• Privacyverklaring generator - 1/9

    Verwerk je persoonsgegevens?

    Wist je dat een naam al een persoonsgegeven is? Als je dus de naam van je klant opslaat, dan verwerk je al persoonsgegevens. Er zijn directe en indirecte persoonsgegevens. Informatie wordt beschouwd als een persoonsgegeven als direct duidelijk is over welke persoon het gaat óf als deze informatie (in combinatie met andere gegevens) naar deze persoon te herleiden is (indirect). Gegevens van overledenen zijn volgens de wet géén persoonsgegevens, tenzij de gegevens wat zeggen over de nabestaanden. Ook gegevens over organisaties zijn geen persoonsgegevens, tenzij je de organisatie min of meer gelijk kunt stellen aan een persoon. Dit is bijvoorbeeld vaak het geval bij een eenmanszaak.

    Voorbeelden directe en indirecte persoonsgegevens
    Voorbeelden van direct identificerende persoonsgegevens zijn een geboortedatum, naam en adres. Onder indirect identificerende persoonsgegevens vallen gegevens die niet rechtstreeks een persoon identificeren, maar daar wel betrekking op hebben zoals een telefoonnummer, e-mailadres, bankrekeningnummer, WOZ-waarde, kentekennummer en IP-adres.

    Verwerk je persoonsgegevens?

    Vink hieronder aan welke persoonsgegevens je verzamelt.


  • Privacyverklaring generator - 2/9

    Verwerk je bijzondere en/of gevoelige persoonsgegevens?

    Er zijn ook bijzondere persoonsgegevens. Deze worden door de wet extra beschermd vanwege de potentieel grotere inbreuk op iemands privacy.

    Voorbeelden bijzondere persoonsgegevens
    Voorbeelden van bijzondere persoonsgegevens zijn informatie over: ras, godsdienst, politieke voorkeur, seksuele leven, gezondheid en strafrechtelijk verleden. Het is in beginsel verboden deze gegevens te verwerken tenzij daar een wettelijke grond voor is, of de persoon in kwestie uitdrukkelijke toestemming heeft verleend.

    Burgerservicenummer
    Naast de bijzondere persoonsgegevens zijn er ook nog beperkingen voor persoonlijke nummers. Het bekendste voorbeeld hiervan is het burgerservicenummer (BSN). Het BSN mag alleen gebruikt worden door die partijen die daar bij de wet toe gemachtigd zijn voor specifieke doeleinden. In alle andere gevallen is het niet toegestaan om het BSN te gebruiken. Informatie over de kredietwaardigheid van personen is volgens de Algemene Verordening Gegevensbescherming (AVG) strikt genomen geen bijzonder persoonsgegeven, maar volgens de Autoriteit Persoonsgegevens wél een gevoelig gegeven.

    Personen jonger dan 16 jaar
    Daarnaast is ook het verzamelen van gegevens van personen jonger dan 16 niet zonder meer toegestaan. Wil je deze gegevens verzamelen of deze groep gebruik laten maken van een dienst, dan is er toestemming van ouders of wettelijke vertegenwoordigers vereist. 

    Let op: deze categorieën zijn vaak ruime begrippen. Zo sla je met het opslaan van iemands pasfoto ook zijn of haar ras op.

    Verwerk je bijzondere en/of gevoelige persoonsgegevens?

    Voor het verwerken van bijzondere en/of gevoelige persoonsgegevens gelden strenge voorwaarden en regels. Zo moet je per persoonsgegeven zelf aangegeven met welk doel en wettelijke grondslag je deze verwerkt.

    Als jouw privacyvoorwaarden aan het eind van deze tool gegenereerd zijn, moet je deze informatie zelf toevoegen aan onderstaande categorieën van bijzondere persoonsgegevens.

    Vink hieronder aan welke bijzondere en/of gevoelige persoonsgegevens je verwerkt. En vergeet straks niet toe te voegen met welk doel en wettelijke grondslag je deze bijzondere persoonsgegevens verwerkt.


  • Privacyverklaring generator - 3/9

    Met welk doel en op basis van welke grondslag verwerk je persoonsgegevens?

    In de privacyvoorwaarden moet je zo duidelijk mogelijk omschrijven met welk doel en op basis van welke wettelijke grondslag je (bijzondere) persoonsgegevens verwerkt. De doelen kunnen simpel zijn, zoals het afleveren van een pakket op het juiste adres, maar ook complex, zoals het laten functioneren van je elektronisch boekhoudprogramma. 

