De dagen dat het privacybeleid zo vaag was dat alleen advocaten het konden begrijpen zijn voorbij. In Europa zijn we het aan AVG verschuldigd.
Een van de redenen waarom de EU AVG introduceerde, was om mensen beter te informeren en hen de controle te geven over hoe bedrijven hun persoonlijke gegevens verzamelen, gebruiken, delen, beveiligen en verwerken. Het privacybeleid duidelijk en volledig maken, werd een van de belangrijkste vereisten van de nieuwe wet. Het niet naleven van deze bepaling kan resulteren in forse boetes of zelfs vervolging.
Als u het nog niet heeft gedaan, is het hoog tijd voor u om de inhoud van uw privacybeleid te bekijken. In dit bericht laten we u zien hoe u er een schrijft die voldoet aan de AVG-vereisten..
Een korte disclaimer: het creëren van een klantvriendelijk privacybeleid is slechts een onderdeel van een grotere strategie ten aanzien van AVG-conformiteit. Hier kunt u meer lezen over hoe u uw processen kunt aanpassen aan de vereisten van de EU-wetgeving.
AVG privacybeleid goede praktijken
In AVG is artikel 12 de belangrijkste bron van informatie over privacybeleid. Het vertelt ons onder andere dat communicatie over gegevensverwerking:
- beknopt
- transparant
- in duidelijke en eenvoudige taal
- begrijpelijk
- gemakkelijk toegankelijk
- kosteloos moet zijn
Met andere woorden, om aan deze bepalingen te voldoen, moet u ervoor zorgen dat uw privacybeleid:
- geschreven is in eenvoudige taal en gepresenteerd in een toegankelijke vorm – zodat uw gebruikers het gemakkelijk kunnen begrijpen
- uitgebreid is – zodat het alle aspecten van uw activiteiten voor de verwerking van persoonsgegevens bestrijkt, en
- gemakkelijk toegankelijk is – het is dus goed om een link naar het privacybeleid te geven, zowel in het toestemmingsformulier (als u er een gebruikt) als ergens op uw hoofdpagina
Privacybeleid: de 10 belangrijkste dingen om aan te pakken
Nu u weet hoe het document moet worden geschreven, laten we eens kijken wat het moet bevatten om aan de wettelijke vereisten te voldoen. We zullen u ook enkele voorbeelden geven uit ons eigen privacybeleid om de zaken nog duidelijker te maken. Laten we beginnen!
1) Wie verwerkt de gegevens
Het eerste belangrijke ding om vast te stellen is wie daadwerkelijk bezoekersgegevens verzamelt en verwerkt.
Artikel 13(1)(a) van AVG vereist dat u uw gebruikers voorziet van:
“de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke”
Dat kan de naam van uw bedrijf, locatie en contactinformatie zijn. We hebben besloten om aan deze eis te voldoen door de volgende gegevens vrij te geven:
The data controller for (1) Marketing and Sales and (2) Piwik PRO product-related activities is: Piwik PRO group, that includes Piwik PRO Sp. z o.o. (ul. Św. Antoniego 2/4, 50-073 Wrocław, Poland), Piwik PRO GmbH (Lina-Bommer-Weg 6, 51149 Cologne, Germany) and Piwik PRO LLC (222 Broadway, 19th Floor, New York, NY 10038, United States). Learn more about the Piwik PRO group at https://piwik.pro/about/.
The data controller for (3) Recruitment is: Clearcode group, that includes Clearcode SA (holding company, ul. Św. Antoniego 2/4, 50-073 Wrocław, Poland), Clearcode LLC (222 Broadway, 19th Floor, New York, NY 10038, United States), Piwik PRO Sp. z o.o. (ul. Św. Antoniego 2/4, 50-073 Wrocław, Poland), Piwik PRO GmbH (Lina-Bommer-Weg 6, 51149 Cologne, Germany) and Piwik PRO LLC (222 Broadway, 19th Floor, New York, NY 10038, United States). Learn more about the Clearcode group at https://clearcode.cc/about/.
Zoals u ziet, moesten we een onderscheid maken tussen de verzamelde gegevens voor marketing- en verkoopdoeleinden en informatie die werd gebruikt in wervingsprocessen. Als de structuur van uw bedrijf net zo complex is als de onze, moet u de details verstrekken van elke entiteit die toegang heeft tot dergelijke gegevens.
