Privacybeleid is wettelijk vereist

Privacybeleid is wettelijk vereist

Privacywetgeving overal ter wereld schrijft voor dat als je persoonsgegevens van de bezoekers aan je website verzamelt, je een privacybeleid op je website moet publiceren en beschikbaar moet hebben in je mobiele app (waar toepasselijk).

Bovendien eisen veel diensten van derde partijen die worden gebruikt om de websiteprestatie te verbeteren (zoals tools voor de verwerking van betalingen, analysepakketten en reclame-plug-ins) dat je over een privacybeleid beschikt.

Dit artikel bespreekt een aantal van deze wetten en eisen van derden en toont voorbeelden van een aantal van de belangrijkste clausules die jouw privacybeleid moet bevatten. Aan het eind weet je waarom je over een privacybeleid moet beschikken, en maak je een begin met de samenstelling van je eigen beleid.

Wat is een privacybeleid?

Een privacybeleid is een wettelijke overeenkomst die uitlegt welke soorten persoonsgegevens je over websitebezoekers verzamelt, hoe je deze gegevens gebruikt en ze veilig bewaart.

Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:

  1. Click on "Start creating your Privacy Policy" on our website.
  2. Select the platforms where your Privacy Policy will be used and go to the next step.
  3. PrivacyPolicies.com: Privacy Policy Generator - Select platforms - Step 1

  4. Add information about your business: your website and/or app.
  5. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  6. Select the country:
  7. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  8. Answer the questions from our wizard relating to what type of information you collect from your users.
  9. PrivacyPolicies.com: Privacy Policy Generator - Answer questions from our wizard - Step 3

  10. Enter your email address where you'd like your Privacy Policy sent and click "Generate".

    PrivacyPolicies.com: Privacy Policy Generator - Enter your email address - Step 4

    And you're done! Now you can copy or link to your hosted Privacy Policy.

Voorbeelden van persoonsgegevens zijn:

  • Namen
  • Geboortedatums
  • E-mailadressen
  • Factuur- en verzendadressen
  • Telefoonnummers
  • Bankgegevens
  • Burgerservicenummers

Een privacybeleid behandelt meestal:

  • De soorten gegevens die door de website of app worden verzameld
  • Het doel van het verzamelen van de gegevens
  • Opslag, beveiliging en inzage van gegevens
  • Details van gegevensdoorgiften
  • Verbonden websites of organisaties
  • Gebruik van cookies

Om een idee te krijgen van wat een privacybeleid kan omvatten, is hier een voorbeeld van een informatieve inleiding op een privacybeleid van Etsy:

Screenshot van de privacybeleidsverklaring van Etsy

Een samenvattende inleiding zoals deze is een goede manier om lezers te laten weten wat ze precies kunnen verwachten in de rest van het beleid.

Laten we eens kijken naar een aantal specifieke wetten en de eisen daarin.

Privacywetgeving in de VS

De CalOPPA is een van de strengste privacywetten in de VS. De wet is van invloed op iedereen die persoonsgegevens verzamelt van personen die in Californië wonen, wat betekent dat het bereik veel verder gaat dan de staatsgrenzen.

Hoewel de CalOPPA streng is, is het niet zo moeilijk om de wet na te leven. De belangrijkste eis is het beschikken over een privacybeleid.

De CalOPPA

Het doel van de CalOPPA is het beschermen van de persoonsgegevens die van inwoners van Californië zijn verzameld. Hoewel de CalOPPA een staatswet en geen federale wet is, is hij zeer waarschijnlijk van toepassing op jouw website ongeacht de locatie waaruit je activiteiten ontplooit vanwege de kans dat jouw website inwoners van Californië aantrekt.

De CalOPPA eist dat websites en apps over een duidelijk zichtbaar en toegankelijk privacybeleid beschikken. Dit is hoe de Education Foundation van de Consumer Federation of California de CalOPPA beschrijft:

Education Foundation van de Consumer Federation of California: Op wie is de CalOPPA van toepassing?

