Is een privacyverklaring verplicht op een website?

Ja, een privacyverklaring is verplicht zodra je persoonsgegevens verwerkt via je website. Dit is het geval bij vrijwel elke website, omdat zelfs het gebruik van analytics, contactformulieren of cookies al onder gegevensverwerking valt. De verplichting volgt uit artikelen 13 en 14 van de AVG. Zonder privacyverklaring loop je het risico op boetes van de Autoriteit Persoonsgegevens.

Hoe schrijf je een privacyverklaring voor een website?

Begin met een inventarisatie van alle persoonsgegevens die je verwerkt en bepaal per verwerking de rechtsgrond. Beschrijf vervolgens in duidelijke taal: wie je bent, welke gegevens je verwerkt, waarom, met wie je ze deelt, hoe lang je ze bewaart en welke rechten bezoekers hebben. Vermeld ook je cookiebeleid en hoe betrokkenen een klacht kunnen indienen bij de AP.

Welke wettelijke verplichtingen zijn er voor een website?

Naast de privacyverklaring ben je verplicht om een cookiebanner te tonen als je niet-functionele cookies plaatst, een verwerkersovereenkomst te sluiten met partijen die namens jou gegevens verwerken en datalekken binnen 72 uur te melden bij de AP. Voor webshops gelden aanvullende informatieplichten onder de Wet koop op afstand, zoals het vermelden van je identiteit, KvK-nummer en herroepingsrecht.

Privacyverklaring website schrijven: AVG-proof in 7 stappen | JustRunBiz

Waarom is een privacyverklaring verplicht?

De Algemene Verordening Gegevensbescherming (AVG), in het Engels GDPR genoemd, verplicht elke organisatie die persoonsgegevens verwerkt om betrokkenen te informeren over die verwerking. Dit informatierecht is vastgelegd in artikelen 13 en 14 van de AVG. De meest gebruikelijke manier om aan deze informatieplicht te voldoen is een privacyverklaring op je website.

Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Dit gaat verder dan naam en e-mailadres. Ook IP-adressen, cookie-identifiers, locatiegegevens en surfgedrag zijn persoonsgegevens. Zodra je website Google Analytics draait, een contactformulier heeft of cookies plaatst, verwerk je persoonsgegevens.

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder en kan boetes opleggen bij overtredingen. De maximale boete onder de AVG bedraagt 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk legt de AP ook boetes op aan kleinere bedrijven, met bedragen variierend van 5.000 tot enkele honderdduizenden euro's.

Naast de AVG speelt ook de Telecommunicatiewet een rol. Deze wet regelt onder meer het plaatsen van cookies en het versturen van commerciele e-mails. Je privacyverklaring moet ook informatie bevatten over je cookiegebruik, hoewel veel bedrijven hiervoor een apart cookiebeleid hanteren.

Stap 1: Inventariseer welke gegevens je verwerkt

De eerste stap is een grondige inventarisatie van alle persoonsgegevens die je via je website en bedrijfsprocessen verwerkt. Maak een overzicht per proces: contactformulier, webshop-bestellingen, nieuwsbrief-inschrijvingen, sollicitaties, klantaccounts, analytics en advertentiecookies. Dit overzicht vormt de basis van je privacyverklaring en je verwerkingsregister.

Voor elk proces noteer je: welke gegevens je verzamelt (naam, e-mail, adres, betaalgegevens, IP-adres), het doel van de verwerking (orderafhandeling, marketing, statistieken), de rechtsgrond (toestemming, overeenkomst, gerechtvaardigd belang of wettelijke verplichting), de bewaartermijn en met welke partijen je de gegevens deelt.

Vergeet niet de minder voor de hand liggende verwerkingen. Als je website Google Fonts laadt, worden IP-adressen van bezoekers naar Google-servers gestuurd. Ingesloten YouTube-video's plaatsen tracking-cookies. Social media-buttons kunnen gegevens doorsturen naar Facebook of LinkedIn, zelfs als de bezoeker er niet op klikt.

Het verwerkingsregister dat je bij deze inventarisatie opbouwt is overigens een zelfstandige AVG-verplichting. Organisaties met meer dan 250 medewerkers zijn verplicht een verwerkingsregister bij te houden, maar de AP adviseert het ook voor kleinere organisaties. Het register hoeft niet openbaar te zijn maar moet je op verzoek kunnen overleggen aan de AP.

Stap 2: Bepaal de rechtsgronden voor verwerking

De AVG kent zes rechtsgronden voor het verwerken van persoonsgegevens. Je moet voor elke verwerking een geldige rechtsgrond hebben en deze vermelden in je privacyverklaring. De zes gronden zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, publieke taak en gerechtvaardigd belang.