Een goede vuistregel is ook om details op te nemen voor het contacteren van uw DPO (als u er een hebt aangewezen). In ons privacybeleid ziet het er als volgt uit:
If you feel something is not addressed in this Privacy Policy or have further questions, our Data Protection Officer (DPO) can be reached at gdpr@piwik.pro.
2) Volgens welke rechtsgrond kunt u gebruikersgegevens verzamelen
Artikel 13(1)(c) van AVG vereist dat u informatie verstrekt over:
“de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking”.
Er zijn zes verschillende wettelijke grondslagen voor de verwerking van persoonsgegevens. Twee ervan zijn vooral belangrijk voor bedrijven – instemming en legitiem belang.
In uw privacybeleid dient u duidelijk de gekozen grond(en) voor de verwerking van persoonsgegevens te vermelden en de redenering achter elke grond toe te lichten. Ook moet u gebruikers informeren over hun rechten om bezwaar te maken tegen een bepaald type verwerking en hen een manier geven om dit te doen (we zullen dit later bespreken).
Wilt u meer weten over de juridische gronden voor het verwerken van persoonlijke gegevens? Lees dit A Practical Guide to Acquiring Consent in the Age of GDPR.
Wat betreft onze gegevensverwerking, hebben we besloten dat toestemming de beste pasvorm zou zijn. Zo presenteren we het aan bezoekers:
We process personal data based on consent according to Art. 6(1)(a) GDPR, which you are free to give or refuse. You’ll see consent options when you visit our website for the first time. You can change your decisions at anytime by clicking the button below. If you change your decision it will not affect the lawfulness of processing based on consent before its withdrawal.
Raadpleeg dit uiterst nuttige document van het Information Commissioner’s Office (ICO) voor gedegen advies over legitiem belang.
3) Wat zijn de doelen van het verzamelen van de persoonlijke gegevens
Een andere vereiste die voortvloeit uit artikel 13(1)(c) van AVG, iz de doeleinden voor te stellen waarvoor persoonsgegevens worden verwerkt.
Informatie over elk aspect van de verwerking moet volledig, gedetailleerd en gemakkelijk te begrijpen zijn. Daarom hebben we besloten onze doelen te verdelen in twee hoofdgroepen: marketing en verkoop, en werving.
Voor elk van hen hebben we een algemene beschrijving gegeven. Dit is wat we schreven over onze marketing- en verkoopactiviteiten:
We work hard to find and introduce new people to our product as well as improve the quality of our website. We want to communicate clearly and directly with everyone that visits. To do this we need data.
Daarna zijn we er dieper op ingegaan. We hebben elke reden onderverdeeld in kleinere redenen en hebben een praktische toepassing gepresenteerd van elk type gegevens dat door onze tools is verzameld. Het ziet er zo uit:
| Naam van het doel | Beschrijving |
|---|---|
| Analytics | verbetert de gebruikersinterface van de site en optimaliseert de verkoop- en marketinginhoud |
| A/B-tests en personalisatie | A/B-tests, inhoudpersonalisatie, verbetering van de gebruikersinterface van de site, optimalisatie van verkoop- en marketinginhoud |
| Marketingautomatisering | verzendt marketingmateriaal dat relevant is voor uw interesses |
| Retargeting | geeft onze advertenties weer op andere websites |
Op die manier krijgen onze bezoekers grondig inzicht in hoe we de gegevens gebruiken die we over hen verzamelen. Natuurlijk wordt dezelfde reeks informatie aan hen getoond als we eerst om toestemming vragen. Op dit moment ziet ons toestemmingsverzoek er als volgt uit:
In het verleden hebben we onze gebruikers ook toestemming gevraagd om gegevens te verwerken voor A/B-tests en marketingautomatisering. Om deze reden worden beide doeleinden nog steeds vermeld in ons privacybeleid.
4) Welke soorten persoonlijke gegevens verzamelt u
De loutere verklaring dat u persoonlijke gegevens verzamelt, is niet genoeg – u moet er dieper op ingaan. Een ander belangrijk ding om op te nemen in uw privacybeleid is het exacte type persoonlijke gegevens dat u verzamelt en verwerkt.
We presenteren deze informatie op twee verschillende manieren. De eerste keer schrijven we dat:
We request processing of personal data of visitors, such as IP address, a cookie identifier and email address (but only in the case that visitors request information be sent by email). We also collect non-personal data to learn how visitors found our website, what kind of device they’re using, how long they stayed, which pages they visited, etc. This non-personal data is tied to a temporary identifier that is removed after the end of each browsing session.
