Privacy policy: waarom jouw website of webshop er één nodig heeft
Omdat het verplicht is én omdat je zonder een privacybeleid serieuze boetes riskeert. Als dat geen twee overtuigende redenen zijn om een privacy policy uit te werken, dan weten we het ook niet meer. 😉 We duiken samen in de wereld van de privacyregels voor websites en webshops.
- Wat je zeker moet weten over een privacy policy
- Waarom een privacybeleid opstellen belangrijk is
- Is een privacybeleid wettelijk verplicht?
- Regels en wetten waaraan je moet voldoen
- Test de privacy-instellingen van jouw website
- Verschil privacyverklaring en privacybeleid
- Belangrijkste elementen van een standaard privacybeleid
- Hoe maak je een privacybeleid?
- Privacybeleid website uitbesteden
- Ontdek de makkelijkste manier om te voldoen aan de privacywetgeving
- Voorbeeld privacybeleid
- Privacybeleid website opstellen: 6 handige tips!
Wat je zeker moet weten over een privacy policy
"Wat is een privacybeleid eigenlijk?", goed dat je je die vraagt stelt. Want een privacybeleid opstellen voor je website kan je pas doen als je helemaal mee bent met alles rond online privacy.
Simpel uitgelegd is een privacybeleid of privacy policy een belangrijk document waarmee je de bezoekers van je website of webshop informeert over hoe je omgaat met hun privacy.
Benader je policy dus niet louter als een intern privacybeleid. Maak er een webpagina van en geef het een plaats op je website. Op die manier ben je transparant over alle gegevens die worden verzameld, de redenen voor het verzamelen ervan en hoe de gegevens worden gebruikt. Walk your talk, voer je beleid dus ook uit. 😉
Privacyrechten van je bezoekers
Daarnaast bevat een privacy policy in het Nederlands ook informatie over de manier waarop de gegevens worden opgeslagen (onder andere via cookies), beveiligd en gedeeld. Je moet ook aangeven hoe lang je bepaalde gegevens zal bewaren. Of wat je als bedrijf zal doen bij onder andere verlies van data, een lek, hacking ...
Bezoekers willen ook graag weten met welke 'derden' je hun gegevens deelt. Bijvoorbeeld met serviceproviders, adverteerders of overheidsinstanties.
Al die informatie is nodig om bezoekers of potentiële klanten bewust te laten worden van hun privacyrechten en de manier waarop hun gegevens worden verwerkt.
Als je nog een stapje verder wil gaan, kan je ook zelf uitleggen welke rechten je gebruikers hebben. Dat zijn er best wat! Zoals het recht op inzage, correctie, verwijdering ...
Tip
De Gegevensbeschermingsautoriteit (GBA), een Belgisch onafhankelijk orgaan dat erop toeziet dat de grondbeginselen van de bescherming van de persoonsgegevens correct worden nageleefd, heeft een eigen website waarop je onder andere leest welke privacyrechten je hebt. Autoriteit Persoonsgegevens is de Nederlandse tegenhanger.
Waarom een privacybeleid opstellen belangrijk is
Of je nu een standaard privacybeleid of een meer gedetailleerde beschrijving online wil zetten, een privacy policy opstellen is altijd een goed idee.
Dé belangrijkste reden om je privacybeleid uit te werken, is natuurlijk omdat het wettelijk verplicht is. Wie een website of webshop begint, moet zich aan (Europese) wetten en regels houden. Daar zo dadelijk meer over!
Een privacybeleid is een cruciaal onderdeel om de privacy van je gebruikers te waarborgen en tegelijk de reputatie van je organisatie te beschermen. Want door transparant te zijn, schep je meer vertrouwen bij je bezoekers.
Je wil dat bezoekers je vertrouwen
We moeten je niet vertellen hoe belangrijk klantenvertrouwen is. Hoe meer datalekken er zijn, hoe meer internetgebruikers zich - niet geheel onterecht - zorgen beginnen maken. Je publiek gaat zich dus verdiepen in hun eigen privacygegevens. Ze zullen jou verantwoordelijk achten om veilig om te gaan met hun data. Denk aan verjaardagen, telefoonnummers, e-mailadressen ...