Voor de meeste websites zijn drie rechtsgronden het meest relevant. Toestemming gebruik je voor marketingcookies, nieuwsbrieven en niet-noodzakelijke gegevensverwerkingen. Uitvoering van een overeenkomst geldt voor het verwerken van bestelgegevens, het aanmaken van accounts en het leveren van diensten. Gerechtvaardigd belang kun je inroepen voor beveiligingslogboeken, fraudepreventie en basale websitestatistieken.

Bij toestemming moet je aan strikte voorwaarden voldoen. De toestemming moet vrij, specifiek, geiformeerd en ondubbelzinnig zijn. Vooraf aangevinkte vakjes zijn niet toegestaan. De betrokkene moet zijn toestemming net zo eenvoudig kunnen intrekken als geven. Bewaar het bewijs dat toestemming is gegeven, inclusief wanneer en waarvoor.

Het gerechtvaardigd belang vereist een belangenafweging. Je moet kunnen onderbouwen dat jouw zakelijk belang opweegt tegen het privacybelang van de betrokkene. Documenteer deze afweging. De AP heeft meerdere keren geoordeeld dat het plaatsen van tracking-cookies niet zomaar op gerechtvaardigd belang kan worden gebaseerd, hiervoor is doorgaans toestemming nodig.

Stap 3: Schrijf de verplichte onderdelen

Artikel 13 van de AVG schrijft voor welke informatie je minimaal moet verstrekken. Dit zijn: de identiteit en contactgegevens van de verwerkingsverantwoordelijke (jouw bedrijf), de contactgegevens van je functionaris voor gegevensbescherming (indien van toepassing), de doeleinden en rechtsgronden van de verwerking, de ontvangers of categorieen van ontvangers van de gegevens en of je gegevens doorgeeft buiten de EU.

Daarnaast moet je vermelden: de bewaartermijn per categorie gegevens (of de criteria om die termijn te bepalen), de rechten van de betrokkene (inzage, correctie, verwijdering, beperking, dataportabiliteit en bezwaar), het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens en of het verstrekken van gegevens een wettelijke of contractuele verplichting is.

Als je persoonsgegevens gebruikt voor geautomatiseerde besluitvorming of profilering, moet je dit expliciet vermelden. Denk aan automatische kredietbeoordeling, algoritmische prijsbepaling of geautomatiseerde selectie van sollicitanten. Je moet de logica achter de besluitvorming uitleggen en de betrokkene informeren over de mogelijke gevolgen.

Schrijf in duidelijke en begrijpelijke taal. De AVG vereist dat informatie beknopt, transparant en in eenvoudige taal wordt gegeven. Vermijd juridisch jargon zoveel mogelijk. Gebruik korte zinnen, tussenkopjes en een logische structuur. Als je website zich richt op kinderen onder de 16 jaar, moet de taal extra begrijpelijk zijn.

Stap 4: Informeer over cookies en tracking

Cookies verdienen een apart onderdeel in je privacyverklaring of een afzonderlijk cookiebeleid met een link vanuit de privacyverklaring. De Telecommunicatiewet en de AVG stellen samen de regels voor het plaatsen van cookies. Functionele cookies en analytische cookies die weinig impact hebben op de privacy mag je plaatsen zonder toestemming. Voor alle overige cookies, zoals marketing- en tracking-cookies, heb je vooraf expliciete toestemming nodig.

In je cookiebeleid vermeld je per cookie: de naam, het doel, de partij die de cookie plaatst, het type (functioneel, analytisch, marketing), de bewaartermijn en of het een first-party of third-party cookie betreft. Bij gebruik van Google Analytics moet je vermelden dat gegevens naar servers van Google in de VS kunnen worden doorgegeven.

Een cookiebanner of cookie consent tool is verplicht als je niet-functionele cookies plaatst. De banner moet bezoekers de keuze geven om cookies te accepteren of te weigeren. Het weigeren moet net zo eenvoudig zijn als het accepteren, dus geen dark patterns waarbij de accepteer-knop groter of opvallender is. De AP heeft in 2024 meerdere bedrijven beboet voor misleidende cookiebanners.

Google Analytics 4 is inmiddels de standaard en biedt opties om IP-adressen te anonimiseren en gegevens binnen de EU te verwerken. Desondanks adviseert de AP om Google Analytics als tracking-cookie te beschouwen waarvoor toestemming nodig is, tenzij je aanvullende maatregelen treft zoals het uitschakelen van gegevensdeling met Google en het verkorten van de bewaartermijn.