Vervolgens bieden we onze gebruikers de volledige lijst met persoonlijke gegevens die voor elk doel zijn verzameld:
| Naam van het doel | Gebruikte persoonlijke gegevens |
|---|---|
| Analytics | browsercookies, surfgedrag op piwik.pro, apparaatinformatie, IP-adres |
| A/B-tests en personalisatie | browsercookies, surfgedrag op piwik.pro, apparaatinformatie, IP-adres |
| Marketingautomatisering | browsercookies, surfgedrag op piwik.pro, IP-adres, andere gegevens die u ons verstrekt, worden aan uw bezoekersprofiel toegevoegd |
| Retargeting | browsercookies, surfgedrag op piwik.pro, IP-adres |
Als dat nog niet genoeg was, presenteren we onze bezoekers ook afzonderlijke documenten waarin onze traceergegevensscope en de lijst met verzamelde gegevenscookies worden beschreven.
Weet u niet zeker welke soorten informatie onder de reikwijdte van persoonlijke gegevens vallen? Hier is een geweldig e-boek om u te helpen:
Free Cheat Sheet: PII, Personal Data or Both?
5) Hoelang gaat u de gegevens opslaana
Een andere belangrijke vereiste komt uit artikel 12(2)(a). Het verplicht u om uw bezoekers te informeren over:
“de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen”.
Dit is hoe we erover schreven in ons eigen privacybeleid, in een sectie gewijd aan de gegevens verzameld tijdens het rekruteringsproces:
We collect and use personal information you have provided only for the purposes of recruitment process. Data that we collect throughout recruitment is used only for the communication with candidates, to evaluate their qualifications and to make a final hiring decision. During the recruitment process we use software from external partners such as Google Suite and Dropbox. The maximum time your data is held is 36 months.
6) U draagt de gegevens internationaal over
Artikel 13(1)(f), van AVG vereist dat u informatie verstrekt over:
“[…] dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.”
We hebben ook informatie toegevoegd over de locatie van servers die worden gebruikt door elke derde partij waarmee we bezoekersgegevens delen (we zullen daar verderop nog wat meer over zeggen).
7) U gebruikt de gegevens in geautomatiseerde besluitvorming
Als u geautomatiseerde besluitvorming (bijvoorbeeld bij credit scoring of gebruikersprofilering) gebruikt om diensten of producten aan uw gebruikers te leveren, moet u dit bekendmaken. Artikel 13(2)(f) van AVG zegt:
“het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”
Als bedrijf gebruiken we geen profilering of geautomatiseerde besluitvorming, dus hebben we deze vermelding niet opgenomen in ons privacybeleid. Maar dit is hoe Phaidon International deze eis aanpakt:
8) Met welke derde partijen deelt u de gegevens
Artikel 13(1)(e) vereist dat u informatie verstrekt over: “in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens”.
Om aan de wet te voldoen, hebben we een lijst gemaakt met hulpmiddelen die we gebruiken in onze marketing- en verkoopactiviteiten:
| Naam van het doel | Betrokken derden |
|---|---|
| Analytics | Hotjar, HubSpot, Google Ads (Conversion Pixel) |
| A/B-tests en personalisatie | VWO |
| Marketingautomatisering | HubSpot |
| Retargeting | Facebook Ads, Google Ads, LinkedIn Ads, Twitter Ads |
Naar onze mening volstaat het echter niet om alleen alle namen van derden die betrokken zijn bij de verwerking van persoonsgegevens te vermelden. Daarom heeft ons privacybeleid een andere sectie met de naam “Onze partners – hulpmiddelen die we gebruiken voor marketing en waarvoor we ze gebruiken”. In dit deel presenteren we:
- een beschrijving van elke derde partij
- hun beleid ten aanzien van gegevensbewaring, locatie en opslag
- doeleinden van gegevensverwerking en rechtsgrond waaronder we gegevens verwerken met behulp van een bepaald hulpmiddel
Dit is hoe we VWO beschrijven:
VWO is a testing and optimization platform we use to create A/B tests on our websites. VWO collects aggregate data for goals, tests, surveys, and website reviews. VWO is hosted on SSAE16-certified Bare Metal Servers. All production data is stored in IBM SoftLayer data centers spread across different locations. Data is retained for 45-90 days. (Purpose of processing data: A/B testing and personalization based on consent, Legal basis: Art. 6 (1)(a) GDPR)
Om de zaken nog duidelijker te maken, hebben we de volgende opmerking toegevoegd:
We do NOT send collected data to other sub-processors or third parties nor do we use it for our own purposes.
