Voorbeeld-template privacybeleid

door Maria P.
Voorbeeld-template privacybeleid

De bedrijfswereld van tegenwoordig hangt voornamelijk af van gegevens en van de informatie die uit die gegevens wordt gehaald.

Gegevens zijn kritiek voor bedrijven die die informatie verwerken om diensten en producten aan hun klanten te leveren. Vanuit een commercieel oogpunt is iedereen in een bedrijf - van het top management tot de operationele medewerkers - in grote mate afhankelijk van informatie.

In een complexe omgeving, waar zoveel afhangt van de gegevens die bedrijven verzamelen en verwerken, wordt de bescherming van die informatie steeds belangrijker. Onder de stappen die door bedrijfseigenaren worden genomen om de gegevens van hun gebruikers te beschermen, neemt het opstellen van een duidelijk en beknopt privacybeleid een centrale plaats in.

In dit artikel bespreken we de elementen van een privacybeleid om je beter inzicht te geven in de samenstelling van een effectief privacybeleid dat vertrouwen bij je klanten opwekt en je beschermt tegen een aantal problemen rond aansprakelijkheid.


Wat is een privacybeleid?

Een privacybeleid is een verklaring of een juridisch document dat verklaart hoe een bedrijf of website de gegevens van klanten en bezoekers verzamelt, behandelt en verwerkt. Het beschrijft uitdrukkelijk of die gegevens vertrouwelijk worden behandeld of worden gedeeld met of verkocht aan derde partijen.

Persoonlijke informatie kan uit het volgende bestaan:

  • Naam
  • Adres
  • E-mail
  • Telefoonnummer
  • Leeftijd
  • Geslacht
  • Huwelijkse staat
  • Ras
  • Nationaliteit
  • Religieuze overtuiging

Zo beschrijft een uittreksel uit het privacybeleid van Pinterest duidelijk de gegevens die Pinterest verzamelt van zijn gebruikers, en van elke andere bron waaruit gebruikers Pinterest gegevens laten verzamelen. De gegevens die de gebruiker vrijwillig verstrekt omvatten namen, foto's, pins, likes, e-mailadressen, en/of telefoonnummers enz., die alle als persoonsgegevens worden beschouwd.

Privacybeleid Pinterest: Clausule Persoonsgegevens: Wanneer je ze aan ons geeft of ons toestemming geeft om ze te verkrijgen

Bovendien verklaart Pinterest dat het locatiegegevens van gebruikers van mobiele apparaten verzamelt, en als iemand een aankoop op Pinterest doet, worden betaal- en contactgegevens - inclusief een adres en telefoonnummer - verzameld. Als gebruikers producten of diensten voor anderen kopen, verzamelt Pinterest hun contact- en verzendgegevens ook.

Gebruikers kunnen Pinterest ook toestemming geven voor toegang tot gegevens die met andere websites zoals Facebook en Twitter worden gedeeld, door hun Pinterest-account daaraan te koppelen. Deze gegevens omvatten ook gegevens over hun vrienden en volgers. De account-instellingen bevatten informatie over hoeveel toegang Pinterest tot hun gebruikersgegevens heeft.

Samengevat, laat je in een privacybeleid je gebruikers alles weten over hoe je ervoor zorgt dat hun privacy door jouw bedrijfspraktijken wordt gerespecteerd.

Waarom heb je een privacybeleid nodig?

Privacy is geen nieuw begrip. Mensen hebben altijd behoefte gehad aan privacy in hun sociale en privéleven. Maar het idee van privacy als een mensenrecht is een relatief modern fenomeen.

Wereldwijd is er wet- en regelgeving ontwikkeld voor de bescherming van gegevens met betrekking tot overheid, onderwijs, gezondheid, kinderen, consumenten, financiële instellingen enz.

Deze gegevens zijn kritiek voor de persoon aan wie ze toebehoren. Van creditcardnummers en burgerservicenummers tot e-mailadressen en telefoonnummers, onze gevoelige, persoonlijk identificeerbare gegevens zijn belangrijk. Dit soort gegevens in onbetrouwbare handen kan potentieel verstrekkende consequenties hebben.