De CalOPPA classificeert "persoonlijke herkenbare gegevens" als:

  • Voor- en achternamen
  • Fysieke adressen
  • E-mailadressen
  • Telefoonnummers
  • Burgerservicenummers
  • Alle andere contactgegevens die fysiek of online met een bedrijf worden gedeeld
  • Geboortedatums
  • Gegevens over fysiek uiterlijk (lengte, gewicht, haarkleur)
  • Alle andere gegevens die online zijn opgeslagen en waarmee personen kunnen worden geïdentificeerd

Hoe een privacybeleid aan de CalOPPA kan voldoen

Om de CalOPPA na te leven, moet een privacybeleid de volgende informatie bevatten:

  • Nauwkeurige details over de soorten persoonsgegevens die via de website of app worden verzameld
  • Eventuele verbonden organisaties waarmee deze gegevens mogelijk worden gedeeld
  • Een duidelijke uitleg over hoe gebruikers om wijzigingen van verzamelde persoonsgegevens kunnen verzoeken
  • Het proces van het informeren van gebruikers over eventuele veranderingen in het privacybeleid
  • De ingangsdatum van het privacybeleid
  • Wat er gebeurt als een gebruiker een "Do Not Track"-verzoek indient
  • Details van derde partijen die persoonsgegevens via de website of app verzamelen

Het opnemen van een "Do Not Track"-clausule

"Do not track" - (afgekort DNT) - is een instelling die geactiveerd kan worden op bepaalde browsers om het tracken van gedrag door derde partijen zoals Google Adwords te blokkeren.

Krachtens de CalOPPA is een website of app niet verplicht om aan een DNT-verzoek te voldoen. Websites moeten gebruikers echter wel informeren of hun website of app al dan niet reageert op een DNT-verzoek.

Dit is hoe Whole Foods gebruikers laat weten dat DNT-verzoeken niet worden gehonoreerd, en een link verstrekt naar extra informatie over het onderwerp:

Privacybeleid Whole Foods: DNT (Do Not Track)-clausule

Als je de CalOPPA moet naleven, mag je deze clausule niet vergeten.

Hoe toon je een privacybeleid dat voldoet aan de CalOPPA?

Om de CalOPPA na te leven, moet een privacybeleid:

  • duidelijk zichtbaar en gemakkelijk toegankelijk voor bezoekers aan je website of je app zijn
  • het woord "privacy" in de link er naartoe bevatten

Dit is een voorbeeld van Amazon waarin een duidelijke link naar de privacyverklaring in de footer van de website is opgenomen:

Screenshot footer website Amazon

Deze eis maakt het gemakkelijk voor mensen om je privacybeleid te vinden, wat de transparantie bevordert.

Privacywetgeving in de EU

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in de plaats gekomen van de bestaande EU-richtlijn inzake de bescherming van persoonsgegevens die sinds 1995 van kracht was.

De EU-richtlijn inzake de bescherming van persoonsgegevens regelde de verzameling en behandeling van persoonsgegevens in de EU en beschermde tegen het misbruik daarvan.

De richtlijn eiste dat alle bedrijven die vanuit een land in de EU werkzaam zijn, over een privacybeleid moeten beschikken.

AVG

De AVG eist dat alle bedrijven die in de EU werkzaam zijn en buitenlandse bedrijven die persoonsgegevens van EU-burgers behandelen over een privacybeleid moeten beschikken. Dit maakt deel uit van het doel van de AVG om ervoor te zorgen dat persoonsgegevens behoorlijk worden verkregen en verwerkt.

Richtsnoer voor verwerkingsverantwoordelijken van de Europese Toezichthouder voor gegevensbescherming: Behoorlijk verkrijgen en verwerken van gegevens - AVG

De AVG is van toepassing op zowel EU- als internationale bedrijven die persoonsgegevens van EU-burgers verzamelen.

