoals via het gebruik van cookies.
Je kunt beschrijven hoe je gegevens classificeert, bijv. openbare, privé- of persoonlijke gegevens. Hierdoor weet de gebruiker precies wat deze termen in de rest van het privacybeleid betekenen.
Dit is een voorbeeld van hoe je een clausule kunt opstellen om deze informatie aan jouw gebruikers uit te leggen:
Het privacybeleid van PBS Kids vertelt gebruikers welke gegevens het van hen verzamelt. Het beschrijft de gegevens die het verzamelt en bevat na elk soort gegevens een korte, maar meer gedetailleerde paragraaf die verdere informatie geeft.
Hoe de gegevens worden gebruikt
Een van de belangrijkste doelstellingen van privacybeleid is het uitleggen aan gebruikers hoe de gegevens die het bedrijf verzamelt worden gebruikt.
Pinterest heeft in zijn privacybeleid een vrij groot onderdeel over Wat we doen met de info die we verzamelen. In de eerste paragraaf daarvan verklaart het dat de website de gegevens gebruikt om diensten aan de gebruikers te leveren. Vervolgens legt het een paar verschillende manieren uit waarop het de gegevens gebruikt met inbegrip van de identificatie van gebruikers, de verwerking van hun transacties, het doen van aanbevelingen, en het reageren op hun vragen en opmerkingen.
Hoe de gegevens worden opgeslagen en beschermd
Nog een belangrijke clausule die in je privacybeleid moet worden opgenomen, gaat over hoe je de gegevens die je van je websitebezoekers verzamelt opslaat en beschermt. Je kunt uitleg geven over de verschillende manieren waarop je gegevens opslaat en over de maatregelen die je neemt om die gegevens te beschermen.
Zo verklaart het privacybeleid van Caffe Nero dat de gegevens van de gebruikersaccount worden beschermd door een wachtwoord en legt uit welke stappen gebruikers kunnen nemen om ongeoorloofde toegang tot hun accounts te voorkomen.
Bovendien verklaart het dat de website ook stappen neemt om zoveel mogelijk beveiliging te garanderen, maar het garandeert echter niet dat de maatregelen die het neemt ongeoorloofde toegang zullen voorkomen.
Shopify verklaart in zijn privacybeleid dat het de normen van de sector over gegevensbeschermingsbeheer volgt om gevoelige gebruikersgegevens te beschermen. Het zegt bovendien dat het bedrijf jaarlijks controles uitvoert om ervoor te zorgen dat de behandeling van creditcardgegevens van gebruikers overeenkomt met de normen van de sector. Tot slot vermeldt het dat Shopify de absolute beveiliging van de persoonsgegevens van hun gebruikers niet kunnen garanderen, aangezien geen enkele methode van doorgifte via het internet 100% veilig is.
Contactinformatie van het bedrijf
Als bedrijfseigenaar is het belangrijk dat je de contactinformatie van je bedrijf in je privacybeleid opneemt. Over het algemeen wordt contactinformatie toegevoegd aan het eind van het privacybeleid en bevat een fysiek (straat)adres, e-mailadres en/of telefoonnummer. Hoe meer contactinformatie je kunt verstrekken, des te beter.
De British Heart Foundation verstrekt een contactclausule met daarin een postadres en een e-mailadres om contact mee op te nemen:
Gebruik van cookies, logbestanden en tracking
Websites en apps gebruiken cookies om gebruikersgegevens op te slaan, gebruikers persoonlijke ervaringen te bieden en de webgeschiedenis van hun gebruikers te verzamelen. Andere websites kunnen een ander gebruik van cookies maken en kunnen er zelfs voor kiezen om derde partijen toegang tot die cookies te geven.
In elk geval wordt van eigenaren van websites vereist dat zij hun gebruikers informeren over de tools die het bedrijf gebruikt om gebruikersgegevens te verzamelen en hun gedrag te tracken, waaronder ook cookies.
Hier zien we hoe Discord het gebruik van cookies in zijn privacybeleid behandelt:
De meeste websites en eigenaren van apps gebruiken logbestanden om automatisch gegevens over de IP-adressen, browser, data/tijd enz. van hun gebruikers te verzamelen en op te slaan, en gebruiken deze voor verschillende doeleinden.
Dit is hoe AWeber uitlegt hoe het de gegevens die met gebruik van logbestanden van bezoekers worden verzameld gebruikt in zijn privacybeleid.
Merk op hoe het bedrijf eenvoudige beschrijvingen en heldere terminologie gebruikt om het gebruik van deze bestanden te beschrijven, wat nuttig is omdat de meeste mensen waarschijnlijk geen idee hebben wat de functie van dit soort bestanden is.
Beleidsclausule betreffende weigeren
Apps en websites vertellen hun klanten over hun recht om bepaalde aspecten of diensten die door een website worden aangeboden te weigeren.
Het privacybeleid van Forever 21, bijvoorbeeld, informeert klanten over hun recht om diensten van het bedrijf te weigeren.
Merk op hoe de clausule is opgedeeld in vele korte delen met eenvoudige, heldere instructies voor elke weigeringsmethode.
Veelgestelde vragen over privacybeleid
Zeer waarschijnlijk wel. Een privacybeleid is zowel wettelijk vereist (VS, Europa, Canada en vele andere landen), maar wordt ook vereist door diensten van derde partijen of externe dienstverleners waarvan jouw website of app wellicht gebruik maakt (zoals Google Analytics).
Conclusie
Ongeacht of je eigenaar bent van een website of app die gebruikersgegevens verzamelt, verwerkt en/of opslaat, je hebt bepaalde verantwoordelijkheden ten aanzien van je gebruikers. De allerbelangrijkste verantwoordelijkheden voor jou als eigenaar van een website zijn het veilig bewaren van hun persoonsgegevens, het zo goed mogelijk beschermen van hun privacy, en hen op de hoogte te houden over hoe hun gegevens worden opgeslagen en verwerkt door over een privacybeleid te beschikken.
Houd je privacybeleid accuraat en bijgewerkt, en stuur zo nodig Berichten over updates van je privacybeleid.
Als jouw website, web-app, mobiele app, of pc-app enige soort persoonsgegevens van zijn eindgebruikers verzamelt, dan is de kans groot dat de wet of diensten van derde partijen van je eisen om een privacybeleid op je website/app te publiceren.
Als eigenaar van een website moet je op de hoogte zijn van:
- de privacywetten in het rechtsgebied waarin je bedrijf is gevestigd en die van waar jouw gebruikers zich bevinden.
- de eisen in dienstenvoorwaarden voor diensten van derde partijen waarmee je website is verbonden.