Bedrijven of websites die klantgegevens behandelen zijn vereist om hun privacybeleid op hun zakelijke websites te publiceren. Als je eigenaar bent van een website, web-app, mobiele app of pc-app die gebruikersgegevens verzamelt of verwerkt, is het vrijwel zeker dat je een privacybeleid op je website moet publiceren (of in de app toegang moet geven tot het volledige Privacybeleid).

Er bestaan diverse redenen voor een website om zijn privacybeleid op zijn website te publiceren.

Hier volgt een aantal hoofdredenen:

  • Wettelijk vereist
  • Vereist door diensten van derde partijen
  • Vergroot de transparantie

Laten we wat dieper ingaan op elk van deze redenen.

Een privacybeleid is wettelijk vereist

Om ervoor te zorgen dat personen zich op hun gemak voelen bij het delen van hun persoonsgegevens op het internet, moet er een soort wettelijke verantwoordelijkheid voor bedrijven bestaan om die gegevens te beschermen en de gebruiker op de hoogte te houden van de status en gezondheid van hun gegevens.

Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:

  1. Click on "Start creating your Privacy Policy" on our website.
  2. Select the platforms where your Privacy Policy will be used and go to the next step.
  3. PrivacyPolicies.com: Privacy Policy Generator - Select platforms - Step 1

  4. Add information about your business: your website and/or app.
  5. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  6. Select the country:
  7. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  8. Answer the questions from our wizard relating to what type of information you collect from your users.
  9. PrivacyPolicies.com: Privacy Policy Generator - Answer questions from our wizard - Step 3

  10. Enter your email address where you'd like your Privacy Policy sent and click "Generate".

    PrivacyPolicies.com: Privacy Policy Generator - Enter your email address - Step 4

    And you're done! Now you can copy or link to your hosted Privacy Policy.

Landen overal ter wereld realiseren zich dat het noodzakelijk is om de gegevens en privacy van hun burgers te beschermen. Bedrijven en websites die klantgegevens verzamelen en/of verwerken zijn vereist om een privacybeleid te publiceren en zich daaraan te houden.

Een meerderheid van de landen heeft al wetten ingevoerd om de gegevensbeveiliging en privacy van hun gebruikers te beschermen. Deze wetten eisen dat bedrijven expliciet toestemming krijgen van de gebruikers van wie ze de gegevens willen opslaan en verwerken.

Een aantal van deze wetten zijn de volgende:

Het is zeer belangrijk voor een bedrijf of website die gebruikersgegevens in een bepaalde regio of bepaald land verzamelen en verwerken, om volledig inzicht te hebben in de gegevens- en privacybeschermingswetten die in die regio en de regio waarin zijn klanten en eindgebruikers zich te bevinden van toepassing zijn. Niet-naleving van deze wetten kan resulteren in hoge boetes en zelfs vervolging van de overtreder.

In sommige gevallen moeten bedrijven wetten volgen die specifiek op bepaalde staten van toepassing zijn of verordeningen die specifiek voor bepaalde sectoren gelden.

Dit is bijvoorbeeld hoe General Motors de CalOPPA in de VS naleeft door een paragraaf die specifiek op Californië van toepassing is in zijn privacybeleid op te nemen:

Clausule Privacybeleid Californië van General Motors

General Motors stelt zijn gebruikers in Californië op de hoogte van hun rechten door zijn privacybeleid, zoals vereist door de CalOPPA.

Als jouw website/app gebruikers overal ter wereld bereikt, ongeacht waar je gevestigd bent of jouw hoofdkwartier staat, moet je ervoor zorgen dat je de privacywetgeving in alle toepasselijke landen die je bereikt naleeft.

Hoewel gegevensbescherming en privacywetgeving per regio verschillen, moet een privacybeleid zijn gebruikers uitgebreid informeren over de manier waarop hun gegevens worden gebruikt.

Zo is de AVG momenteel de strengste privacywet ter wereld en een van de belangrijkste eisen voor elk bedrijf dat onder zijn rechtsgebied valt, is dat het over een Privacybeleid volgens de AVG beschikt, dat zeer specifieke informatie bevat en in een gemakkelijk te begrijpen manier is geschreven.