De AVG eist dat:

  • alle persoonsgegevens op een ethische manier moeten worden verwerkt.
  • gegevens alleen mogen worden verzameld voor vooraf bepaalde redenen, en dat de gegevens alleen voor die redenen mogen worden gebruikt.
  • gegevens accuraat moeten zijn en moeten worden bijgewerkt wanneer hierom wordt verzocht.
  • met uitzondering van specifieke omstandigheden, zoals wetenschappelijke onderzoeksgegevens, de gebruiker alleen mag worden geïdentificeerd voor de periode waarin dit noodzakelijk is.
  • het bedrijf dat gegevens verzamelt verantwoordelijk is voor het bewaken van zijn eigen naleving van de AVG via de aanstelling van een functionaris gegevensbescherming, waar toepasselijk.
  • gebruikers in staat moeten zijn om contact op te nemen met het bedrijf dat de gegevens verzamelt en met de functionaris gegevensbescherming van dat bedrijf (indien aanwezig).
  • gebruikers op de hoogte moeten worden gesteld van de redenen waarom hun gegevens worden verzameld en van de lengte van de periode dat ze worden opgeslagen.
  • gebruikers moeten worden geïnformeerd over hun 8 rechten krachtens de AVG inclusief het recht van inzage, actualisering of verzoek van verwijdering van hun persoonsgegevens.
  • er een toezichthouder bestaat die klachten van gebruikers behandelt en dat de contactinformatie voor deze instantie wordt verstrekt.
  • gebruikers worden geïnformeerd als hun gegevens worden gedeeld met derde partijen of verbonden organisaties, of als ze buiten de EU worden doorgegeven.
  • alle andere informatie wordt verstrekt die gebruikers moeten hebben om de behoorlijke verwerking van hun persoonsgegevens te garanderen.

Hoewel er een aantal factoren zijn die voor jouw AVG-nalevingsplan overwogen moeten worden, is een van de dingen die je absoluut nodig hebt een privacybeleid dat aan de eisen voldoet.

Je privacybeleid moet gemakkelijk toegankelijk zijn en moet actieve toestemming verkrijgen van gebruikers voordat hun persoonsgegevens mogen worden verzameld.

Hier volgt een goed voorbeeld van hoe IKEA toestemming verkrijgt voor het verzamelen van informatie. Gebruikers moeten een vakje aanvinken als ze een profiel aanmaken, waarmee wordt verklaard dat ze instemmen met het opslaan van hun persoonsgegevens:

IKEA Account aanmaken: selectievakje Ik stem in met het privacybeleid

De AVG vertegenwoordigt een grote verandering op het gebied van gegevensbescherming. Dit geldt voor zowel bedrijven die in de EU zijn gevestigd als bedrijven die niet in de EU zijn gevestigd en die persoonsgegevens van EU-burgers verzamelen.

De uitvoering van de AVG is veel strikter dan voor voorgaande regelgeving gold en brengt strengere straffen voor niet-naleving met zich mee.

Privacywetgeving in Canada

De Personal Information Protection and Electronic Documents Act (PIPEDA) van Canada beschermt persoonsgegevens van Canadese burgers en eist dat bedrijven die online in Canada actief zijn over een privacybeleid beschikken:

Privacy Commissioner van Canada: PIPEDA in korte inleiding

Als je onder het toepassingsgebied van de PIPEDA valt, moet je je op de hoogte stellen van de eisen ervan en ervoor zorgen dat je privacybeleid aan de normen voldoet.

Privacywetgeving in Australië

De Privacy Act van 1988 van Australië eist dat alle bedrijven die online persoonsgegevens in Australië verzamelen over een privacybeleid beschikken.

Een van de belangrijkste kenmerken is een lijst met 13 privacybeginselen die de verzameling en verwerking van persoonsgegevens regelen.

Alle bedrijven moeten open en transparant zijn over hun gegevensverzamelingsactiviteiten, en moeten deze vermelden in een actueel privacybeleid.

OAIC, Privacy-informatieblad 17: Australische privacybeginselen - Clausule APP privacybeleid

Privacywetgeving in het VK

In het VK worden persoonsgegevens beschermd door de Data Protection Act (DPA). Zoals bij de privacywet van Australië, bestaat de kern van de wet uit 8 basisbeginselen op het gebied van gegevensbescherming, die door alle bedrijven die persoonsgegevens online in het VK verzamelen moeten worden nageleefd:

gegevensbeschermingsbeginsel 1 ICO VK: Behoorlijke en rechtmatige verwerking van persoonsgegevens

Privacybeleid vereist door diensten van derde partijen

Veel diensten van derde partijen die algemeen door websites en apps worden gebruikt, eisen ook dat een privacybeleid beschikbaar wordt gesteld.

