Layer 1
Privacyverklaring

Heb je een website of een app? Dan heb je ook een privacyverklaring nodig. Een privacyverklaring of privacy statement is door de Algemene Verordening Gegevensbescherming (AVG/GDPR) verplicht gesteld voor elke website die persoonsgegevens van bezoekers gebruikt. Creëer je document met SmartAgreements, dan voldoe je aan de wetgeving.

Privacyverklaring

Privacyverklaring

Als je persoonsgegevens verzamelt, ben je verplicht om de partijen van wie je gegevens verzamelt te informeren dat je dit doet. Met een privacyverklaring (privacy statement) informeer je de betrokken partijen welke gegevens verzameld worden en waar ze voor worden gebruikt. Vaak wordt een privacyverklaring online, op de website van de verwerker gepubliceerd, maar het is ook mogelijk om het als een fysiek document aan te bieden.

Een privacyverklaring is bij de wet verplicht op grond van de Algemene Verordening Gegevensbescherming (AVG). Indien een organisatie niet voldoet aan de informatieplicht, maar wel persoonsgegevens verzamelt, kan de Autoriteit Persoonsgegevens (AP), de organisatie die toezicht houdt op de naleving van de AVG, handhavend optreden en bijvoorbeeld een boete opleggen.

De privacyverklaring die je met onze tool maakt, is door de flexibiliteit van ons sjabloon zeer breed in te zetten. Van webapplicaties, webshops tot algemene websites - wat voor bedrijf je ook hebt, onze privacyverklaring is eenvoudig te personaliseren voor jouw onderneming.

Wat staat er in een privacyverklaring?

Op de website van de Autoriteit Persoonsgegevens staat een complete lijst van alle informatie die opgenomen moet worden in een privacyverklaring, zoals:

  • De contactgegevens van de organisatie
  • Welke persoonsgegevens verwerkt worden door de organisatie
  • Met welke reden (grondslag) en doel de informatie wordt verzameld
  • Hoe lang de gegevens worden bewaard en of deze met derden worden gedeeld

Wat is een verwerking?

Alles wat je als bedrijf doet met persoonsgegevens, geldt als het verwerken hiervan. Bijvoorbeeld wanneer je gegevens:

  • Verzamelt via een webformulier of telemarketing
  • Opslaat in een database
  • Opvraagt uit een bestand
  • Verstuurt aan een klant
  • Aanpast in een document
  • Corrigeert of aanvult
  • Wist of verwijdert

In al deze gevallen verwerk je persoonsgegevens. We noemen dat een verwerking. Benoem deze in je privacyverklaring. Als je verwerking van persoonsgegevens uitbesteedt, heb je een verwerkersovereenkomst nodig.

Meer laten zien
SmartAgreements prijs
€ 49,-
Opgesteld door

Hoe werkt het

Kies een document
Personaliseer je document
Ontvang per e-mail
Onderteken
FAQ Privacyverklaring
Wat is een verwerking?

Alles wat je als bedrijf doet met persoonsgegevens, geldt als het verwerken hiervan. Bijvoorbeeld wanneer je gegevens:

  • verzamelt via een webformulier of telemarketing;
  • opslaat in een database;
  • opvraagt uit een bestand;
  • verstuurt aan een klant;
  • aanpast in een document;
  • corrigeert of aanvult;
  • wist of verwijdert.

In al deze gevallen verwerk je persoonsgegevens. We noemen dat een verwerking. Als je dit uitbesteedt, heb je een verwerkersovereenkomst nodig. Wil je hier meer over weten? Bekijk dan de FAQ Verwerkersovereenkomst.

Wat wordt er bedoeld met het doeleinde van een verwerking?

Persoonsgegevens mag je nooit zomaar verwerken. Je hebt daar altijd een goede reden voor nodig. We noemen dat het doeleinde van de verwerking. Een doeleinde kan bijvoorbeeld zijn: 'contact opnemen met klanten' of ' bestellingen bij klanten afleveren'. Zonder duidelijke reden mag je dus geen gegevens verwerken. Het is belangrijk om de redenen voor verwerking van gegevens goed te omschrijven. Dat doe je voordat ze verwerkt worden, zodat je klant altijd weet waarvoor het is. Als je dezelfde gegevens op een later moment opnieuw wil gebruiken voor iets anders, dan mag dat niet. Je had dit dan van tevoren duidelijk moeten aangeven. Daarom staat in de AVG dat je het altijd moet laten weten als je persoonsgegevens verzamelt. Hierover kun je meer lezen in deze blog.

Mag ik gegevens verwerken als het doeleinde goed omschreven is?

Je hebt meer nodig dan een goede reden (zie de FAQ hierboven) om gegevens te verwerken. Het moet ook mogen volgens de wet. De verwerking is dan 'gerechtvaardigd'. Wanneer dat zo is, staat in de AVG. Dat zijn de zogenaamde 'verwerkingsgrondslagen'. Er zijn 6 grondslagen waaraan een verwerking wordt getoetst. Voldoet je verwerking aan minstens één van die grondslagen, dan mag het volgens de wet. In onze standaard privacyverklaring zijn de meeste voorkomende verwerkingsgrondslagen voor bedrijven genomen.


Mag ik alle gegevens verzamelen die ik wil?