Of je website nu een zelfhelp-blog is, of een spel dat in Google Play wordt gehost, het is jouw verantwoordelijkheid om je eindgebruikers volledige informatie te geven over hoe verbonden externe partijen hun gegevens zullen verzamelen en verwerken en (waar mogelijk) voor welk doel.

Een privacybeleid is vereist door diensten van derde partijen

Nog los van het geldende recht, eisen websites zoals Apple, Amazon en Google dat eigenaren van websites en apps een privacybeleid publiceren als ze een van hun diensten gebruiken.

Veel websites en apps gebruiken reclame door derden op pagina's en in de apps om inkomsten te genereren. Omdat deze advertenties ook gebruikersgegevens verzamelen, eisen derde partijen dat de websites of apps hun gebruikers toestemming vragen om hun persoonsgegevens te delen.

Als je bijvoorbeeld Google Analytics op je website gebruikt, eisen de dienstenvoorwaarden van Google Analytics dat je een privacybeleid publiceert. Daarnaast moet je ook bekendmaken dat je Google Analytics gebruikt en enige informatie geven over hoe daarmee gegevens worden verzameld en verwerkt:

Dienstenvoorwaarden Google Analytics: privacyclausule gemarkeerd

Als je een Google app-ontwikkelaar bent, eist het Richtsnoer voor privacybeleid dat jij je gebruikers op de hoogte stelt van welke gegevens je verzamelt, waarom je ze verzamelt en wat je ermee doet.

Google Developer Richtsnoer privacybeleid: Paragraaf Hoe u moet vermelden welke gegevens u verzamelt, en hoe je ze gebruikt en opslaat

Een aantal van de populairste diensten van derde partijen eisen dat eigenaren van websites en apps een privacybeleid op hun website publiceren. Enkele van deze diensten zijn:

  • Amazon Affiliates
  • ClickBank
  • Google Play Store
  • Google Analytics
  • Google Adsense
  • Google AdWords
  • Facebook Apps
  • Twitter Lead Generation
  • App Store van Apple

Externe leveranciers zoals Google, Facebook en Amazon eisen dat hun gebruikers (eigenaren van websites en apps) hun eigen gebruikers expliciet informeren als ze reclamefuncties, cookies, of trackingdiensten op hun websites/apps gebruiken om een betere gebruikerservaring te bieden op basis van vroeger browsinggedrag.

Dit is hoe Ookla - een testbedrijf voor vaste broadband en mobiele netwerken - zijn gebruikers in zijn privacybeleid informeert dat het cookies, logbestanden, flashcookies, lokale opslag enz. gebruikt in zijn applicaties op de websites en mobiele applicaties om (1) de prestatie te verbeteren, (2) beter te begrijpen hoe de software van Ookla functioneert, en (3) de gebruiker een gepersonaliseerde ervaring te geven.

Privacybeleid Ookla: Clausule Welke informatie we verzamelen gemarkeerd

Een privacybeleid voor grotere transparantie

Bedrijven waarvan de bedrijfsmodellen zich richten op het hanteren van gevoelige klantgegevens vinden het ontzettend belangrijk dat hun gebruikers vertrouwen in hen hebben. Een duidelijk en uitgebreid privacybeleid dat gebruikers precies vertelt welke informatie het bedrijf verzamelt en wat het met die informatie doet, geeft vertrouwen in een bedrijf. Het geeft gebruikers een gevoel van veiligheid dat ze weten hoeveel controle ze over hun eigen persoonsgegevens hebben krachtens de voorwaarden waarop ze zich aanmelden.

Jouw privacybeleid moet jouw gebruikers informeren over hoe jouw website of app met hun persoonsgegevens omgaat. Jouw gebruikers moeten bovendien worden geïnformeerd over de reden voor het verzamelen van gegevens, en hoe lang hun gegevens op jouw servers blijven opgeslagen.

