Verwerk je persoonsgegevens?
Wist je dat een naam al een persoonsgegeven is? Als je dus de naam van je klant opslaat, dan verwerk je al persoonsgegevens. Er zijn directe en indirecte persoonsgegevens. Informatie wordt beschouwd als een persoonsgegeven als direct duidelijk is over welke persoon het gaat óf als deze informatie (in combinatie met andere gegevens) naar deze persoon te herleiden is (indirect). Gegevens van overledenen zijn volgens de wet géén persoonsgegevens, tenzij de gegevens wat zeggen over de nabestaanden. Ook gegevens over organisaties zijn geen persoonsgegevens, tenzij je de organisatie min of meer gelijk kunt stellen aan een persoon. Dit is bijvoorbeeld vaak het geval bij een eenmanszaak.
Voorbeelden directe en indirecte persoonsgegevens
Voorbeelden van direct identificerende persoonsgegevens zijn een geboortedatum, naam en adres. Onder indirect identificerende persoonsgegevens vallen gegevens die niet rechtstreeks een persoon identificeren, maar daar wel betrekking op hebben zoals een telefoonnummer, e-mailadres, bankrekeningnummer, WOZ-waarde, kentekennummer en IP-adres.
Je moet minimaal één optie aanvinken om verder te gaan.
Welke persoonsgegevens verwerk je?
Selecteer alle gegevens die je verwerkt. Dit kunnen directe en indirecte persoonsgegevens zijn.
Je moet minimaal één optie aanvinken om verder te gaan.
Verwerk je bijzondere en/of gevoelige persoonsgegevens?
Er zijn ook bijzondere persoonsgegevens. Deze worden door de wet extra beschermd vanwege de potentieel grotere inbreuk op iemands privacy.
Voorbeelden bijzondere persoonsgegevens
Voorbeelden van bijzondere persoonsgegevens zijn informatie over: ras, godsdienst, politieke voorkeur, seksuele leven, gezondheid en strafrechtelijk verleden. Het is in beginsel verboden deze gegevens te verwerken tenzij daar een wettelijke grond voor is, of de persoon in kwestie uitdrukkelijke toestemming heeft verleend.
Burgerservicenummer
Naast de bijzondere persoonsgegevens zijn er ook nog beperkingen voor persoonlijke nummers. Het bekendste voorbeeld hiervan is het burgerservicenummer (BSN). Het BSN mag alleen gebruikt worden door die partijen die daar bij de wet toe gemachtigd zijn voor specifieke doeleinden. In alle andere gevallen is het niet toegestaan om het BSN te gebruiken. Informatie over de kredietwaardigheid van personen is volgens de Algemene Verordening Gegevensbescherming (AVG) strikt genomen geen bijzonder persoonsgegeven, maar volgens de Autoriteit Persoonsgegevens wél een gevoelig gegeven.
Personen jonger dan 16 jaar
Daarnaast is ook het verzamelen van gegevens van personen jonger dan 16 niet zonder meer toegestaan. Wil je deze gegevens verzamelen of deze groep gebruik laten maken van een dienst, dan is er toestemming van ouders of wettelijke vertegenwoordigers vereist.
Let op: deze categorieën zijn vaak ruime begrippen. Zo sla je met het opslaan van iemands pasfoto ook zijn of haar ras op.
Je moet minimaal één optie aanvinken om verder te gaan.
Welke bijzondere en/of gevoelige persoonsgegevens verwerk je?
Voor het verwerken van bijzondere en/of gevoelige persoonsgegevens gelden strenge voorwaarden en regels. Zo moet je per persoonsgegeven aangegeven met welk doel en wettelijke grondslag je deze verwerkt.
Vink hieronder aan welke bijzondere en/of gevoelige persoonsgegevens je verwerkt.
Je moet minimaal één optie aanvinken om verder te gaan.
Met welk doel en op basis van welke grondslag verwerk je persoonsgegevens?
In de privacyvoorwaarden moet je zo duidelijk mogelijk omschrijven met welk doel en op basis van welke wettelijke grondslag je (bijzondere) persoonsgegevens verwerkt. De doelen kunnen simpel zijn, zoals het afleveren van een pakket op het juiste adres, maar ook complex, zoals het laten functioneren van je elektronisch boekhoudprogramma.
Je moet minimaal één optie aanvinken om verder te gaan.
Neemt jouw bedrijf besluiten op basis van geautomatiseerde verwerkingen over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen?
Als jouw bedrijf op basis van geautomatiseerde verwerkingen, waaronder profilering, besluiten neemt, dan moet de betrokkene hierover en over de logica achter dit besluit worden geïnformeerd in de privacyverklaring. Het gaat om besluiten waaraan voor de betrokkene dan wel rechtsgevolgen zijn verbonden, dan wel hem op een andere manier aanmerkelijk treffen. Voorbeelden hiervan zijn de automatische weigering van een online kredietaanvraag en automatische weigering van sollicitaties via internet zonder menselijke tussenkomst.