    Contractuele of wettelijke verplichting
    Indien jouw bedrijf persoonsgegevens verwerkt op basis van een wettelijke verplichting of ter uitvoering van een overeenkomst, dan moet je aan het eind nog aan je privacyverklaring toevoegen of de persoon van wie je de gegevens verwerkt 1) verplicht is deze persoonsgegevens op te geven en 2) wat de mogelijke gevolgen zijn als hij deze gegevens niet verstrekt. 

    Voorbeelden zijn het rekeningnummer en factuuradres bij een (online) aankoop. Voor jouw bedrijf is het noodzakelijk om deze gegevens te hebben voor de uitvoering van de (koop)overeenkomst. Je moet immers een bepaald bedrag ontvangen voor het product dat je verkoopt of de dienst die je levert. 

    Gerechtvaardigd belang
    In sommige gevallen heeft jouw bedrijf er belang bij om gegevens van een persoon te verwerken. Dat noemt men het gerechtvaardigd belang. Als dat belang zwaarder weegt dan de privacy van de betrokkene,  dan mag jouw bedrijf de persoonsgegevens van  de betrokkene verwerken om het gerechtvaardigde belang van jouw bedrijf te dienen. Een voorbeeld van zo'n belang is het commerciële belang van jouw bedrijf om jouw klanten marketingaanbiedingen te doen. Een ander voorbeeld is het belang om het internetgedrag van je werknemers te monitoren of om (toekomstige) werknemers te screenen, omdat zij binnen jouw organisatie functie gaan beoefenen waarbij integriteit en vertrouwelijkheid essentieel zijn. 

    Indien jouw bedrijf persoonsgegevens verwerkt op basis van een of meerdere gerechtvaardige belang(en), dan moet je deze specifiek noemen in de privacyverklaring. Bijvoorbeeld: 'Wij verwerken persoonsgegevens op grond van een gerechtvaardigd belang, namelijk een commercieel belang.'

    Grondslagen
    Voor het verwerken van persoonsgegevens is altijd een grondslag nodig. De grondslagen moet je ook in je privacyverklaring opnemen. Benoem zelf per doel tenminste één grondslag en voeg deze aan het eind van deze tool zelf toe aan de tekst van jouw privacyverklaring.

    De zes wettelijke grondslagen zijn:

    1. Toestemming: De betrokkene heeft toestemmingen gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
    2. Overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
    3. Wettelijke verplichting: De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
    4. Vitaal belang: De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander natuurlijke persoon te beschermen.
    5. Publiekrechtelijke taak: De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
    6. Gerechtvaardigd belang: De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkenen die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.  

    Kijk hier meer informatie over de grondslagen: informatie op website Autoriteit Persoonsgegevens

    Met welk doel en op basis van welke grondslag verwerk je persoonsgegevens?

    Vink aan voor welk doel je persoonsgegevens verwerkt. en voeg daar later een grondslag aan toe.


  • Privacyverklaring generator - 4/9

    Neemt jouw bedrijf besluiten op basis van geautomatiseerde verwerkingen over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen?

    Als jouw bedrijf op basis van geautomatiseerde verwerkingen, waaronder profilering, besluiten neemt, dan moet de betrokkene hierover en over de logica achter dit besluit worden geïnformeerd in de privacyverklaring. Het gaat om besluiten waaraan voor de betrokkene dan wel rechtsgevolgen zijn verbonden, dan wel hem op een andere manier aanmerkelijk treffen. Voorbeelden hiervan zijn de automatische weigering van een online kredietvaanvraag en automatische weigering van sollicitaties via internet zonder menselijke tussenkomst.

    Neemt jouw bedrijf besluiten op basis van geautomatiseerde verwerkingen over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen?

    Geef in je privacyverklaring klanten en/of websitebezoekers duidelijk aan als je gebruikt maakt van geautomatiseerde besluitvorming en waarom. Geef daarbij nuttige informatie over de onderliggende logica (zonder daarbij je eventuele bedrijfsgeheimen te verklappen) en geef het belang en de verwachte gevolgen van die verwerking voor de betrokkene aan.

    Vergeet straks niet in de tekst van de privacyverklaring de alinea onder het kopje 'Geautomatiseerde beluistvorming' aan te vullen met de informatie die voor jouw organisatie van toepassing is. (Gebruik je geen automatische besluitvorming? Zet dan wel het vinkje hieronder en geef in de alinea aan dat je geen gebruikmaakt van automatische besluitvorming of verwijder de alinea in zijn geheel.)