Zo eisen dienstverleners op het gebied van e-mailnieuwsbrieven over het algemeen een privacybeleid om gebruik van hun diensten te maken.

De dienstenvoorwaarden van Campaign Monitor bevatten deze clausule over persoonsgegevens:

Dienstenvoorwaarden Campaign Monitor: Clausule persoonsgegevens

De beste manier om aan deze eis van het informeren van klanten te voldoen, is met een privacybeleid.

Je moet bovendien een privacybeleid op je website of app hebben als je diensten van derde partijen gebruikt die het browsergedrag van gebruikers volgen of locatiegegevens gebruiken, zoals Google Analytics of Google AdSense.

SendPilot vermeldt alle categorieën diensten van derde partijen die het mogelijk gebruikt om gebruikersgegevens te verzamelen of verwerken als volgt:

Privacybeleid SendPilot: Clausule Ontvangende derde partijen

Google Analytics

Als jouw website of app gebruik maakt van Google Analytics, dan moet je je privacybeleid bijwerken om te voldoen aan de dienstenvoorwaarden van Google Analytics. Omdat Google Analytics cookies gebruikt om gebruikersgedrag te volgen en cookies persoonsgegevens verzamelen, is een privacybeleid vereist.

Eisen voor privacybeleid voor de standaardfuncties van Google Analytics

Als je de standaardfuncties van Google Analytics gebruikt om gebruikersgedrag op je website te tracken, moet volgens Google Analytics jouw privacybeleid:

  • verklaren dat je Google Analytics gebruikt om gebruikersgedrag te tracken
  • uitleggen hoe gegevens worden verzameld en verwerkt
  • de gebruiker op de hoogte stellen van het gebruik van cookies

Het privacybeleid moet op een prominente plaats worden getoond, zoals in een website-footer of in het hoofdmenu van een app.

Dit is een voorbeeld van de footer van de website van de BBC:

Screenshot footer website BBC

Daarnaast moet je een pop-up of banner met een Toestemmingsbericht voor cookies hebben die gebruikers attent maakt op het gebruik van cookies op je website en gebruikers de mogelijkheid geeft om dit desgewenst te blokkeren.

Dit is een voorbeeld van een cookiebanner van de Universiteit van Brighton:

Toestemmingsbericht voor cookies met cookiebeleid en cookie-instellingen van de Universiteit van Brighton

Eisen voor het privacybeleid voor reclametools van Google Analytics

Als je naast de standaardfuncties reclametools van Google Analytics gebruikt, worden er nadere eisen aan het privacybeleid gesteld.

De reclamefuncties die door deze extra eisen worden gedekt, omvatten

  • Remarketing of retargeting
  • Rapportage vertoningen Google Display Network
  • Rapportage demografie en belangstelling Google Analytics

Als je deze tools gebruikt, eist Google Analytics dat je gebruikers van dit feit op de hoogte stelt door het opnemen van de volgende informatie in je privacybeleid:

  • De reclametools van Google Analytics die je gebruikt, en hoe en waarom je deze functies gebruikt.
  • Een bericht dat cookies door derden worden gebruikt om relevante reclame aan gebruikers te tonen.
  • Instructies over hoe gebruikers de reclamefuncties van Google Analytics kunnen weigeren via Ad Settings van Google.

Google geeft geen richtsnoeren over de exacte taal die je in je privacybeleid moet gebruiken. Maar, het moet altijd in duidelijke taal worden geschreven en op een manier die gemakkelijk te begrijpen is.

Google AdSense

Als je website of app gebruik maakt van Google AdSense, dan moet je je privacybeleid bijwerken in overeenstemming met de algemene voorwaarden van Google AdSense.

Je moet een privacybeleid samenstellen dat jouw gebruik van Google AdSense vermeldt, met inbegrip van:

  • een verklaring dat derden, inclusief Google, cookies gebruiken om relevante reclame aan een gebruiker te tonen op basis van voorgaand browsergedrag.
  • informatie over de DoubleClick-cookies van Google.
  • instructies over hoe gebruikers het gebruik van DoubleClick-cookies kunnen weigeren via de Ad Settings van Google.