Geef in je privacyverklaring klanten en/of websitebezoekers duidelijk aan als je gebruikt maakt van geautomatiseerde besluitvorming en waarom. Geef daarbij nuttige informatie over de onderliggende logica (zonder daarbij je eventuele bedrijfsgeheimen te verklappen) en geef het belang en de verwachte gevolgen van die verwerking voor de betrokkene aan.
Vergeet straks niet in de tekst van de privacyverklaring de alinea onder het kopje 'Geautomatiseerde beluistvorming' aan te vullen met de informatie die voor jouw organisatie van toepassing is. (Gebruik je geen automatische besluitvorming? Zet dan wel het vinkje hieronder en geef in de alinea aan dat je geen gebruikmaakt van automatische besluitvorming of verwijder de alinea in zijn geheel.)
Je moet minimaal één optie aanvinken om verder te gaan.
Hoe lang bewaar je persoonsgegevens?
Persoonsgegevens mogen niet langer bewaard worden dan strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld.
Op grond van de Algemene Verordening Gegevensbescherming (AVG) is er geen concrete bewaartermijn voor persoonsgegevens vastgesteld. Je bepaalt zelf hoe lang je deze persoonsgegevens bewaart. Hierbij moet je kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor je ze hebt verzameld of worden gebruikt. Wel kan andere wetgeving je ertoe dwingen persoonsgegevens voor een bepaalde termijn te bewaren. Denk bijvoorbeeld aan de belastingwetgeving die je verplicht bepaalde gegevens 7 jaar lang te bewaren. Deze bewaartermijnen kun je zelf toevoegen aan je privacyverklaring.
Bewaartermijnen bepalen
Het bepalen van bewaartermijnen is lastig. Bepaal per gegevenscategorie hoe lang het voor jouw bedrijf noodzakelijk is om de persoonsgegevens te bewaren. Hou daarbij altijd in gedachten dat je de gegevens echt nodig hebt, niet dat het leuk of handig is om ze te hebben of dat ze in de (verre) toekomst mogelijk nog van pas zouden kunnen komen. Heb je bijvoorbeeld een website met accounts voor klanten? Verwijder dan accounts die al twee jaar inactief zijn en waar je een herinnering naar hebt gestuurd waar nooit op is gereageerd. Ontvang je CV's en motivatiebrieven van sollicitanten en sla je deze op? Verwijder bij een afwijzing alle documenten (en persoonsgegevens) na 4 weken. Oók de e-mails waarin deze gegevens staan.
Laat in je privacyverklaring klanten en/of websitebezoekers duidelijk weten hoe lang je hun persoonsgegevens bewaart en waarom. Geef ook duidelijk aan vanaf welk moment die termijn ingaat. Is dit bijvoorbeeld vanaf het moment dat klanten een bestelling plaatsen, de transactie is afgerond of wanneer de klantrelatie en/of het contract beëindigd is? Let op: Realiseer je dat persoonsgegevens niet vanzelf verdwijnen als de bewaartermijn is verlopen. Dit moet technisch geregeld worden, bijvoorbeeld door gegevens te laten verwijderen of deze te anonimiseren zodat deze niet meer tot een persoon herleidbaar zijn.
Vergeet straks niet in de tekst van de privacyverklaring de alinea onder het kopje 'Hoe lang we persoonsgegevens bewaren' aan te vullen met de door jou gehanteerde bewaartermijn(en).
De wettelijke bewaartermijnen hoef je overigens niet te vermelden. Dat je je als ondernemer hieraan houdt, spreekt voor zich.
Je moet minimaal één optie aanvinken om verder te gaan.
Deel je persoonsgegevens met derden?
Veel bedrijven delen persoonsgegevens met derden. Dit mag zo lang het verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Als je gegevens met derden deelt, moet je dit melden in de privacyverklaring. Je kunt dit doen door een tabel toe te voegen waarin voor de klant duidelijk is aangegeven welke gegevens met wie worden gedeeld en voor welk doel.
Maak een onderscheid tussen verantwoordelijken (derden die zelf eigen doelen hebben met de persoonsgegevens, zoals de belastingdienst) en verwerkers (derden die in jouw opdracht persoonsgegevens verwerken, zoals een hostingbedrijf).
Is er sprake van verwerkerschap, dan blijf jij verantwoordelijk voor de verwerking, maar de verwerker heeft wel een aantal afgeleide verplichtingen voor onder meer de beveiliging en geheimhouding. Dit leg je vast in een verwerkersovereenkomst waarin je opschrijft wat de sancties zijn als er fouten gemaakt worden.
Je moet minimaal één optie aanvinken om verder te gaan.
