Gratis Privacy policy (privacybeleid)

  • Stel je document op
  • Bewaar, print & deel
  • Onderteken & maak het rechtsgeldig
Stel je document op

Overzicht van de Privacy policy (privacybeleid)

Betrouwbaar door samenwerking met Sdu
De uitgever van Nederlandse wetboeken

Als organisatie ben je verplicht iedereen duidelijk te laten weten welke privacygevoelige gegevens je van hen verzamelt en voor welk doel. Ook moet je alle betrokkenen op hun rechten wijzen. Doe je dat niet, dan riskeer je een hoge boete. Voldoe aan de Algemene verordening gegevensbescherming (AVG mei 2018) en zorg voor een heldere privacy policy.

Gebruik deze privacy policy:

  • wanneer je persoonsgegevens verzamelt

  • om te voldoen aan de verplichtingen van de privacywet

In deze privacy policy staat onder meer:

  • de gegevens van je organisatie

  • de doelen waarvoor je de gegevens gebruikt

  • hoe je de persoonsgegevens verwerkt

  • de technische wijze waarop de persoonsgegevens worden beveiligd

  • hoe betrokkenen hun rechten kunnen uitoefenen

  • welke cookies worden gebruikt en waarvoor

  • eventueel het meldingsnummer van de verwerking bij de Autoriteit Persoonsgegevens

  • hoelang je de gegevens bewaart

Een privacy policy, ook wel privacy statement of privacyverklaring genoemd, is een schriftelijke verklaring van je organisatie over wat je met verzamelde persoonsgegevens doet. Deze gegevens kunnen betrekking hebben op klanten, bezoekers, leerlingen, leden, personeel of patiënten.

Je hebt een privacyverklaring of privacy policy nodig als je persoonlijke gegevens verzamelt die je tot een persoon kunt herleiden. Persoonlijke gegevens zeggen iets over een bepaald individu zoals zijn naam, adres, leeftijd, geslacht, inkomen, gezinssamenstelling en geloof. Je klanten, leden, bezoekers, personeel of patiënten moeten je privacy policy eenvoudig kunnen raadplegen. Zet je privacy statement daarom op een makkelijk vindbare plek op je website of overhandig een papieren versie.

Het verwerken van persoonsgegevens houdt iedere handeling in die betrekking heeft op persoonsgegevens, zoals verzamelen, vastleggen, ordenen en bewaren.

Je moet de verwerking van persoonsgegevens melden bij de Autoriteit Persoonsgegevens als je gegevens verzamelt die een hoog risico opleveren voor de rechten en vrijheden van die personen, zoals een politieke overtuiging of strafrechtelijk verleden.

Op dit moment geldt in Nederland de Wet Bescherming Persoonsgegevens. Op 25 mei 2018 wordt deze vervangen door de Europese Algemene verordening gegevensbescherming (AVG). Dit zijn de belangrijkste veranderingen:

  • iedereen van wie je persoonsgegevens verzamelt krijgt meer rechten

  • in bepaalde gevallen moet je een functionaris voor de gegevensbescherming aanstellen

  • in bepaalde situaties moet je een gegevensbeschermingseffectbeoordeling of data protection impact assessment (DPIA) uitvoeren

  • een verwerkersovereenkomst is verplicht wanneer je het verwerken van persoonsgegevens aan een ander uitbesteed

Op grond van de AVG moet je een verwerkersovereenkomst sluiten met het bedrijf dat je persoonsgegevens verwerkt. In de verwerkersovereenkomst wordt onder andere vastgelegd welke gegevens er worden verwerkt en voor welk doel. In de overeenkomst staat ook welke veiligheidsmaatregelen getroffen moeten worden en waar de gegevens worden opgeslagen.

 

Als je slechts gegevens verzamelt die duidelijk noodzakelijk zijn, zoals het adres van je klant om daar iets te kunnen bezorgen, hoef je geen toestemming te vragen. In alle andere gevallen moet je dat wel doen. De toestemming geldt niet alleen voor het verwerken van de gegevens zelf, maar ook voor het doel waarvoor je ze gaat gebruiken. Die doelen moet je van tevoren vastleggen. Denk dus goed na over wat je met de gegevens wilt gaan doen.

Je mag persoonlijke gegevens verzamelen die het doel rechtvaardigen waarvoor je ze verzamelt. Wil je je klanten of bezoekers bijvoorbeeld een algemene mailing sturen, dan mag je wel hun e-mailadres vragen, maar niet hun leeftijd. Je mag ook niet te weinig gegevens verzamelen als daardoor een scheef beeld van de werkelijkheid ontstaat. Dat is bijvoorbeeld het geval als je alle klanten die een rekening niet hebben betaald in 1 bestand zet. Een klant die niet heeft betaald omdat zijn bestelling nooit is aangekomen of het geleverde product defect was, mag niet op hetzelfde lijstje komen als de wanbetalers.   

Je bent verantwoordelijke (of verwerkingsverantwoordelijke) als jij bepaalt waarom en op welke manier persoonsgegevens worden verzameld. Dit kan een particulier, stichting, vereniging, onderneming, overheidsinstantie of andere organisatie zijn. Kortom, iedereen die persoonsgegevens verzamelt met een door hen bepaald doel en middel is een verwerkingsverantwoordelijke.

De verwerker is een externe partij die van de verantwoordelijke de opdracht krijgt om de persoonsgegevens te verwerken. De verwerker mag niets anders doen met de persoonsgegeven buiten deze opdracht om. Doet hij dat wel, dan wordt hij zelf ook verantwoordelijke. 

Je kunt overigens zowel verantwoordelijke als verwerker zijn. Een hostingprovider bijvoorbeeld is verwerker, omdat het bedrijf persoonsgegevens verwerkt voor websites die verwerkingsverantwoordelijke zijn. Ten aanzien van het personeel van de provider zelf, is het bedrijf zelf de verwerkingsverantwoordelijke.

Een subverwerker ten slotte is een partij die in opdracht van een verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.

Voor sommige cookies heb je geen toestemming nodig. Functionele cookies, zoals cookies om in te loggen, mogen zonder toestemming worden geplaatst. Hetzelfde geldt voor analytische cookies, zolang ze geen of geringe gevolgen hebben voor de privacy van bezoekers. Alle andere cookies zijn alleen toegestaan met toestemming. Je moet daarbij duidelijk aangeven:

  • wat cookies zijn

  • welke informatie je over bezoekers verzamelt

  • op welke wijze je die informatie verzamelt

  • wat je met die informatie doet

  • dat de bezoeker de cookies niet hoeft te accepteren

Heb je een website, zorg dan altijd voor een goede cookieverklaring.

Je hebt toestemming nodig voor het versturen van een nieuwsbrief. Bovendien moet je in iedere nieuwsbrief aangeven hoe de ontvanger zich eenvoudig kan afmelden.

Als er een ernstig datalek is ontstaan, dan moet je dat binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens. Vergeet niet een registratie bij te houden van de lekken en de betrokkenen te waarschuwen als een lek gevolgen voor hen heeft. Een datalek ontstaat bijvoorbeeld door:

  • een cyberaanval

  • diefstal

  • een e-mail met gevoelige informatie die naar een verkeerd adres is gestuurd

Vraag een Advocaat om hulp als:

  • je twijfelt of je de bewerking van persoonsgegevens moet melden

  • je twijfelt of je bepaalde persoonsgegevens mag vragen

Op deze privacy policy is Nederlands en Europees recht van toepassing.