Zelfs als je geen persoonsgegevens verzamelt, moet je dit feit in een privacybeleid vermelden. Het bevordert de transparantie, omdat gebruikers verwachten een privacybeleid te zien. Als je helemaal geen privacybeleid hebt, kunnen gebruikers aannemen dat je een grote hoeveelheid persoonsgegevens verzamelt en dit niet vermeldt, in plaats van dat je helemaal niets verzamelt.

De zoekmachine DuckDuckGo trackt de zoekactiviteiten van gebruikers niet en slaat ook geen browsinggeschiedenis op. Zijn privacybeleid verklaart dat er geen gebruikersgegevens worden opgeslagen of gedeeld.

Privacybeleid DuckDuckGo: Inleidingsclausule met lijst met links

Voorbeeld van een privacybeleid van een website

Om transparant tegen je gebruikers te zijn over welke persoonsgegevens je verzamelt en wat je ermee doet, moet je een privacybeleid op je website plaatsen en toegang in de app daartoe geven.

Websites publiceren meestal een link naar het volledige privacybeleid vanuit de footer van de website, terwijl apps over het algemeen het privacybeleid aan een menu "Over" of "Juridisch" toevoegen.

Een andere populaire plaats voor e-commerce winkelapps en -websites is de kassapagina, of accountregistratiepagina, als je geen e-commercecomponent hebt, maar het gebruikers toestaat accounts te creëren.

Medium koppelt zijn privacybeleid aan de website-footer.

Screenshot van homepagina Medium met footer met link naar privacybeleid

Het format en thema van het privacybeleid zijn in lijn met de rest van de website en hebben geen ankernavigatie.

Privacybeleid Medium: Clausule Gegevens die we verzamelen en hoe we die gebruiken

Het bevat de volgende clausules:

  1. Gegevens die we verzamelen en hoe we die gebruiken
  2. Gegevensverstrekking
  3. Publieke gegevens
  4. Opslag gegevens
  5. Inbedding derde partij
  6. Tracking en cookies
  7. Wijzigen of wissen van uw persoonsgegevens
  8. Gegevensbeveiliging
  9. Bedrijfsdoorgiften
  10. E-mail van Medium
  11. Wijzigingen in dit beleid
  12. Vragen

Er is bovendien een paragraaf die specifiek ingaat op gebruikers in de EU en informatie bevat die vereist is door de AVG, zoals:

  1. De rechtsgronden voor het verzamelen en verwerken van informatie
  2. Met welke externe partijen (zoals betalingsverwerkers) Medium samenwerkt en gegevens deelt
  3. Hoe lang gegevens worden bewaard
  4. De rechten van betrokkenen in de EU
  5. Hoe je als betrokkene een verzoek om inzage doet
  6. Contactinformatie voor de EU-vertegenwoordiger van Medium

Als jouw bedrijf, net als Medium, gebruikers in de EU heeft, moet je dit soort informatie in je privacybeleid opnemen om de AVG na te leven.

Laten we nu kijken naar een aantal voorbeelden van specifieke clausules die in je privacybeleid moeten staan.

Voorbeelden van nuttige clausules voor je privacybeleid

Je privacybeleid moet accuraat zijn en gemakkelijk te begrijpen, met alle nodige informatie die wettelijk vereist is en transparantie bevordert.

Over het algemeen gesproken, moet elk privacybeleid ten minste de volgende clausules bevatten:

  • Welke gegevens worden verzameld en hoe
  • Hoe de gegevens worden gebruikt
  • Hoe de gegevens worden opgeslagen en beschermd
  • Contactinformatie van het bedrijf
  • Gebruik van cookies, logbestanden en tracking
  • Hoe een gebruiker verzameling/gebruik van gegevens kan weigeren

Hier volgt elke clausule in actie.

Welke gegevens worden verzameld en hoe

Privacybeleid vertelt gebruikers welke gegevens over hen worden verzameld. Hieronder vallen gegevens die gebruikers vrijwillig en actief verstrekken als ze zich aanmelden voor het gebruik van diensten, en gegevens die automatisch over hen verzameld kunnen worden, zoals via het gebruik van cookies.