Stap 5: Beschrijf doorgifte aan derden

Veel websites delen persoonsgegevens met derde partijen: hostingproviders, e-maildiensten, betaalproviders, analytics-tools en advertentienetwerken. Je moet in je privacyverklaring vermelden met welke categorieen derden je gegevens deelt en waarom. Je hoeft niet elk bedrijf bij naam te noemen, maar wel duidelijk te maken welk type partijen het betreft.

Bij doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) moet je extra maatregelen treffen. Sinds het Schrems II-arrest van het Europese Hof van Justitie in 2020 gelden strengere regels voor doorgifte naar de VS. Het EU-US Data Privacy Framework, aangenomen in juli 2023, biedt weer een juridische basis voor doorgifte naar gecertificeerde Amerikaanse bedrijven, maar het is verstandig om aanvullende waarborgen te treffen.

Met elke partij die namens jou persoonsgegevens verwerkt, moet je een verwerkersovereenkomst sluiten. Denk aan je hostingprovider, je e-mailmarketingtool, je boekhoudsoftware en je CRM-systeem. In de verwerkersovereenkomst leg je vast hoe de verwerker met de gegevens omgaat, welke beveiligingsmaatregelen worden getroffen en hoe er wordt omgegaan met datalekken.

Vermeld in je privacyverklaring ook of je gegevens deelt met derden voor hun eigen doeleinden, bijvoorbeeld als je klantgegevens verkoopt of deelt met partners voor gezamenlijke marketingacties. Dit vereist een aparte rechtsgrond, doorgaans toestemming van de betrokkene, en moet transparant worden gecommuniceerd.

Stap 6: Leg bewaartermijnen vast

De AVG vereist dat je persoonsgegevens niet langer bewaart dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Je moet in je privacyverklaring per categorie gegevens aangeven hoe lang je ze bewaart, of de criteria vermelden waarmee je de bewaartermijn bepaalt.

Sommige bewaartermijnen worden bepaald door de wet. De fiscale bewaarplicht schrijft voor dat je financiele administratie, inclusief facturen met persoonsgegevens, zeven jaar moet bewaren. Werkgevers moeten salarisadministratie vijf jaar bewaren na het einde van het dienstverband. Medische gegevens moeten minimaal 20 jaar worden bewaard onder de WGBO.

Voor gegevens waarvoor geen wettelijke bewaartermijn geldt, moet je zelf een redelijke termijn bepalen. Contactformuliergegevens bewaar je doorgaans niet langer dan twee jaar na het laatste contact. Klantgegevens voor marketing bewaar je zolang de klant actief is, plus een redelijke periode daarna. Sollicitatiegegevens bewaar je maximaal vier weken na afwijzing, tenzij de sollicitant toestemming geeft voor een langere periode van maximaal een jaar.

Implementeer een actief verwijderingsbeleid. Het is niet voldoende om bewaartermijnen op papier te hebben. Je moet ook daadwerkelijk gegevens verwijderen of anonimiseren wanneer de termijn is verstreken. Automatische verwijderingsprocessen in je systemen helpen hierbij. Met tools als JustRunBiz kun je bewaartermijnen instellen die je waarschuwen wanneer gegevens moeten worden opgeschoond.

Stap 7: Vermeld de rechten van betrokkenen

De AVG geeft betrokkenen uitgebreide rechten die je in je privacyverklaring moet vermelden en waarvoor je een procedure moet hebben. De belangrijkste rechten zijn: het recht op inzage (artikel 15), het recht op correctie (artikel 16), het recht op verwijdering of het "recht om vergeten te worden" (artikel 17), het recht op beperking van verwerking (artikel 18), het recht op dataportabiliteit (artikel 20) en het recht van bezwaar (artikel 21).

Bij een inzageverzoek moet je binnen een maand een volledig overzicht verstrekken van alle persoonsgegevens die je van de betrokkene verwerkt. Bij een verwijderingsverzoek moet je de gegevens verwijderen, tenzij er een wettelijke verplichting is om ze te bewaren. Een verwijderingsverzoek voor facturatiegegevens kun je bijvoorbeeld weigeren vanwege de fiscale bewaarplicht.

Vermeld in je privacyverklaring duidelijk hoe betrokkenen hun rechten kunnen uitoefenen. Geef een e-mailadres of contactformulier aan waarmee ze een verzoek kunnen indienen. Je mag de identiteit van de verzoeker verifiieren voordat je het verzoek inwilligt, om te voorkomen dat gegevens aan de verkeerde persoon worden verstrekt.

Wijs in je privacyverklaring ook op het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Vermeld de contactgegevens van de AP: Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag, telefoon 088-1805250, website autoriteitpersoonsgegevens.nl. Dit is een wettelijke verplichting die je niet mag weglaten.