Meer dan de helft van bedrijven kreeg anno 2023 te maken met een recent datalek. Ook ongeplande storingen veroorzaakt door cyberaanvallen nemen toe, en worden steeds kostelijker.
Jouw privacybeleid moet er voor zorgen dat bezoekers niet twijfelen aan de veiligheid van jouw site of online shop. Duiken er toch problemen op, dan is je policy een juridisch hulpmiddel, terwijl je het ook als marketing kan inzetten.
Ook niet onbelangrijk: steeds meer externe apps vragen transparantie (Third-party Requirements) over het omgaan met privégegevens van zakenpartners.
Zowel Google als Apple vereisen momenteel een privacybeleid van iedereen waarmee ze samenwerken, voor al hun producten en apps. Aangezien analysesoftware sterk afhankelijk is van persoonlijke gegevens, is een beleid vrijwel altijd nodig bij het gebruik ervan.
Fikse boetes vermijden!
Wil je fikse boetes vermijden, dan moet je een privacybeleid maken. Of we overdrijven? Nee, want de GDPR-boetes in België lopen gemiddeld op tot 25.000 euro. Je leest er meer over op de website van Data News.
Het komt steeds op hetzelfde neer: er zijn boetes uitgeschreven aan bedrijven die zich niet aan de GDPR-privacyrichtlijnen hielden. GDPR staat trouwens voor General Data Protection Regulation. Dat is de internationale term als je over AVG spreekt.
Is een privacybeleid wettelijk verplicht?
We gaan er hier nog een paar keer op hameren: ja, een privacybeleid is verplicht. De Europese Unie heeft dit door het invoeren van de AVG zo beslist en is niet mals voor wie die duidelijke, maar strenge regels overtreedt.
Zodra je persoonsgegevens verwerkt via je website, moet je een privacybeleid opstellen. Heb je een contactformulier op je site, verzamel je e-mailadressen om nieuwsbrieven te versturen, kunnen klanten deelnemen aan wedstrijden ... Dat zijn onmiddellijk drie vakjes op je GDPR-bingokaart. 😉 Dan val je dus onder de noemer van organisaties die persoonsgegevens verwerken.
Regels en wetten waaraan je moet voldoen
Met welke regels en wetten in verband met privacy moet je rekening houden? Ze hebben vooral te maken met Algemene Verordening Gegevensbescherming (AVG), cookiebeleid, en gegevensbescherming.
Webshop of website? Deze info moet je altijd online zetten:
Strikt genomen moet je die gegevens ook vermelden op je verschillende accounts op sociale media. FOD Economie legt het allemaal uit:
Een belangrijke AVG-regel: als je cookies gebruikt op je website moet je bezoekers hier verplicht over informeren in je privacybeleid of in een apart cookiebeleid. Je moet ze ook toestemming vragen over de verwerking van hun IP-adres. Dat doe je met een cookiebanner.
Wat doen cookies?
Wanneer je een website bezoekt, plaatst de site kleine tekstbestanden, genaamd cookies, op je toestel (laptop, gsm ...). Die cookies bevatten informatie die de website kan lezen wanneer je terugkeert naar dezelfde website. Bijvoorbeeld een winkelwagentje op een webshop. Wanneer je spullen aan je winkelwagentje toevoegt, wordt deze informatie opgeslagen in een cookie op je apparaat. De volgende keer dat je de website bezoekt, kan de website de cookie lezen en je winkelwagentje herstellen, zodat je de geselecteerde items niet opnieuw hoeft toe te voegen.
Verstuur je nieuwsbrieven naar je klanten of gebruik je hun gegevens voor andere marketingacties? Inderdaad, ook daar bestaan regels voor. Om die data te gebruiken moet je een aparte toestemming vragen aan je contacten. De verwerkings-, en privacyvoorwaarden hiervan moet je ook vermelden.
Test de privacy-instellingen van jouw website
Zijn de privacy-instellingen van je website in orde met de wet? Als dat niet het geval is, riskeer je stevige boetes bij een controle. Doe de iubenda privacy scan en ontdek meteen of je website aan alle voorwaarden voldoet.