Je kunt beschrijven hoe je gegevens classificeert, bijv. openbare, privé- of persoonlijke gegevens. Hierdoor weet de gebruiker precies wat deze termen in de rest van het privacybeleid betekenen.

Dit is een voorbeeld van hoe je een clausule kunt opstellen om deze informatie aan jouw gebruikers uit te leggen:

Privacybeleid Trello: Clausule Soorten gegevens: Persoonlijke en gevoelige persoonsgegevens gedefinieerd

Het privacybeleid van PBS Kids vertelt gebruikers welke gegevens het van hen verzamelt. Het beschrijft de gegevens die het verzamelt en bevat na elk soort gegevens een korte, maar meer gedetailleerde paragraaf die verdere informatie geeft.

Privacybeleid PBS Kids: Uittreksel clausule Welke informatie verzamelen we

Hoe de gegevens worden gebruikt

Een van de belangrijkste doelstellingen van privacybeleid is het uitleggen aan gebruikers hoe de gegevens die het bedrijf verzamelt worden gebruikt.

Pinterest heeft in zijn privacybeleid een vrij groot onderdeel over Wat we doen met de info die we verzamelen. In de eerste paragraaf daarvan verklaart het dat de website de gegevens gebruikt om diensten aan de gebruikers te leveren. Vervolgens legt het een paar verschillende manieren uit waarop het de gegevens gebruikt met inbegrip van de identificatie van gebruikers, de verwerking van hun transacties, het doen van aanbevelingen, en het reageren op hun vragen en opmerkingen.

Privacybeleid Pinterest: Clausule Wat we doen met de info die we verzamelen

Hoe de gegevens worden opgeslagen en beschermd

Nog een belangrijke clausule die in je privacybeleid moet worden opgenomen, gaat over hoe je de gegevens die je van je websitebezoekers verzamelt opslaat en beschermt. Je kunt uitleg geven over de verschillende manieren waarop je gegevens opslaat en over de maatregelen die je neemt om die gegevens te beschermen.

Zo verklaart het privacybeleid van Caffe Nero dat de gegevens van de gebruikersaccount worden beschermd door een wachtwoord en legt uit welke stappen gebruikers kunnen nemen om ongeoorloofde toegang tot hun accounts te voorkomen.

Bovendien verklaart het dat de website ook stappen neemt om zoveel mogelijk beveiliging te garanderen, maar het garandeert echter niet dat de maatregelen die het neemt ongeoorloofde toegang zullen voorkomen.

Privacybeleid Caffe Nero: Clausule Onze beveiligingsmaatregelen en informatie over wanneer we gegevens wissen

Shopify verklaart in zijn privacybeleid dat het de normen van de sector over gegevensbeschermingsbeheer volgt om gevoelige gebruikersgegevens te beschermen. Het zegt bovendien dat het bedrijf jaarlijks controles uitvoert om ervoor te zorgen dat de behandeling van creditcardgegevens van gebruikers overeenkomt met de normen van de sector. Tot slot vermeldt het dat Shopify de absolute beveiliging van de persoonsgegevens van hun gebruikers niet kunnen garanderen, aangezien geen enkele methode van doorgifte via het internet 100% veilig is.

Privacybeleid Shopify: Clausule Hoe houden we uw persoonsgegevens veilig

Contactinformatie van het bedrijf

Als bedrijfseigenaar is het belangrijk dat je de contactinformatie van je bedrijf in je privacybeleid opneemt. Over het algemeen wordt contactinformatie toegevoegd aan het eind van het privacybeleid en bevat een fysiek (straat)adres, e-mailadres en/of telefoonnummer. Hoe meer contactinformatie je kunt verstrekken, des te beter.

De British Heart Foundation verstrekt een contactclausule met daarin een postadres en een e-mailadres om contact mee op te nemen:

Privacy- en cookiebeleid British Heart Foundation: Clausule Neem contact met ons op, met informatie over de FG

Gebruik van cookies, logbestanden en tracking

Websites en apps gebruiken cookies om gebruikersgegevens op te slaan, gebruikers persoonlijke ervaringen te bieden en de webgeschiedenis van hun gebruikers te verzamelen. Andere websites kunnen een ander gebruik van cookies maken en kunnen er zelfs voor kiezen om derde partijen toegang tot die cookies te geven.