Privacyverklaring voor webshops: extra aandachtspunten

Webshops verwerken doorgaans meer en gevoeligere persoonsgegevens dan informatieve websites. Naast contactgegevens verwerk je bestelgegevens, betaalgegevens, leveringsadressen en vaak ook bestelgeschiedenis voor marketingdoeleinden. Je privacyverklaring moet al deze verwerkingen specificeren.

Bij betaalgegevens is het belangrijk om onderscheid te maken tussen gegevens die je zelf verwerkt en gegevens die door de betaalprovider worden verwerkt. Als je Mollie, Stripe of een andere PSP gebruikt, verwerkt deze partij de creditcardgegevens of bankrekeningnummers. Vermeld dit in je privacyverklaring en verwijs naar het privacybeleid van de betaalprovider.

Als je aan klantprofilering doet, bijvoorbeeld door gepersonaliseerde productaanbevelingen te tonen of segmenten te maken voor e-mailmarketing, moet je dit expliciet vermelden. De betrokkene heeft het recht om bezwaar te maken tegen profilering. Bij geautomatiseerde besluitvorming die significante gevolgen heeft, zoals het automatisch weigeren van een bestelling op basis van kredietinformatie, heeft de betrokkene recht op menselijke tussenkomst.

Vergeet niet het retourproces te adresseren. Wanneer een klant een product retourneert, verwerk je mogelijk aanvullende gegevens zoals de reden van retour en bankgegevens voor terugbetaling. Vermeld ook hoe lang je bestelgegevens bewaart. De fiscale bewaarplicht van zeven jaar geldt voor factuurgegevens, maar marketinggegevens hoef je niet zo lang te bewaren.

Veelgemaakte fouten bij privacyverklaringen

De meest voorkomende fout is een privacyverklaring die te vaag en algemeen is. Zinnen als "wij respecteren uw privacy" of "wij gebruiken uw gegevens om onze diensten te verbeteren" voldoen niet aan de AVG-eis van transparantie. Je moet specifiek zijn over welke gegevens je verwerkt, voor welk doel en op basis van welke rechtsgrond.

Een tweede veelgemaakte fout is het niet bijhouden van de privacyverklaring. Als je een nieuwe tool gaat gebruiken, een e-mailmarketingcampagne start of je website aanpast, moet je controleren of je privacyverklaring nog klopt. Veel bedrijven hebben een privacyverklaring die al jaren niet is gewijzigd en niet meer overeenkomt met de werkelijke situatie.

Het klakkeloos gebruiken van een gratis template van internet is ook risicovol. Veel templates zijn niet compliant met de Nederlandse wetgeving, bevatten verwijzingen naar niet-bestaande verwerkingen of missen cruciale onderdelen. Een template kan een goed startpunt zijn, maar laat je privacyverklaring altijd afstemmen op je specifieke situatie.

Tot slot vergeten veel ondernemers om hun privacyverklaring goed vindbaar te maken. De AVG vereist dat de informatie gemakkelijk toegankelijk is. Plaats een link naar je privacyverklaring in de footer van je website, bij contactformulieren, bij accountregistratie en in je cookiebanner. Een verborgen of moeilijk vindbare privacyverklaring kan als overtreding worden beschouwd.

Je privacyverklaring actueel houden

Een privacyverklaring is een levend document dat je regelmatig moet bijwerken. Plan minimaal twee keer per jaar een review in om te controleren of de verklaring nog aansluit bij je werkelijke gegevensverwerkingen. Nieuwe wetgeving, rechtspraak en handhavingsbesluiten kunnen aanleiding zijn voor aanpassingen.

Vermeld in je privacyverklaring altijd een datum van de laatste wijziging. Als je substantiele wijzigingen aanbrengt, is het goed gebruik om je klanten en websitebezoekers hierover te informeren. Bij wezenlijke veranderingen in de manier waarop je gegevens verwerkt, kan het nodig zijn om opnieuw toestemming te vragen.

Houd een versiegeschiedenis bij van je privacyverklaring. Bij een geschil of een onderzoek door de AP kan het relevant zijn om te kunnen aantonen welke versie van de verklaring op een bepaald moment gold. Bewaar oude versies met de bijbehorende publicatiedatum.

Stel een vast proces in voor wijzigingen. Als een collega een nieuwe tool introduceert of een nieuwe marketingcampagne start, moet er een check zijn of de privacyverklaring moet worden aangepast. Met een tool als JustRunBiz kun je je verwerkingsregister en klantgegevens centraal beheren, waardoor je altijd actueel inzicht hebt in welke gegevens je verwerkt.

Privacyverklaring voor je website: AVG-proof in 7 stappen