Verschil privacyverklaring en privacybeleid
Van alles door elkaar mixen ... Handig voor de Regi's en Like Mikes onder ons, niet als het over een serieuze zaak als privacy gaat. Want de termen privacyverklaring en (standaard) privacybeleid worden vaak door elkaar gebruikt. Vaak willen ze dus hetzelfde zeggen, maar theoretisch gezien zijn er kleine verschillen.
In sommige gevallen kan je privacyverklaring (ook wel privacy statement genoemd) een beknopte versie van je privacybeleid zijn. Al raden we aan om geen onderscheid te maken en je volledige beleid online te droppen. Een korte privacyverklaring is wél een manier om op een begrijpelijke manier te communiceren over je privacyrichtlijnen.
Webshops die een privacyverklaring gebruiken, hebben in veel gevallen eerder een intern privacybeleid. Daarin staat tot in het kleinste detail beschreven hoe je als bedrijf omgaat met alle verzamelde gegevens.
Willen of niet, daarin zal af en toe 'stoffige' juridische taal opduiken. Maar dat mag geen reden zijn om het niet op je website te plaatsen. Hoe meer openheid naar je bezoekers, hoe beter.
Belangrijkste elementen van een standaard privacybeleid
Hier krijg je een opsomming van de belangrijkste basiselementen die een uitgewerkt privacybeleid moet bevatten:
- Wie is de eigenaar van de website of app?
- Op welke datum werd je privacybeleid opgesteld?
- Welke gegevens verzamel je?
- Hoe verzamel je die gegevens?
- Waarom (op basis van welke rechtsgrond) verzamel je die gegevens?
- Wat ga je met de verzamelde persoonsgegevens doen? (analyses, e-mailmarketing ...).
- Via welke bronnen verzamel je persoonlijke informatie van je bezoekers? (contactformulier, e-mail, cookies ...).
- Met welke derde partijen deel je de gegevens? (plugins, widgets, sociale media ...).
- Welke rechten hebben gebruikers? (gegevens inkijken, wissen, blokkeren ...)
- Geeft de verwerking aanleiding tot enige geautomatiseerde besluitvorming?
- Hoe ga je bezoekers informeren over wijzingen aan je privacybeleid?
Indien van toepassing moet je specifieke informatie verstrekken over het overdragen van gegevens over landsgrenzen heen (bijvoorbeeld met een internationale organisatie) en de maatregelen die je neemt om deze overdracht op een veilige en conforme manier te laten gebeuren. Ook dat is een gevolg van de Algemene Verordening Gegevensbescherming (AVG).
Hoe maak je een privacybeleid?
Je kan zelf je privacybeleid opstellen, maar neem er je tijd voor. Net als een middeltje tegen de hoofdpijn, want al die regels zelf uitpluizen is een complex proces. 😒 We hopen dat deze stappen je snel op weg helpen.
- Onderzoek zelf de wetgeving. Breng de privacywetten en -regelgeving die voor jou van toepassing zijn in kaart, leer bij over de Algemene Verordening Gegevensbescherming (AVG), de Californische Consumer Privacy Act (CCPA) in de Verenigde Staten, en/of de privacywet in Australië.
- Maak een inventarisatie van de soorten persoonlijke gegevens die je verzamelt van je bezoekers en klanten.
- Beschrijf duidelijk waarom je gegevens verzamelt en wat de rechtsgrond daarvan is.
- Leg uit hoe je de verzamelde gegevens verwerkt, opslaat, beschermt en met wie je deze deelt.
- Informeer bezoekers over hun rechten. Dat gaat over de inzage, toestemming en eventueel verwijdering van hun gegevens.
- Schrijf de beveiligingsmaatregelen uit die je hebt genomen om de verzamelde gegevens te beschermen tegen onder andere verlies, misbruik of openbaarmaking.
- Voeg een sectie toe over het gebruik van cookies. Vergeet zeker je cookiebanner niet!
- Deel contactinformatie. Vermeld contactgegevens waar surfers terecht kunnen voor vragen, verzoeken of klachten met betrekking tot gegevensbescherming en privacy.