Google eist bovendien dat je "commercieel redelijke moeite" doet om ervoor te zorgen dat je toestemming krijgt voor het gebruik van cookies op het apparaat van een gebruiker.

Dit wordt meestal gedaan door het gebruik van een pop-up of banner die gebruikers op het gebruik van cookies op je website attendeert en gebruikers de mogelijkheid biedt om dit desgewenst te blokkeren, zoals eerder in dit artikel genoemd.

Extra eisen voor bedrijven in de EU

De bovenstaande punten zijn van toepassing op alle websites en apps die gebruik van Google AdSense maken. Er zijn echter extra eisen voor in de EU gevestigde bedrijven die deze dienst gebruiken.

Gebruikers moeten worden geattendeerd op het gebruik van cookies op je website of app, en hun geïnformeerde goedkeuring geven, voordat cookies op het apparaat van die gebruiker mogen worden geplaatst.

Dit omvat:

  • de verschillende soorten cookies die worden gebruikt
  • details over cookies van derden die wellicht worden gebruikt
  • waarom cookies worden gebruikt en waarom ze op apparaten worden geplaatst

Zoals voor andere cookiewaarschuwingen geldt, wordt dit meestal gedaan via een pop-up of banner die duidelijk uitlegt dat cookies worden gebruikt en de gebruiker doorverwijst naar verdere informatie hierover.

Toestemming voor cookies

Toestemming om cookies te plaatsen moet actief van de gebruiker worden verkregen, wat betekent dat gebruikers een knop moeten aanklikken of een vakje moeten aanvinken of een andere actie moeten nemen om hun toestemming te bevestigen.

Voor actieve toestemming, ook wel geïnformeerde toestemming, is het nodig dat de gebruiker toestemming bevestigt met een selectievakje of een "Akkoord"-knop.

Dit is een voorbeeld van actieve toestemming voor cookies van Wembley met een gebruikersvriendelijke uitleg over het soort cookie dat wordt gebruikt en waarom. De blauwe Akkoord-knop onderscheidt dit soort toestemming van passieve toestemming.

Wembley: Cookiebericht in de footer als voorbeeld van actieve toestemming van de gebruiker

Passieve toestemming om cookies op apparaten van gebruikers te plaatsen is niet langer toegestaan. Dit is een voorbeeld van passieve toestemming voor cookies van de website van Calvin Klein:

Calvin Klein: Banner met cookiebericht in de header van de website als voorbeeld van passieve toestemming van gebruikers

Wat moet in een privacybeleid worden opgenomen?

De inhoud van het privacybeleid varieert per bedrijf. De manier waarop een website gegevens verzamelt en beheert en contacten onderhoudt met externe partijen is voor elk bedrijf uniek. Daarnaast kan de plaats waar de gebruikers van de website wonen van invloed zijn op het privacybeleid van het bedrijf.

Je privacybeleid moet ten minste de volgende punten bevatten:

Naam en contactinformatie bedrijf

Je privacybeleid moet de officiële naam van je bedrijf en de contactinformatie bevatten.

Dit is een voorbeeld van Whole Foods:

Privacyverklaring Whole Foods: Algemene clausule met gemarkeerde contactinformatie

Deze informatie wordt over het algemeen helemaal aan het begin of het eind van een privacybeleid getoond, en gebruikers weten dat ze daar moeten kijken, dus wordt dit aanbevolen als beste methode.

Soorten persoonsgegevens die je verzamelt

Je moet de diverse soorten persoonsgegevens die je direct en indirect van gebruikers verzamelt afzonderlijk vermelden.

Budweiser geeft een goed voorbeeld:

Privacybeleid Budweiser: Uittreksel clausule Informatie die we verzamelen

Merk op dat de clausule vermeldt hoe de gegevens kunnen worden verzameld en voorbeelden geeft van specifieke gegevens zoals e-mailadressen, postcodes en "precieze locaties". Onthoud: Hoe grondiger je bent, des te beter.

Waarom je persoonsgegevens verzamelt

Privacywetten eisen van je dat je alleen de persoonsgegevens verzamelt die je nodig hebt en dat je uitlegt waarom je die nodig hebt.