     


  • Privacyverklaring generator - 5/9

    Hoe lang bewaar je persoonsgegevens?

    Persoonsgegevens mogen niet langer bewaard worden dan strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld. 

    Op grond van de Algemene Verordening Gegevensbescherming (AVG) is er geen concrete bewaartermijn voor persoonsgegevens vastgesteld. Je bepaalt zelf hoe lang je deze persoonsgegevens bewaart. Hierbij moet je kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor je ze hebt verzameld of worden gebruikt. Wel kan andere wetgeving je ertoe dwingen persoonsgegevens voor een bepaalde termijn te bewaren. Denk bijvoorbeeld aan de belastingwetgeving die je verplicht bepaalde gegevens 7 jaar lang te bewaren. Deze bewaartermijnen kun je zelf toevoegen aan je privacyverklaring. 

    Bewaartermijnen bepalen
    Het bepalen van bewaartermijnen is lastig. Bepaal per gegevenscategorie hoe lang het voor jouw bedrijf noodzakelijk is om de persoonsgegevens te bewaren. Hou daarbij altijd in gedachten dat je de gegevens echt nodig hebt, niet dat het leuk of handig is om ze te hebben of dat ze in de (verre) toekomst mogelijk nog van pas zouden kunnen komen. Heb je bijvoorbeeld een website met accounts voor klanten? Verwijder dan accounts die al twee jaar inactief zijn en waar je een herinnering naar hebt gestuurd waar nooit op is gereageerd. Ontvang je CV's en motivatiebrieven van sollicitanten en sla je deze op? Verwijder bij een afwijzing alle documenten (en persoonsgegevens) na 4 weken. Oók de e-mails waarin deze gegevens staan.

    Hoe lang bewaar je persoonsgegevens?

    Laat in je privacyverklaring klanten en/of websitebezoekers duidelijk weten hoe lang je hun persoonsgegevens bewaart en waarom. Geef ook duidelijk aan vanaf welk moment die termijn ingaat. Is dit bijvoorbeeld vanaf het moment dat klanten een bestelling plaatsen, de transactie is afgerond of wanneer de klantrelatie en/of het contract beëindigd is? Let op: Realiseer je dat persoonsgegevens niet vanzelf verdwijnen als de bewaartermijn is verlopen. Dit moet technisch geregeld worden, bijvoorbeeld door gegevens te laten verwijderen of deze te anonimiseren zodat deze niet meer tot een persoon herleidbaar zijn.

    Vergeet straks niet in de tekst van de privacyverklaring de alinea onder het kopje 'Hoe lang we persoonsgegevens bewaren' aan te vullen met de door jou gehanteerde bewaartermijn(en).

    De wettelijke bewaartermijnen hoef je overigens niet te vermelden. Dat je je als ondernemer hieraan houdt, spreekt voor zich.


  • Privacyverklaring generator - 6/9

    Deel je persoonsgegevens met derden?

    Veel bedrijven delen persoonsgegevens met derden. Dit mag zo lang het verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Als je gegevens met derden deelt, moet je dit melden in de privacyverklaring. Je kunt dit doen door een tabel toe te voegen waarin voor de klant duidelijk is aangegeven welke gegevens met wie worden gedeeld en voor welk doel.

    Maak een onderscheid tussen verantwoordelijken (derden die zelf eigen doelen hebben met de persoonsgegevens, zoals de belastingdienst) en bewerkers (derden die in jouw opdracht persoonsgegevens verwerken, zoals een hostingbedrijf).

    Is er sprake van bewerkerschap, dan blijf jij verantwoordelijk voor de verwerking, maar de bewerker heeft wel een aantal afgeleide verplichtingen voor onder meer de beveiliging en geheimhouding. Dit leg je vast in een bewerkersovereenkomst waarin je opschrijft wat de sancties zijn als er fouten gemaakt worden.

    Deel je persoonsgegevens met derden?

    Je deelt alleen persoonsgegevens met derden indien dit noodzakelijk is voor het uitvoeren van de overeenkomst en om te voldoen aan een eventuele wettelijke verplichting. Het verkopen van gegevens aan derden gebeurt niet. Bewerkers die je gegevens verwerken doen dit volledig onder jouw verantwoordelijkheid en verwerken de gegevens enkel voor het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Als je gegevens deelt vanwege een wettelijke verplichting, bijvoorbeeld met de belastingdienst, dan worden de gegevens niet meer enkel voor het oorspronkelijke doel gebruikt. Maar op dat moment ben jij ook niet meer verantwoordelijk voor de verstrekte gegevens.