Je deelt persoonsgegevens met derden
Je deelt persoonsgegevens met verschillende derden als dit noodzakelijk is voor het uitvoeren van de overeenkomst en om te voldoen aan een eventuele wettelijke verplichting. Daarnaast verstrek je persoonsgegevens aan andere derden, mits een gebruiker hier toestemming voor geeft. Let op: deze toestemming regel je niet via de privacyverklaring! Win bij twijfel altijd juridisch advies in.
Om overzichtelijk te maken met wie je bedrijf gegevens deelt, is het aan te raden gebruik te maken van een tabel waarin je aangeeft tot welke categorie de derde hoort, de naam en jurisdictie van de derde, het doel van de overdracht van de gegevens en om welke gegevens het gaat.
Daarnaast gelden voor het delen van data naar partijen in landen buiten de Europees Economische Ruimte (EER) aanvullende regels. Kijk daarvoor op de website van de Autoriteit Persoonsgegevens. Indien je data doorstuurt naar deze derde landen, dan moet je in je privacyverklaring duidelijk aangeven welke derde landen dat zijn en op grond van welke bovengenoemde aanvullende regels dat gebeurt.
Vergeet straks niet in de tekst van de privacyverklaring de alinea onder het kopje 'Delen met derden' aan te passen en aan te vullen met de informatie (idealiter in een tabel) die voor jouw organisatie van toepassing is.
Je moet minimaal één optie aanvinken om verder te gaan.
Je deelt beperkt persoonsgegevens met derden
Je deelt alleen persoonsgegevens met derden indien dit noodzakelijk is voor het uitvoeren van de overeenkomst en om te voldoen aan een eventuele wettelijke verplichting. Het verkopen van gegevens aan derden gebeurt niet. Verwerkers die je gegevens verwerken doen dit volledig onder jouw verantwoordelijkheid en verwerken de gegevens enkel voor het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Als je gegevens deelt vanwege een wettelijke verplichting, bijvoorbeeld met de belastingdienst, dan worden de gegevens niet meer enkel voor het oorspronkelijke doel gebruikt. Maar op dat moment ben jij ook niet meer verantwoordelijk voor de verstrekte gegevens.
Je moet minimaal één optie aanvinken om verder te gaan.
Gebruikt je website cookies?
Cookies zijn kleine tekstbestanden die websites plaatsen op de computer, mobiele telefoon of tablet van bezoekers. Cookies zijn een middel om de web-ervaring prettiger en gebruiksvriendelijker te maken, zoals producten in een winkelwagentje worden gezet zodat de websitebezoeker verder kan winkelen. Onder omstandigheden kunnen cookies persoonsgegevens zijn, dit hangt af van de vraag hoe groot de privacyinbreuk is en of gebruikers over meerdere websites heen gevolgd kunnen worden. Wanneer dit het geval is, moet toestemming worden gevraagd voordat je de cookies mag plaatsen.
Weinig of geen inbreuk op privacy
Voor cookies die geen of weinig inbreuk op de privacy maken, is geen toestemming van de bezoeker nodig. Dit zijn vaak functionele cookies die een website beter laten werken, maar ook andere cookies met geringe privacygevolgen zoals (bepaalde) analytische cookies die websites bijvoorbeeld gebruiken om bezoekersstatistieken bij te houden.
Toestemming plaatsen cookies
Er zijn ook cookies die grotere privacygevolgen hebben, bijvoorbeeld omdat er profielen worden opgebouwd van websitebezoekers. Dit betreft dan het volgen van surfgedrag over meerdere websites heen. De Telecommunicatiewet verplicht je voorafgaande aan de plaatsing van deze cookies toestemming te vragen aan de gebruiker voor het plaatsen van deze cookies. Hieronder vallen bijvoorbeeld #tracking_cookies, retargeting cookies en sociale plug-ins cookies. Ook analytische cookies die voor trackingdoeleinden worden gebruikt vallen hieronder.
Let op: je vraagt geen toestemming voor het plaatsen van cookies in de privacyverklaring, maar direct als een klant/websitebezoeker jouw website voor het eerst opent. Let op: bovenstaande geldt ook voor met cookies vergelijkbare technieken.
Raadpleeg de site van de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt (ACM) voor meer informatie over welke cookies onder de uitzonderingen van het toestemmingsverbod vallen.
Vergeet straks niet aan de tekst van jouw privacyverklaring de verschilende namen, types, functies en bewaartermijnen van op jouw website geplaatste cookies toe te voegen.
Bijvoorbeeld:
Cookie: Googly Analytics
Naam: _utma
Functie: Analytische cookie die websitebezoek meet
Bewaartermijn: 2 jaar
Je moet minimaal één optie aanvinken om verder te gaan.
Wie plaatst de cookies en leest deze uit?
