14 maart 2018

BLOG 2/4: Privacyverklaring: vertel je klanten eerlijk wat je van ze weet

Dries Lawrence
Juridisch adviseur | ICT Recht

Daar zijn we weer! Fris en fruitig over het leukste onderwerp van deze maand: de AVG. De vorige keer las je dat de nieuwe wetgeving eraan komt en waar deze eigenlijk over gaat. Deze keer gaan we je meer vertellen over hét overzichtelijke overzicht. Meet: de privacyverklaring!

Lees hier het vorige blog terug ‘De AVG komt eraan, maar wat is het?'

In de ‘oude’ privacywet was een privacyverklaring al verplicht. Deze verklaring is bedoeld om je bezoekers (de betrokkenen) te laten weten hoe jij omgaat met persoonsgegevens. Bij de AVG is dit nog steeds verplicht, maar je bezoekers krijgen meer rechten. Ook moet je die rechten in begrijpelijke taal communiceren. Geen complexe juridische of technische verhalen meer, maar een duidelijk overzicht van wat er met de persoonsgegevens gebeurt.

  • Je bedrijfsgegevens

Of formeel gezegd 'de identiteit van de verantwoordelijke', dat ben jij als webwinkelier. Denk hierbij dus aan jouw bedrijfsnaam, telefoonnummer, vestigingsadres en KvK-nummer. 

  • De Autoriteit Persoonsgegevens 

De bezoeker van je webwinkel heeft het recht een klacht in te dienen. Daarom moet je de Autoriteit Persoonsgegevens in je privacyverklaring vermelden, met de opmerking dat de bezoeker het recht heeft om online een klacht in te dienen.

  • De soorten persoonsgegevens die door jou verwerkt worden

Dit zijn alle gegevens die gelinkt kunnen zijn aan een persoon. Bijvoorbeeld: NAW-gegevens, e-mailadressen, telefoonnummers, foto’s, geboortedatum en IP-adressen.

  • Het doel van de verwerking

Bijvoorbeeld het verwerken van een bestelling, het versturen van nieuwsbrieven of het registreren van gebruikers. Alle doelen voor het verwerken van gegevens moet je opnemen in de privacyverklaring. Denk dus goed na over alle plekken waar je persoonsgegevens gebruikt! 

  • Hoe lang je de gegevens bewaart 

Persoonsgegevens mogen niet langer bewaard worden dan nodig. Geef dus aan hoe lang je de persoonsgegevens bewaart. Eventueel kan je een startdatum aan de bewaartermijn vastknopen, bijvoorbeeld: ‘tot zes maanden na de laatste aankoop’. Ordergegevens heb je nog een hele tijd nodig voor je Belastingaangifte. Geef daarbij dus bijvoorbeeld aan: 'tot 7 jaar na het plaatsen van de order'. 

  • Informatie over de ontvangers van de gegevens

Stuur je de gegevens door naar derden, dan moet je deze partijen vermelden. Een voorbeeld van zo’n derde partij is Google die (wanneer je Google Analytics gebruikt) gegevens op een website verzamelt. En niet te vergeten Mijnwebwinkel, want op diens servers staan alle gegevens van jouw webwinkel opgeslagen. Ook wanneer je AddThis gebruikt, of een Like-knop van bijvoorbeeld Facebook, moet je dit opnemen in je privacyverklaring. Soms kun je ontvangers in bepaalde categorieën indelen (bijv. ‘betaaldiensten’), maar vaak moet de specifieke partij worden genoemd. 

  • Het gebruik van cookies

Cookies kunnen persoonsgegevens bevatten. Geef daarom aan waar de cookies voor gebruikt worden. 

  • Recht op inzage, correctie, verwijdering, bezwaar en overdraagbaarheid

Degene van wie de persoonsgegevens verwerkt worden, heeft hier iets over te zeggen. Hij of zij kan een verzoek indienen om de gegevens te bekijken, aan te passen of volledig te wissen. Wanneer jouw bezoeker toestemming geeft om zijn persoonsgegeven te verzamelen, kan deze ook weer ingetrokken worden. Ook hebben je bezoekers het recht om gegevens in een leesbare vorm opgestuurd te krijgen, zodat ze de mogelijkheid hebben deze naar een andere plek te verplaatsen. Vermeld in je verlaring aan welk (e-mail)adres klanten hun verzoek kunnen richten en binnen welke termijn (uiterlijk 4 weken) je het verwerkt. 

Alleen in sommige gevallen

  • Geautomatiseerde besluitvorming (profiling)

Sommige bedrijven doen aan profiling. Jij ook? Dan ben je verplicht te melden waarom dit gedaan wordt en wat de verwachte gevolgen zijn. Je bezoekers mogen hier altijd bezwaar tegen maken.

  • Andere landen 

Wanneer de persoonsgegevens bijvoorbeeld bij een bedrijf worden ondergebracht met servers buiten de EU, moet dat vermeld worden.

We zijn ons er maar al te goed van bewust: dit is een flinke, taaie waslijst die je óók nog eens in een duidelijk (en simpel) verhaal moet opschrijven. Probeer jargon en wollige taal te vermijden. Onderschat jezelf niet. Ook jíj kan die privacyverklaring schrijven, laat hem gewoon voor de zekerheid even checken door een jurist!

Wil jij je vingers hier niet aan branden en linea recta een jurist inschakelen voor een privacyverklaring in klare taal? Bij JuriDox ontvang je binnen enkele minuten je eigen privacyverklaring!

Mijnwebwinkel als verwerker

Mijnwebwinkel is één van die ‘derden’ waarmee je gegevens deelt. Wat je bijvoorbeeld over Mijnwebwinkel kunt vermelden in je privacyverklaring is het volgende. En ja! Je mag dit letterlijk overnemen ;) 

- Gegevens die je invult tijdens het plaatsen van een order of het versturen van een bericht worden opgeslagen op de servers van onze verwerker Mijnwebwinkel. Mijnwebwinkel zorgt voor een beveiligingsniveau dat past bij de te verwerken gegevens en neemt adequate maatregelen om gegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking. Zo wordt bijvoorbeeld standaard gebruik gemaakt van een beveiligde SSL-verbinding -

Inspiratie en tips. Maandelijks in je mailbox.