Privacybeleid website uitbesteden
Waarom het jezelf lastig maken, als het ook veel eenvoudiger kan ... In plaats van zelf te zwoegen, kan je het maken van een privacy policy ook uitbesteden aan anderen. Nee, niet aan je buurvrouw - of die moet toevallig juriste zijn - maar aan bekwame partners.
Je kan bijvoorbeeld bij gespecialiseerde juristen of advocatenkantoren terecht. Ga uiteraard na of ze ervaring hebben met gegevensbescherming en privacywetgeving. Er bestaan ook verschillende adviesbureaus die je helpen met een privacybeleid maken.
Ook handig (en vaak goedkoper): online privacy software gebruiken. Een GDPR-privacy manager heeft verschillende tools waarmee je een policy kan (laten) maken. Zo genereer je de documenten die je nodig hebt.
Let wel op voor websites die je warm maken voor een gratis privacyverklaring generator. Privacybeleid generatoren bieden meestal gratis sjablonen aan. Die zijn in sommige gevallen een goed startpunt, maar je moet alle documenten altijd aanpassen naar jouw situatie.
Ontdek de makkelijkste manier om te voldoen aan de privacywetgeving
Als je in een handomdraai een eigen privacy policy én cookiebanner wil maken, dan raden we je iubenda aan. Deze compliance software, geleid door een team van internationale juristen, is een zusteronderneming van Combell. Je kan dus op dezelfde service rekenen. 😀
Met iubenda genereer je alle nodige documenten en tools én blijven ze automatisch in lijn met wijzigingen in de wet.
Het is misschien wel de makkelijkste manier om met jouw website of webshop te voldoen aan de AVG-wetgeving en andere privacywetten. Want dat het een kluwen van allerlei regeltjes is, daarover geven we je overschot van gelijk!
Iubenda is een aanrader omdat:
Inbegrepen bij een iubenda-pakket:
Contacteer ons om te bepalen welk pakket bij jouw website past! Je kan klein beginnen en later uitbreiden naar handige extra's. Dankzij de handige plugins installeer je iubenda in enkele minuten op jouw website. We hebben plugins voor WordPress, Joomla en Magento. Je kan het ook eenvoudig toevoegen aan SiteBuilder, door makkelijk een simpele code (te vinden in de tool) te embedden in de website.
Voorbeeld privacybeleid
Op zoek naar een voorbeeld van een privacybeleid in het Nederlands? Eens spieken op een ander ... Moet kunnen! Een 'privacy policy template' kan de basis vormen voor jouw eigen policy. Maar neem het nooit zomaar over. Jouw document moet gemaakt zijn op maat van jouw bedrijf!
Je kan wel stelen met je ogen op het vlak van structuur, de vermeldde privacyregels en de tone of voice van het document. We leggen daarom een linkje naar de privacy policy van Combell. Zo heb je meteen een veel beter zicht op hoe jouw eigen beleid er zou kunnen uitzien.
Een ander privacy policy (website) voorbeeld komt van Mijn Burgerprofiel, een applicatie van de Vlaamse overheid.
Privacybeleid website opstellen: 6 handige tips!
Om af te sluiten hebben we nog 6 korte, handige tips die je zullen helpen bij het opstellen van je eigen privacybeleid.
- Geef duidelijk aan hoelang je gegevens zal bewaren.
- Noteer of de betrokkene verplicht is om bepaalde gegevens te verstrekken.
- Leg uit welke organisatorische maatregelen je neemt als je bedrijf zou ophouden te bestaan of fusioneert.
- Geef duidelijke instructies over hoe klanten hun toestemming kunnen intrekken voor het verzamelen of bepaalde verwerking van hun persoonlijke gegevens.
- Leg uit hoe gebruikers klacht kunnen indienen bij eventuele schending van hun (online) privacy. Link bijvoorbeeld naar de Gegevensbeschermingsautoriteit (België) of de Autoriteit Persoonsgegevens (Nederland).
😄 En die 6e tip is ... Iubenda gebruiken voor je privacy policy.