Er zijn ook bijzondere persoonsgegevens. Deze worden door de wet extra beschermd vanwege de potentieel grotere inbreuk op iemands privacy.

Voorbeelden bijzondere persoonsgegevens
Voorbeelden van bijzondere persoonsgegevens zijn informatie over: ras, godsdienst, politieke voorkeur, seksuele leven, gezondheid en strafrechtelijk verleden. Het is in beginsel verboden deze gegevens te verwerken tenzij daar een wettelijke grond voor is, of de persoon in kwestie uitdrukkelijke toestemming heeft verleend.

Burgerservicenummer
Naast de bijzondere persoonsgegevens zijn er ook nog beperkingen voor persoonlijke nummers. Het bekendste voorbeeld hiervan is het burgerservicenummer (BSN). Het BSN mag alleen gebruikt worden door die partijen die daar bij de wet toe gemachtigd zijn voor specifieke doeleinden. In alle andere gevallen is het niet toegestaan om het BSN te gebruiken. Informatie over de kredietwaardigheid van personen is volgens de Algemene Verordening Gegevensbescherming (AVG) strikt genomen geen bijzonder persoonsgegeven, maar volgens de Autoriteit Persoonsgegevens wél een gevoelig gegeven.

Personen jonger dan 16 jaar
Daarnaast is ook het verzamelen van gegevens van personen jonger dan 16 niet zonder meer toegestaan. Wil je deze gegevens verzamelen of deze groep gebruik laten maken van een dienst, dan is er toestemming van ouders of wettelijke vertegenwoordigers vereist. 

Let op: deze categorieën zijn vaak ruime begrippen. Zo sla je met het opslaan van iemands pasfoto ook zijn of haar ras op.

In de privacyvoorwaarden moet je zo duidelijk mogelijk omschrijven met welk doel en op basis van welke wettelijke grondslag je (bijzondere) persoonsgegevens verwerkt. De doelen kunnen simpel zijn, zoals het afleveren van een pakket op het juiste adres, maar ook complex, zoals het laten functioneren van je elektronisch boekhoudprogramma. 

Contractuele of wettelijke verplichting
Indien jouw bedrijf persoonsgegevens verwerkt op basis van een wettelijke verplichting of ter uitvoering van een overeenkomst, dan moet je aan het eind nog aan je privacyverklaring toevoegen of de persoon van wie je de gegevens verwerkt 1) verplicht is deze persoonsgegevens op te geven en 2) wat de mogelijke gevolgen zijn als hij deze gegevens niet verstrekt. 

Voorbeelden zijn het rekeningnummer en factuuradres bij een (online) aankoop. Voor jouw bedrijf is het noodzakelijk om deze gegevens te hebben voor de uitvoering van de (koop)overeenkomst. Je moet immers een bepaald bedrag ontvangen voor het product dat je verkoopt of de dienst die je levert. 

Gerechtvaardigd belang
In sommige gevallen heeft jouw bedrijf er belang bij om gegevens van een persoon te verwerken. Dat noemt men het gerechtvaardigd belang. Als dat belang zwaarder weegt dan de privacy van de betrokkene,  dan mag jouw bedrijf de persoonsgegevens van  de betrokkene verwerken om het gerechtvaardigde belang van jouw bedrijf te dienen. Een voorbeeld van zo'n belang is het commerciële belang van jouw bedrijf om jouw klanten marketingaanbiedingen te doen. Een ander voorbeeld is het belang om het internetgedrag van je werknemers te monitoren of om (toekomstige) werknemers te screenen, omdat zij binnen jouw organisatie functie gaan beoefenen waarbij integriteit en vertrouwelijkheid essentieel zijn. 

Indien jouw bedrijf persoonsgegevens verwerkt op basis van een of meerdere gerechtvaardige belang(en), dan moet je deze specifiek noemen in de privacyverklaring. Bijvoorbeeld: 'Wij verwerken persoonsgegevens op grond van een gerechtvaardigd belang, namelijk een commercieel belang.'