    Je deelt persoonsgegevens met verschillende derden als dit noodzakelijk is voor het uitvoeren van de overeenkomst en om te voldoen aan een eventuele wettelijke verplichting. Daarnaast verstrek je persoonsgegevens aan andere derden, mits een gebruiker hier toestemming voor geeft. Let op: deze toestemming regel je niet via de privacyverklaring! Win bij twijfel altijd juridisch advies in.

    Om overzichtelijk te maken met wie je bedrijf gegevens deelt, is het aan te raden gebruik te maken van een tabel waarin je aangeeft tot welke categorie de derde hoort, de naam en jurisdictie van de derde, het doel van de overdracht van de gegevens en om welke gegevens het gaat.

    Daarnaast gelden voor het delen van data naar partijen in landen buiten de Europees Economische Ruimte (EER) aanvullende regels. Kijk daarvoor op de website van de Autoriteit Persoonsgegevens. Indien je data doorstuurt naar deze derde landen, dan moet je in je privacyverklaring duidelijk aangeven welke derde landen dat zijn en op grond van welke bovengenoemde aanvullende regels dat gebeurt.

    Vergeet straks niet in de tekst van de privacyverklaring de alinea onder het kopje 'Delen met derden' aan te passen en aan te vullen met de informatie (idealiter in een tabel) die voor jouw organisatie van toepassing is.


  • Privacyverklaring generator - 7/9

    Gebruikt je website cookies?

    Cookies zijn kleine tekstbestanden die websites plaatsen op de computer, mobiele telefoon of tablet van bezoekers. Cookies zijn een middel om de web-ervaring prettiger en gebruiksvriendelijker te maken, zoals producten in een winkelwagentje worden gezet zodat de websitebezoeker verder kan winkelen. Onder omstandigheden kunnen cookies persoonsgegevens zijn, dit hangt af van de vraag hoe groot de privacyinbreuk is en of gebruikers over meerdere websites heen gevolgd kunnen worden. Wanneer dit het geval is, moet toestemming worden gevraagd voordat je de cookies mag plaatsen.

    Weinig of geen inbreuk op privacy
    Voor cookies die geen of weinig inbreuk op de privacy maken, is geen toestemming van de bezoeker nodig. Dit zijn vaak functionele cookies die een website beter laten werken, maar ook andere cookies met geringe privacygevolgen zoals (bepaalde) analytische cookies die websites bijvoorbeeld gebruiken om bezoekersstatistieken bij te houden.

    Toestemming plaatsen cookies
    Er zijn ook cookies die grotere privacygevolgen hebben, bijvoorbeeld omdat er profielen worden opgebouwd van websitebezoekers. Dit betreft dan het volgen van surfgedrag over meerdere websites heen. De Telecommunicatiewet verplicht je voorafgaande aan de plaatsing van deze cookies toestemming te vragen aan de gebruiker voor het plaatsen van deze cookies. Hieronder vallen bijvoorbeeld tracking cookies, retargeting cookies en sociale plug-ins cookies. Ook analytische cookies die voor trackingdoeleinden worden gebruikt vallen hieronder.

    Let op: je vraagt geen toestemming voor het plaatsen van cookies in de privacyverklaring, maar direct als een klant/websitebezoeker jouw website voor het eerst opent. Let op: bovenstaande geldt ook voor met cookies vergelijkbare technieken.

    Raadpleeg de site van de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt (ACM) voor meer informatie over welke cookies onder de uitzonderingen van het toestemmingsverbod vallen.

    Vergeet straks niet aan de tekst van jouw privacyverklaring de verschilende namen, types, functies en bewaartermijnen van op jouw website geplaatste cookies toe te voegen.

    Bijvoorbeeld:
    Cookie: Googly Analytics
    Naam: _utma
    Functie: Analytische cookie die websitebezoek meet
    Bewaartermijn: 2 jaar

    Gebruikt je website cookies?

    Vink hieronder aan wie de cookies plaatst en uitleest: jouw organisatie en/of derden.