In dit deel is het ook goed om externe links op uw website te bespreken en uit te leggen wat er gebeurt nadat bezoekers erop klikken. Dit is hoe we het hebben gedaan:
Third-Party Websites
Links from our site to external websites do not operate under this Privacy Policy. For example, if you click on a referrer website link on our site, you may be taken to a website that we do not control. These third-party websites may independently solicit and collect information from you, including personal and financial data. We recommend that you consult the privacy statements of all third-party websites you visit by clicking on the “privacy” link typically located at the bottom of the webpage you are visiting.
Onthoud! Onder AVG moet u een DPA met hen ondertekenen om derden toegang te geven tot de gegevens van uw gebruikers. Hier kunt u meer lezen over het creëren van een DPA die is afgestemd op de EU-privacyregels voor gegevens: Gegevensverwerkingsovereenkomst: 7 Elementen Die Elke DPA Zou Moeten Hebben
9) Wat zijn de rechten van de betrokkene
In artikel 13(2)(b), kunnen we lezen dat uw privacybeleid ook informatie moet bevatten over:
“dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid.”
AVG vereist dat u uw gebruikers vertelt over hun zeven rechten, namelijk:
- het recht op informatie
- het recht op inzage
- het recht op verbetering
- het recht om vergeten te worden
- het recht op de beperking van verwerking
- het recht op overdraagbaarheid van persoonsgegevens
- het recht van bezwaar
Naast de lijst met rechten moet u uw bezoekers ook een manier bieden om ze uit te oefenen. In het geval van ons eigen privacybeleid hebben we widgets van onze Piwik PRO AVG Consent Manager opgenomen.
Eén voor verzoeken van betrokkenen:
En nog een voor het beheren van privacy-instellingen:
Hierdoor kunnen onze bezoekers niet alleen kennismaken met hun rechten, maar ze kunnen ze ook actief uitoefenen zonder onze privacypagina te verlaten. Daarnaast bieden we een e-mailadres waarnaar bezoekers hun verzoeken kunnen verzenden:
You have a right to access your data, correct or remove it, or completely withdraw your consent for processing it at any time. Such requests should be sent to our DPO: gdpr@piwik.pro. The withdrawal of a consent does not affect the lawfulness of processing based on consent before its withdrawal.
AVG vereist ook dat u informatie opneemt over het recht van bezoekers om een klacht in te dienen bij een toezichthoudende instantie als zij niet tevreden zijn met de inhoud van uw privacybeleid of de manier waarop u hun gegevens verwerkt. In het geval van ons privacybeleid ziet de informatie er als volgt uit:
You have the right to lodge a complaint with a supervisory authority (in Poland, the President of the Data Protection Office).
10) Hoe laat u gebruikers weten dat uw beleid is gewijzigd
Het laatste dat u moet opnemen, is een beschrijving van het proces om gebruikers en bezoekers op de hoogte te brengen van wijzigingen of updates van het privacybeleid. Gebruikers moeten immers weten of het document is gewijzigd sinds de laatste keer dat ze het hebben gelezen.
Om onze gebruikers op de hoogte te houden, hebben we het volgende bericht opgenomen in ons privacybeleid:
We will occasionally update this Privacy Policy. When changes to this Privacy Policy will be posted, the date at the top of this Privacy Policy will be revised. We recommend to check the website from time to time to inform yourself of any changes in this Privacy Policy or any of other policies.
Zoals u kunt zien, zijn de meest recente updates van ons privacybeleid in februari van dit jaar toegevoegd.
Beste praktijken van het AVG-privacybeleid – enkele conclusies
Het schrijven van een duidelijk en begrijpelijk privacybeleid vereist de juiste aanpak. U wilt dat bezoekers het lezen en begrijpen zonder enige moeite. Uiteraard zullen dergelijke beleidsmaatregelen variëren tussen verschillende organisaties. Naast onze richtlijnen, moet u rekening houden met de specifieke behoeften en vereisten van uw organisatie.
We hopen dat dit bericht van pas komt en het gemakkelijker voor u maakt om uw privacybeleid op te stellen. Als u nog vragen hebt of meer advies wilt, neem dan gerust contact op met ons team en wij helpen u graag verder.
