Privacyverklaring opstellen: de 5 belangrijkste tips

Sinds de privacywetgeving is ingegaan, controleert de Autoriteit Persoonsgegevens op het naleven van de AVG. Reden genoeg dus om je privacyverklaring nog eens goed onder de loep te nemen. In deze blog de 5 belangrijkste tips om een privacyverklaring op te stellen.

Privacyverklaring is een belangrijk document

Werkt jouw organisatie met persoonsgegevens? Vast wel. Vrijwel iedere organisatie verzamelt namelijk gegevens van bijvoorbeeld (potentiële) klanten of websitebezoekers. Ook het inzien, opslaan en bewerken van gegevens valt hieronder. Volgens de privacywet ben je verplicht betrokkenen te informeren over wat er met hun gegevens gebeurt. Dat doe je in een zogenoemde privacyverklaring, ook wel bekend onder de naam privacy statement.

Een privacyverklaring is een belangrijk document, omdat je hiermee als organisatie aan je informatieverplichting voldoet. Daarom geldt een aantal regels. In de praktijk blijkt dat nog niet alle organisaties op dit vlak aan de privacywetgeving voldoen. Doe daarom je voordeel met onderstaande 5 tips bij het opstellen van je privacyverklaring.

1. Benoem de juiste grondslagen

Waarom verwerk je de gegevens? Een essentiële vraag die in de privacyverklaring beantwoord moet worden. Voor het antwoord heb je de keuze uit zes opties, de zogenoemde grondslagen. Deze zijn:

  1. Toestemming van betrokkene;
  2. Voor het uitvoeren van de overeenkomst met betrokkene;
  3. Om te voldoen aan een wettelijke verplichting;
  4. Om het vitaal belang van de betrokkene of een ander natuurlijk persoon te beschermen;
  5. Voor het vervullen van een taak van algemeen belang;
  6. Als het noodzakelijk is ter behartiging van de gerechtvaardigde belangen van verwerkingsverantwoordelijke of van een derde.

Verkoop je een product of dienst? Dan neem je in het statement op dat de betaalgegevens van de klant worden verwerkt om de overeenkomst te kunnen uitvoeren (punt 2). Verzamel je de gegevens alleen om een nieuwsbrief per mail te versturen, dan is je grondslag dat je het e-mailadres op basis van toestemming verzamelt om de nieuwsbrief te kunnen versturen (punt 1).

Let op: je kunt je er niet vanaf maken door een willekeurige grondslag te noemen. Deze grondslag moet natuurlijk ook kloppen. Als je gebruik maakt van de grondslag gerechtvaardigd belang, dan moet je ook motiveren waarom hiervan sprake is.

2. Noem de juiste bewaartermijnen

In de privacyverklaring moet ook staan hoe lang je de gegevens bewaart. Wat gelijk de vraag oproept hoe lang dat mag. Helaas staan er geen concrete bewaartermijnen in de AVG. Er staat alleen in dat je de gegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor ze zijn verzameld.

In de nationale wetten staan wel een aantal concrete bewaartermijnen, zoals de fiscale verplichting om facturen 7 jaar (en in sommige gevallen zelfs 10 jaar) te bewaren. Zijn er geen wettelijke bewaartermijnen vastgelegd? Dan dien je zelf vast te stellen hoe lang je de gegevens bewaart en waarom.

Deze bewaartermijn mag je functioneel omschrijven in de privacyverklaring, bijvoorbeeld “tot zes maanden na uw laatste aankoop”. Uiteraard moet je de bewaartermijnen die je noemt ook daadwerkelijk in de praktijk uitvoeren. Zodra de gegevens dus niet meer nodig zijn voor het doel waarvoor ze zijn verzameld, moet je ze verwijderen. Voor veel organisaties betekent dit dat de archieven opgeschoond moeten worden.

3. Breng ook samenwerkende partijen onder de aandacht

Verstrek je de verzamelde gegevens aan andere partijen? Dan ben je verplicht dit te benoemen in de privacyverklaring. Je hoeft geen specifieke namen te noemen (het mag wel). Het is genoeg om categorieën te noemen, bijvoorbeeld “IT-dienstverleners”, “bezorgdiensten” of “betaaldiensten”.

In sommige gevallen worden de gegevens verstrekt aan een ontvanger buiten de Europese Economische Ruimte (EER). Bijvoorbeeld omdat de servers van een IT-dienstverlener in Amerika staan. In dat geval moet je vermelden naar welk land de gegevens worden doorgestuurd, inclusief of dit land adequaat is verklaard of dat er voldoende passende waarborgen zijn genomen. Als dit niet het geval is, mogen er geen gegevens naar landen buiten de EER worden doorgegeven. Bekijk op de website van de Rijksoverheid welke landen binnen de EER vallen.


4. Vergeet de rechten van de betrokkenen niet

Met de komst van de AVG hebben betrokkenen een aantal nieuwe rechten gekregen. Deze rechten moeten in de privacyverklaring staan. Ze hebben het recht:

  • op uitleg over welke persoonsgegevens je hebt en wat ermee wordt gedaan;
  • op inzage in de precieze persoonsgegevens die je hebt;
  • om fouten te laten corrigeren;
  • om persoonsgegevens te laten verwijderen;
  • op beperking van de verwerking van persoonsgegevens;
  • om gegevens in digitaal formaat te krijgen;
  • op intrekken van toestemming;
  • om bezwaar te maken tegen bepaald gebruik.

De betrokkene heeft daarnaast het recht om een klacht in te dienen bij de toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens. Ook dat moet je vermelden in het statement.

En zoals met alles dat in de privacyverklaring staat, geldt ook hier weer dat hetgeen je belooft je ook moet kunnen waarmaken. Zorg dus dat de bedrijfsprocessen erop zijn ingericht om bovenstaande verzoeken te kunnen afhandelen.

5. Geef informatie over cookies

De kans is groot dat je cookies op de website gebruikt. Ook daarover dien je bezoekers te informeren. Dat mag gewoon in de privacyverklaring staan. Je beschrijft welke cookies er worden gebruikt, waarom deze worden gebruikt, wat er precies voor gegevens worden verzameld en hoe lang je deze bewaart.

Het uitgangspunt bij het gebruik van cookies is dat dit alleen mag met toestemming van de websitebezoeker. Je moet dus toestemming krijgen voordat je cookies plaatst. De meest praktische manier is een cookiebanner in beeld laten verschijnen met een toestemmingsbutton. Daarbij is het raadzaam de websitebezoeker informatie te geven over het gebruik van cookies met een link naar de privacyverklaring.

Voor sommige cookies is geen toestemming nodig, omdat ze weinig inbreuk maken op de privacy. Voor Google Analytics hoef je bijvoorbeeld geen toestemming te vragen, mits de instellingen privacy-vriendelijk zijn ingesteld.

Stel zelf je privacyverklaring op

Heb je nog geen privacyverklaring op je website staan? Of wil je je privacyverklaring updaten en zeker weten dat je dit document op orde hebt? Stel dan via onze documentenshop je eigen privacyverklaring op.

Heb je een vraag over privacy?

Je kunt ons altijd bellen voor advies, op telefoonnummer 088 3279 832. Lees ook onze pagina over de privacyverklaring voor meer informatie.

DAS Documenten Selfservice

Privacyverklaring opstellen

Voldoe aan deze 10 AVG-regels

Gratis checklist

Heeft deze informatie je geholpen?

We horen graag je feedback. Daarmee help je ons om deze informatie verder te verbeteren.