In elk geval wordt van eigenaren van websites vereist dat zij hun gebruikers informeren over de tools die het bedrijf gebruikt om gebruikersgegevens te verzamelen en hun gedrag te tracken, waaronder ook cookies.

Hier zien we hoe Discord het gebruik van cookies in zijn privacybeleid behandelt:

Privacybeleid Discord: Clausule betreffende cookies

De meeste websites en eigenaren van apps gebruiken logbestanden om automatisch gegevens over de IP-adressen, browser, data/tijd enz. van hun gebruikers te verzamelen en op te slaan, en gebruiken deze voor verschillende doeleinden.

Dit is hoe AWeber uitlegt hoe het de gegevens die met gebruik van logbestanden van bezoekers worden verzameld gebruikt in zijn privacybeleid.

Privacybeleid AWeber: Clausule betreffende logbestanden

Merk op hoe het bedrijf eenvoudige beschrijvingen en heldere terminologie gebruikt om het gebruik van deze bestanden te beschrijven, wat nuttig is omdat de meeste mensen waarschijnlijk geen idee hebben wat de functie van dit soort bestanden is.

Beleidsclausule betreffende weigeren

Apps en websites vertellen hun klanten over hun recht om bepaalde aspecten of diensten die door een website worden aangeboden te weigeren.

Het privacybeleid van Forever 21, bijvoorbeeld, informeert klanten over hun recht om diensten van het bedrijf te weigeren.

Privacybeleid Forever21: Clausule Ons beleid betreffende weigering van diensten

Merk op hoe de clausule is opgedeeld in vele korte delen met eenvoudige, heldere instructies voor elke weigeringsmethode.

Veelgestelde vragen over privacybeleid

Zeer waarschijnlijk wel. Een privacybeleid is zowel wettelijk vereist (VS, Europa, Canada en vele andere landen), maar wordt ook vereist door diensten van derde partijen of externe dienstverleners waarvan jouw website of app wellicht gebruik maakt (zoals Google Analytics).

Er zijn vele privacywetten die van alle bedrijven, websites of apps eisen om een privacybeleid te hebben:

  • CCPA en CalOPPA in de VS (Californië)
  • AVG in Europa (alle lidstaten)
  • PIPEDA in Canada
  • DPA in het VK
  • En vele andere privacywetten van andere landen zoals Australië, Zuid-Korea, Zuid-Afrika.

Hier volgen enige nuttige clausules die je in je privacybeleid kunt opnemen:

  • Welke persoonsgegevens je verzamelt en hoe
  • Hoe de verzamelde persoonsgegevens worden gebruikt
  • Informatie over cookies en andere trackers
  • Jouw contact- en bedrijfsinformatie

Conclusie

Ongeacht of je eigenaar bent van een website of app die gebruikersgegevens verzamelt, verwerkt en/of opslaat, je hebt bepaalde verantwoordelijkheden ten aanzien van je gebruikers. De allerbelangrijkste verantwoordelijkheden voor jou als eigenaar van een website zijn het veilig bewaren van hun persoonsgegevens, het zo goed mogelijk beschermen van hun privacy, en hen op de hoogte te houden over hoe hun gegevens worden opgeslagen en verwerkt door over een privacybeleid te beschikken.

Houd je privacybeleid accuraat en bijgewerkt, en stuur zo nodig Berichten over updates van je privacybeleid.

Als jouw website, web-app, mobiele app, of pc-app enige soort persoonsgegevens van zijn eindgebruikers verzamelt, dan is de kans groot dat de wet of diensten van derde partijen van je eisen om een privacybeleid op je website/app te publiceren.

Als eigenaar van een website moet je op de hoogte zijn van:

  • de privacywetten in het rechtsgebied waarin je bedrijf is gevestigd en die van waar jouw gebruikers zich bevinden.
  • de eisen in dienstenvoorwaarden voor diensten van derde partijen waarmee je website is verbonden.
Laatst bijgewerkt op 24 June 2021

Maria P.