    Let op: Als derde partijen cookies plaatsen op jouw site moet je daar op de eerste webpagina waar een bezoeker binnenkomt over informeren en toestemming vragen. Dit regel je dus niet met deze tool of in de privacyverklaring. Je bent wettelijk verplicht om minimaal te communiceren welke partij cookies plaatst op je website, om welke cookies het gaat en welke bewaartermijn ze aanhouden. Neem ook links op naar de cookieverklaringen en/of privacyverklaringen van deze partijen. Dit kun je (zelf) toevoegen aan de privacyverklaring.


    Bijvoorbeeld:
    Cookie: Googly Analytics
    Naam: _utma
    Functie: Analytische cookie die websitebezoek meet
    Bewaartermijn: 2 jaar


  • Privacyverklaring generator - 8/9

    Op welke wijze bied je klanten de gelegenheid hun rechten uit te oefenen?

    De Algemene verordening gegevensbescherming (AVG) biedt degene van wie gegevens worden verwerkt (de betrokkene) het recht op inzage, correctie en verwijdering van deze gegevens. Daarnaast wordt de betrokkene het recht geboden om zijn eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de gegevensverwerking en hem wordt het recht op gegevensoverdraagbaarheid geboden. De betrokkene heeft het recht om jouw bedrijf te verzoeken de gegevens die jij over hem beschikt aan hem of aan een andere organisatie over te dragen. Jouw bedrijf moet de gegevens op een algemeen erkend en gebruikt format (bijvoorbeeld Excel) aan de betrokkene verstrekken. Dit recht beperkt zich tot gegevens die de bezoeker zelf heeft verstrekt en de gegevens die worden verwerkt in het kader van de uitvoering van de overeenkomst.

    In de privacyverklaring vermeld je hoe klanten en/of websitebezoekers van dit recht gebruik kunnen maken. Ook komt in de tekst te staan dat je elk verzoek tot inzage, correctie, verwijdering, bezwaar en gegevensoverdraagbaarheid altijd binnen vier weken beantwoordt.

    Op welke wijze bied je klanten de gelegenheid hun rechten uit te oefenen?

  • Privacyverklaring generator - 9/9

    Hoe beveilig je persoonsgegevens?

    Je bent volgens de Algemene verordening gegevensbescherming (AVG) verplicht om persoonsgegevens te beveiligen. De wet schrijft voor dat je hiervoor 'passende technische en organisatorische maatregelen moet nemen'.

    Richtsnoeren
    De Autoriteit Persoonsgegevens heeft richtsnoeren opgesteld die uitleggen hoe de Autoriteit Persoonsgegevens bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. Op de pagina Beleidsregels van de Autoriteit Persoonsgegevens staat een overzicht van de verschillende beleidsregels en richtsnoeren. Deze zijn hier ook te downloaden.

    Heb je zelf te weinig ICT-kennis, of geen ICT-medewerker in dienst, schakel dan een externe ICT-beveiliger in om je beveiliging op het gewenste niveau te krijgen. Het Nationaal Cyber Security Centrum (NCSC) biedt daarnaast vele factsheets en whitepapers die je kunnen helpen om je beveiliging te verbeteren.

    TIP: Test de veiligheid van je internetverbinding, website en e-mail op de website Internet.nl.

    Hoe beveilig je persoonsgegevens?

    Vink hieronder aan hoe je persoonsgegevens beveiligt. Neem je nog andere maatregelen om persoonsgegevens te beveiligen? Voeg deze dan zelf aan je privacyverklaring toe onder het kopje 'Hoe wij persoonsgegevens beveiligen'.


  • Privacyverklaring generator - 10/10

    Gegevens van je bedrijf

    Nog een korte inleidingstekst om deze sectie te introduceren.

    Vul hieronder de gegevens van je bedrijf in. Velden met een * zijn verplicht.


    Taalgebruik

    Spreek je mensen aan met u of jij?

    Je bedrijf


    Gegevensbescherming

    Geef hieronder de naam van het systeem dat je gebruikt voor data-analyse en automatische beslissingen op, hoe je het gebruikt, waarom je het gebruikt en wat je verwacht dat de gevolgen zijn
    Geef hieronder aan welke data je voor bewaart, voor welke termijn en waarom.

    Goed Bezig!

    De gegevens die je hebt ingevuld worden direct ingevuld op de relevante plekken in de privacyverklaring.

    Let op: wij bewaren deze gegevens natuurlijk niet. Dit betekent wel dat onderstaande gegevens niet onthouden worden, wanneer je weer bij ons terug komt.