Dit is een voorbeeld van Nestlé:

Privacybeleid Nestlé: Uittreksel van diagram Gebruik van persoonsgegevens

Dit diagramformat is niet noodzakelijk, maar helpt zeker om de leesbaarheid en overzichtelijkheid te bevorderen. Het vertelt de gebruikers niet alleen waarom de gegevens worden gebruikt, maar ook voor welke specifieke reden. Het behandelt bovendien gerechtvaardigde belangen voor het gebruik van persoonsgegevens, wat helpt met naleving van de AVG.

Hoe de gegevens worden gebruikt

Een ander belangrijk element van een privacybeleid is hoe je de gegevens gebruikt. Dit moet je duidelijk in je privacybeleid vermelden.

Dit is hoe Airbnb dat doet:

Privacybeleid Airbnb: Clausule Hoe we gegevens gebruiken - paragraaf betreffende verbeteren en ontwikkelen van platform

Het gebruik van een lijst helpt je bij het geordender overbrengen van veel informatie, wat de leesbaarheid van je privacybeleid voor het algemene publiek bevordert. Zorg ervoor dat je zoveel mogelijk specifieke manieren waarop je gegevens gebruikt opneemt.

Hoe je gegevens met derde partijen deelt

De meeste websites gebruiken een of meer externe tools om de prestatie van de website en de gebruikerservaring te verbeteren. Voorbeelden zijn bijvoorbeeld Google Analytics om websitebezoekers te begrijpen, of AdSense voor persoonlijke reclame.

De meeste websites gebruiken bovendien cookies, wat technische tools zijn die gedrag van gebruikers vastleggen om hun webervaring persoonlijker te maken.

Alle voorbeelden van het delen van gegevens met derde partijen moet in je privacybeleid worden uitgelegd, en je moet bovendien links verstrekken naar het beleid van die externe bedrijven.

Kijk hier hoe Instagram dit doet:

Gegevensbeleid Instagram: Uittreksel clausule Delen met externe partners

Het opsplitsen van de informatie in alinea's voor de behandeling van de afzonderlijke manieren waarop gegevens met derden worden gedeeld, zoals voor reclame en analyse, is zeer nuttig en zorgt ervoor dat de informatie gemakkelijker te begrijpen is.

Hoe gegevensverzameling kan worden geweigerd

Je privacybeleid moet instructies bevatten voor het weigeren van doorgaande gegevensverzameling, en voor het verkrijgen van een kopie van de reeds verzamelde gegevens.

Nike verstrekt deze informatie duidelijk in zijn privacybeleid:

Privacybeleid Nike: Clausule Weigeren direct marketing

Als je over meerdere verschillende manieren beschikt waarop gebruikers meerdere verschillende dingen kunnen weigeren (zoals e-mailnieuwsbrieven, tekstberichten, brievenpost enz.), zorg er dan voor dat je alle beschikbare manieren opneemt.

Onthoud

Wetten wereldwijd eisen dat websites over een privacybeleid beschikken. Van de brede CalOPPA-wet van Californië, tot de nieuwe Algemene Verordening Gegevensbescherming van de EU, en andere wetten in Canada, het VK en Australië, is er veel dat je moet begrijpen over privacywetgeving en naleving.

De diverse wetten delen essentiële doelen die voornamelijk gaan over bescherming en goed gebruik van persoonlijke consumentengegevens. Ze variëren op sommige manieren, maar één ding is zeker: als je ergens ter wereld een website bezit of exploiteert, heb je waarschijnlijk een privacybeleid nodig dat voldoet aan de wetten in de rechtsgebieden waarin jouw websitegebruikers wonen.

Bovendien moet je op de hoogte zijn van eisen van diensten van derde partijen die je gebruikt, zoals analytische of reclamediensten. Controleer altijd de gebruiksvoorwaarden voor deze diensten om te weten wat je moet doen.

Door te beschikken over een gedegen, gemakkelijk leesbaar privacybeleid dat duidelijk weergegeven wordt, ben je op de goede weg naar naleving van elke privacywet en alle algemene voorwaarden waarmee je te maken krijgt.