Cookies zijn kleine tekstbestanden die websites plaatsen op de computer, mobiele telefoon of tablet van bezoekers. Cookies zijn een middel om de web-ervaring prettiger en gebruiksvriendelijker te maken, zoals producten in een winkelwagentje worden gezet zodat de websitebezoeker verder kan winkelen. Onder omstandigheden kunnen cookies persoonsgegevens zijn, dit hangt af van de vraag hoe groot de privacyinbreuk is en of gebruikers over meerdere websites heen gevolgd kunnen worden. Wanneer dit het geval is, moet toestemming worden gevraagd voordat je de cookies mag plaatsen.
Je moet minimaal één optie aanvinken om verder te gaan.
Op welke wijze bied je klanten de gelegenheid hun rechten uit te oefenen?
De Algemene verordening gegevensbescherming (AVG) biedt degene van wie gegevens worden verwerkt (de betrokkene) het recht op inzage, correctie en verwijdering van deze gegevens. Daarnaast wordt de betrokkene het recht geboden om zijn eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de gegevensverwerking en hem wordt het recht op gegevensoverdraagbaarheid geboden. De betrokkene heeft het recht om jouw bedrijf te verzoeken de gegevens die jij over hem beschikt aan hem of aan een andere organisatie over te dragen. Jouw bedrijf moet de gegevens op een algemeen erkend en gebruikt format (bijvoorbeeld Excel) aan de betrokkene verstrekken. Dit recht beperkt zich tot gegevens die de bezoeker zelf heeft verstrekt en de gegevens die worden verwerkt in het kader van de uitvoering van de overeenkomst.
In de privacyverklaring vermeld je hoe klanten en/of websitebezoekers van dit recht gebruik kunnen maken. Ook komt in de tekst te staan dat je elk verzoek tot inzage, correctie, verwijdering, bezwaar en gegevensoverdraagbaarheid altijd binnen vier weken beantwoordt.
Je moet minimaal één optie aanvinken om verder te gaan.
Hoe beveilig je persoonsgegevens?
Je bent volgens de Algemene verordening gegevensbescherming (AVG) verplicht om persoonsgegevens te beveiligen. De wet schrijft voor dat je hiervoor 'passende technische en organisatorische maatregelen moet nemen'.
Richtsnoeren
De Autoriteit Persoonsgegevens heeft richtsnoeren opgesteld die uitleggen hoe de Autoriteit Persoonsgegevens bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. Op de pagina Beleidsregels van de Autoriteit Persoonsgegevens staat een overzicht van de verschillende beleidsregels en richtsnoeren. Deze zijn hier ook te downloaden.
Heb je zelf te weinig ICT-kennis, of geen ICT-medewerker in dienst, schakel dan een externe ICT-beveiliger in om je beveiliging op het gewenste niveau te krijgen. Het Nationaal Cyber Security Centrum (NCSC) biedt daarnaast vele factsheets en whitepapers die je kunnen helpen om je beveiliging te verbeteren.
TIP: Test de veiligheid van je internetverbinding, website en e-mail op de website Internet.nl.
Je moet minimaal één optie aanvinken om verder te gaan.
Hoe beveilig je persoonsgegevens precies?
Je bent volgens de Algemene verordening gegevensbescherming (AVG) verplicht om persoonsgegevens te beveiligen. De wet schrijft voor dat je hiervoor 'passende technische en organisatorische maatregelen moet nemen'.
Je moet minimaal één optie aanvinken om verder te gaan.
Aanspreekvorm
Spreek je mensen aan met u of jij?Je moet minimaal één optie aanvinken om verder te gaan.
Je bedrijf
Gegevens van je bedrijfAlle verplichten velden moeten ingevuld worden om verder te kunnen.
Gegevensbescherming
Gegevens van de Functionaris voor de gegevensbescherming (FG)Alle verplichten velden moeten ingevuld worden om verder te kunnen.
Je privacy statement is klaar
Niet alle vragen zijn beantwoord. Beantwoord alle vragen om verder te gaan.
Maak je eigen privacyverklaring
Als midden- of kleinbedrijf lever je goederen en/of diensten aan klanten. Hiervoor heb je persoonsgegevens nodig. Wat je met deze gegevens doet, vertel je aan je klant in een privacyverklaring op je website. Hiertoe ben je ook wettelijk verplicht.
De privacyverklaring generator op deze website helpt je aan een basistekst voor deze privacyverklaring die:
- voldoet aan de nieuwe privacywetgeving die in mei 2018 in werking is getreden (de AVG);
- kort en voor je klanten begrijpelijk is;
- zo goed als mogelijk is toegespitst op jouw bedrijf (je moet hier en daar wel zelf nog wat gegevens toevoegen).
Trouwens: Veiliginternetten.nl bewaart jouw keuzes en ingevulde gegevens niet!