Grondslagen
Voor het verwerken van persoonsgegevens is altijd een grondslag nodig. De grondslagen moet je ook in je privacyverklaring opnemen. Benoem zelf per doel tenminste één grondslag en voeg deze aan het eind van deze tool zelf toe aan de tekst van jouw privacyverklaring.

De zes wettelijke grondslagen zijn:

1. Toestemming: De betrokkene heeft toestemmingen gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
2. Overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
3. Wettelijke verplichting: De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
4. Vitaal belang: De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander natuurlijke persoon te beschermen.
5. Publiekrechtelijke taak: De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
6. Gerechtvaardigd belang: De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkenen die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.  

Kijk hier meer informatie over de grondslagen: informatie op website Autoriteit Persoonsgegevens

Als jouw bedrijf op basis van geautomatiseerde verwerkingen, waaronder profilering, besluiten neemt, dan moet de betrokkene hierover en over de logica achter dit besluit worden geïnformeerd in de privacyverklaring. Het gaat om besluiten waaraan voor de betrokkene dan wel rechtsgevolgen zijn verbonden, dan wel hem op een andere manier aanmerkelijk treffen. Voorbeelden hiervan zijn de automatische weigering van een online kredietaanvraag en automatische weigering van sollicitaties via internet zonder menselijke tussenkomst.

Persoonsgegevens mogen niet langer bewaard worden dan strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld. 

Op grond van de Algemene Verordening Gegevensbescherming (AVG) is er geen concrete bewaartermijn voor persoonsgegevens vastgesteld. Je bepaalt zelf hoe lang je deze persoonsgegevens bewaart. Hierbij moet je kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor je ze hebt verzameld of worden gebruikt. Wel kan andere wetgeving je ertoe dwingen persoonsgegevens voor een bepaalde termijn te bewaren. Denk bijvoorbeeld aan de belastingwetgeving die je verplicht bepaalde gegevens 7 jaar lang te bewaren. Deze bewaartermijnen kun je zelf toevoegen aan je privacyverklaring. 

Bewaartermijnen bepalen
Het bepalen van bewaartermijnen is lastig. Bepaal per gegevenscategorie hoe lang het voor jouw bedrijf noodzakelijk is om de persoonsgegevens te bewaren. Hou daarbij altijd in gedachten dat je de gegevens echt nodig hebt, niet dat het leuk of handig is om ze te hebben of dat ze in de (verre) toekomst mogelijk nog van pas zouden kunnen komen. Heb je bijvoorbeeld een website met accounts voor klanten? Verwijder dan accounts die al twee jaar inactief zijn en waar je een herinnering naar hebt gestuurd waar nooit op is gereageerd. Ontvang je CV's en motivatiebrieven van sollicitanten en sla je deze op? Verwijder bij een afwijzing alle documenten (en persoonsgegevens) na 4 weken. Oók de e-mails waarin deze gegevens staan.

Veel bedrijven delen persoonsgegevens met derden. Dit mag zo lang het verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Als je gegevens met derden deelt, moet je dit melden in de privacyverklaring. Je kunt dit doen door een tabel toe te voegen waarin voor de klant duidelijk is aangegeven welke gegevens met wie worden gedeeld en voor welk doel.

Maak een onderscheid tussen verantwoordelijken (derden die zelf eigen doelen hebben met de persoonsgegevens, zoals de belastingdienst) en verwerkers (derden die in jouw opdracht persoonsgegevens verwerken, zoals een hostingbedrijf).

Is er sprake van verwerkerschap, dan blijf jij verantwoordelijk voor de verwerking, maar de verwerker heeft wel een aantal afgeleide verplichtingen voor onder meer de beveiliging en geheimhouding. Dit leg je vast in een verwerkersovereenkomst waarin je opschrijft wat de sancties zijn als er fouten gemaakt worden.

Cookies zijn kleine tekstbestanden die websites plaatsen op de computer, mobiele telefoon of tablet van bezoekers. Cookies zijn een middel om de web-ervaring prettiger en gebruiksvriendelijker te maken, zoals producten in een winkelwagentje worden gezet zodat de websitebezoeker verder kan winkelen. Onder omstandigheden kunnen cookies persoonsgegevens zijn, dit hangt af van de vraag hoe groot de privacyinbreuk is en of gebruikers over meerdere websites heen gevolgd kunnen worden. Wanneer dit het geval is, moet toestemming worden gevraagd voordat je de cookies mag plaatsen.