Heb je je doeleinde en verwerkingsgrondslag (zie bovenstaande vragen) op orde? Dan mag je persoonsgegevens verwerken, gefeliciteerd! Maar pas op: bedenk goed welke gegevens je écht nodig hebt. Voor een nieuwsbrief zou je bijvoorbeeld e-mailadressen, fysieke adresgegevens, telefoonnummers, geboortedata en IP-adressen kunnen verzamelen, maar alleen een e-mailadres is ook voldoende. De gegevens die je verwerkt moeten dus wel écht nodig zijn om het doel te behalen. Houd daarom altijd aan: hoe minder gegevens je verwerkt, hoe beter!

Wat is geautomatiseerde besluitvorming?

Steeds vaker nemen computers besluiten op basis van gegevens, zonder dat een mens ernaar kijkt. Dat kan ook op basis van persoonsgegevens. Bijvoorbeeld bij de beoordeling van een online ingediende kredietaanvraag, of van sollicitaties. Als de computer in dit soort gevallen een besluit neemt, is het geautomatiseerde besluitvorming.

Mag ik geautomatiseerde besluitvorming gebruiken?

Belangrijke beslissing over jou of een ander persoon mogen nooit door een computer genomen worden. Je hebt hierbij altijd het recht op beoordeling door een mens. Geautomatiseerde besluitvorming is dus meestal niet toegestaan en is daarom niet in onze privacyverklaring opgenomen. Heb je het vermoeden dat er binnen jouw organisatie sprake is van geautomatiseerde besluitvorming? Dan raden we je aan om een privacydeskundige te raadplegen. Ook omdat er wel uitzonderingen zijn op dit verbod.

Wat is een functionaris voor gegevensbescherming?

Als organisatie moet je de regels van de AVG naleven. Maar gebeurt dat wel altijd? De functionaris voor gegevensbescherming (FG) houdt dit in de gaten. De FG is onafhankelijk, zodat deze niet beïnvloed wordt door belangen van de organisatie.

Wanneer heb je een functionaris voor gegevensbescherming (FG) nodig?

In de AVG staat wanneer je een FG moet aanstellen. Meestal geldt dit voor bedrijven of organisaties die dagelijks veel persoonsgegevens verwerken, zoals de overheid, ziekenhuizen of vliegtuigmaatschappijen. Dit wordt onder andere bepaald aan de hand van:

  • Hoeveel mensen betrokken zijn bij de verwerking;
  • Hoe de informatie verwerkt wordt;
  • De hoeveelheid gegevens;
  • Hoe lang gegevens bewaard worden.

Organisaties kunnen ook vrijwillig een FG aanstellen. Wil je hier meer over weten, kijk dan op de site van de Autoriteit Persoonsgegevens.

Wat is een betrokkene?

In de AVG worden vaak betrokkenen genoemd. Dat zijn mensen waarvan persoonsgegevens worden verwerkt. Je bent daardoor betrokken bij de verwerking van je gegevens. Een betrokkenene dus.

Welke rechten heeft een persoon waarvan de persoonsgegevens worden verwerkt?

Als je gegevens worden verwerkt, krijg je automatisch bepaalde rechten. Je mag:

  • Weten wat er met je gegevens gebeurt en waarom;
  • Altijd je gegevens opvragen en inzien.

Als je persoonsgegevens verwerkt, moet je hier dus altijd op voorbereid zijn. De privacyverklaring die je via onze website kunt maken, helpt je daarbij. Het legt op een heldere manier uit wat er gebeurt met de persoonsgegevens die je van mensen vraagt.

Wat doe ik als iemand gegevens opvraagt?

Als je van iemand gegevens hebt verwerkt, mag die persoon deze altijd opvragen. Controleer in dat geval eerst goed of die persoon wel echt degene is waarvan je de gegevens hebt. Is dat zo, dan moet je een overzicht geven waarin staat:

  • Wat de doelen van de verwerking zijn;
  • Met wie je deze gegevens deelt;
  • Hoe lang je de gegevens bewaart;
  • Of je gebruik maakt van geautomatiseerde besluitvorming. Je kan daarvoor verwijzen naar de privacyverklaring die je via onze website hebt gemaakt.

Mensen waarvan je de persoonsgegevens hebt verwerkt, hebben nog veel meer rechten.


Wat is een datalek?

Persoonsgegevens sla je op in een computersysteem. Als een onbevoegd persoon toegang krijgt tot dat systeem, heb je een datalek. Dat is namelijk een risico voor de personen waarvan je de gegevens verwerkt hebt, omdat de gegevens in verkeerde handen terecht kunnen komen. Een datalek kan op meer manieren gebeuren. Als je bijvoorbeeld je laptop kwijtraakt, persoonsgegevens te zien zijn op een foto of ­-als je nog met papier werkt- je iemands dossier laat slingeren.Het gaat dus om elke inbreuk op de beveiliging waardoor persoonsgegevens:

  • Gewist worden;
  • Verloren raken;
  • Worden veranderd;
  • Toegankelijk zijn terwijl dat niet de bedoeling is;
  • In handen komen van iemand die onbevoegd is.

Wat moet ik doen bij een datalek? Help!

Als organisatie ben je verplicht om een datalek binnen drie dagen (72 uur) te melden bij de Autoriteit Persoonsgegevens. Daarnaast moet je ook de personen informeren waarvan de gegevens zijn ‘gelekt’. Hier gelden uitzonderingen op, maar het is lastig inschatten of die gelden als je niet goed in de materie zit. Daarom raden wij aan om je goed te laten informeren door de Autoriteit Persoonsgegevens of een deskundige jurist.

Meer

Snel en makkelijk!

"Het creëren van een juridisch document is makkelijk en snel gedaan! Binnen 2 klikken kon ik al de juiste documenten voor mijn bedrijf vinden!"

- Bjorn Waaijer, SportIT

Bedankt!