Weinig of geen inbreuk op privacy
Voor cookies die geen of weinig inbreuk op de privacy maken, is geen toestemming van de bezoeker nodig. Dit zijn vaak functionele cookies die een website beter laten werken, maar ook andere cookies met geringe privacygevolgen zoals (bepaalde) analytische cookies die websites bijvoorbeeld gebruiken om bezoekersstatistieken bij te houden.

Toestemming plaatsen cookies
Er zijn ook cookies die grotere privacygevolgen hebben, bijvoorbeeld omdat er profielen worden opgebouwd van websitebezoekers. Dit betreft dan het volgen van surfgedrag over meerdere websites heen. De Telecommunicatiewet verplicht je voorafgaande aan de plaatsing van deze cookies toestemming te vragen aan de gebruiker voor het plaatsen van deze cookies. Hieronder vallen bijvoorbeeld tracking cookies, retargeting cookies en sociale plug-ins cookies. Ook analytische cookies die voor trackingdoeleinden worden gebruikt vallen hieronder.

Let op: je vraagt geen toestemming voor het plaatsen van cookies in de privacyverklaring, maar direct als een klant/websitebezoeker jouw website voor het eerst opent. Let op: bovenstaande geldt ook voor met cookies vergelijkbare technieken.

Raadpleeg de site van de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt (ACM) voor meer informatie over welke cookies onder de uitzonderingen van het toestemmingsverbod vallen.

Vergeet straks niet aan de tekst van jouw privacyverklaring de verschilende namen, types, functies en bewaartermijnen van op jouw website geplaatste cookies toe te voegen.

Bijvoorbeeld:
Cookie: Googly Analytics
Naam: _utma
Functie: Analytische cookie die websitebezoek meet
Bewaartermijn: 2 jaar

De Algemene verordening gegevensbescherming (AVG) biedt degene van wie gegevens worden verwerkt (de betrokkene) het recht op inzage, correctie en verwijdering van deze gegevens. Daarnaast wordt de betrokkene het recht geboden om zijn eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de gegevensverwerking en hem wordt het recht op gegevensoverdraagbaarheid geboden. De betrokkene heeft het recht om jouw bedrijf te verzoeken de gegevens die jij over hem beschikt aan hem of aan een andere organisatie over te dragen. Jouw bedrijf moet de gegevens op een algemeen erkend en gebruikt format (bijvoorbeeld Excel) aan de betrokkene verstrekken. Dit recht beperkt zich tot gegevens die de bezoeker zelf heeft verstrekt en de gegevens die worden verwerkt in het kader van de uitvoering van de overeenkomst.

In de privacyverklaring vermeld je hoe klanten en/of websitebezoekers van dit recht gebruik kunnen maken. Ook komt in de tekst te staan dat je elk verzoek tot inzage, correctie, verwijdering, bezwaar en gegevensoverdraagbaarheid altijd binnen vier weken beantwoordt.

Je bent volgens de Algemene verordening gegevensbescherming (AVG) verplicht om persoonsgegevens te beveiligen. De wet schrijft voor dat je hiervoor 'passende technische en organisatorische maatregelen moet nemen'.

Richtsnoeren
De Autoriteit Persoonsgegevens heeft richtsnoeren opgesteld die uitleggen hoe de Autoriteit Persoonsgegevens bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. Op de pagina Beleidsregels van de Autoriteit Persoonsgegevens staat een overzicht van de verschillende beleidsregels en richtsnoeren. Deze zijn hier ook te downloaden.

Heb je zelf te weinig ICT-kennis, of geen ICT-medewerker in dienst, schakel dan een externe ICT-beveiliger in om je beveiliging op het gewenste niveau te krijgen. Het Nationaal Cyber Security Centrum (NCSC) biedt daarnaast vele factsheets en whitepapers die je kunnen helpen om je beveiliging te verbeteren.

TIP: Test de veiligheid van je internetverbinding, website en e-mail op de website Internet.nl.