Privacyverklaring opstellen

Wat is het verschil tussen een privacyverklaring en privacybeleid? En het verschil tussen een privacyverklaring en een cookieverklaring? En hoe stel je ze op?

We geven een voorbeeld van een privacyverklaring. We leggen uit hoe je dit opstelt. Dit doen we met de onderstaande voorbeelden en ervaringen. Zo leer je het verschil tussen een privacyverklaring en cookieverklaring. Ook krijgen we vaak de vraag of de privacyverklaring afdoende is in relatie tot het cookiebeleid. We zien dat de termen door elkaar gebruikt worden en dat zorgt voor onnodige werkzaamheden.

Privacyverklaring (inhoud)

Een privacyverklaring of een privacybeleid?

Is een privacy verklaring verplicht?

Privacyverklaring voorbeeld, opstellen en checklist

Privacybeleid (inhoud)

Wat is een privacybeleid?

Privacybeleid niet verplicht maar…

Privacybeleid AVG opstellen – checklist

Cookiebeleid

Een cookiebeleid of een cookieverklaring?

Cookieverklaring voorbeeld

Een privacyverklaring of een privacybeleid?

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 staat op veel websites van organisaties een verwijzing of een link naar hun privacyverklaring dan wel hun privacybeleid, of in de Engelse benaming: ‘privacy statement’ of ‘privacy policy’. Wat wordt nu precies met deze termen bedoeld onder de AVG?

Privacyverklaring en privacybeleid worden niet expliciet genoemd in de AVG. Maar de Autoriteit Persoonsgegevens (AP) maakt wel duidelijk onderscheid tussen deze twee termen.

In het kort is het verschil:

  • Een privacyverklaring is gericht aan betrokkenen (degenen wiens persoonsgegevens worden verwerkt, ofwel je website bezoeker).
  • Een privacybeleid is bedoeld als handleiding voor medewerkers in de organisatie die met persoonsgegevens werken.

Is een privacyverklaring verplicht?

De Autoriteit Persoonsgegevens gebruikt de term privacyverklaring in het kader van de informatieplicht (artikel 12-14 AVG). Persoonsgegevens mogen alleen van een persoon worden verwerkt als duidelijk is wat ermee gebeurt. Dit is het transparantiebeginsel.

Dit betekent volgens artikel 12-14 AVG dat de verwerkingsverantwoordelijke verplicht is informatie te verschaffen aan betrokkenen over de gegevensverwerking. Hoewel voor deze informatieplicht geen vormvereiste is voorgeschreven, informeer je als verwerkingsverantwoordelijke de betrokkene (je website bezoeker) doorgaans via een privacyverklaring. Daarmee is een privacyverklaring verplicht als je aan gegevensverwerking doet.

Hieronder staat een voorbeeld van een privacyverklaring van Cookieinfo. Daaronder vind je een checklist. Deze checklist helpt je bij het maken van een privacyverklaring.

Privacyverklaring voorbeeld CookieInfo
Privacyverklaring voorbeeld CookieInfo

Privacyverklaring voorbeeld, opstellen en checklist

Voor de privacyverklaring op je website kun je de volgende punten als voorbeeld nemen:

  1. De identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
    Vermeld ☐ Niet vermeld ☐
  2. Indien van toepassing; de contactgegevens van de  Functionaris gegevensbescherming (FG);
    Vermeld ☐ Niet vermeld ☐
  3. De verwerkingsdoeleinden en de rechtsgronden;
    Vermeld ☐ Niet vermeld ☐
  4. De verwerkingsverantwoordelijke of een derde kan gerechtvaardigde belangen hebben. Dit geldt als de verwerking is gebaseerd op artikel 6 lid 1, punt f van de AVG
    Vermeld ☐ Niet vermeld ☐
  5. Indien van toepassing, de ontvangers of groepen van ontvangers van de persoonsgegevens. Dit zijn personen of organisaties die gegevens ontvangen van de verwerkingsverantwoordelijke. Voorbeelden zijn een salarisadministratiekantoor, de belastingdienst of een clouddienst
    Vermeld ☐ Niet vermeld ☐
  6. Indien van toepassing, is de verwerkingsverantwoordelijke van plan om de persoonsgegevens door te geven. Dit kan aan een derde land of een internationale organisatie zijn. Zo ja, welke extra maatregelen zijn genomen?
    Vermeld ☐ Niet vermeld ☐
  7. De bewaartermijn van de persoonsgegevens is belangrijk. Als dat niet mogelijk is, zijn er criteria om die termijn te bepalen
    Vermeld ☐ Niet vermeld ☐
  8. Informatie omtrent de rechten van betrokkenen;
    Vermeld ☐ Niet vermeld ☐
  9. Wanneer de verwerking is gebaseerd op toestemming, kan de betrokkene deze toestemming op elk moment intrekken. Het recht om toestemming in te trekken is belangrijk
    Vermeld ☐ Niet vermeld ☐
  10. Dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
    Vermeld ☐ Niet vermeld ☐
  11. Het is belangrijk om te weten of het geven van persoonsgegevens een wettelijke of contractuele verplichting is. Ook is het belangrijk om te begrijpen of het een noodzakelijke voorwaarde voor een overeenkomst is. Ook is het van belang of de betrokkene verplicht is om de persoonsgegevens te geven. En wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
    Vermeld ☐ Niet vermeld ☐
  12. Het bestaan van geautomatiseerde besluitvorming is belangrijk. Als het bestaat, is het goed om nuttige informatie te hebben. Dit omvat de logica erachter, het belang en de verwachte gevolgen voor de betrokkenen
    Vermeld ☐ Niet vermeld ☐
  13. Alle andere informatie die nodig is voor een transparante verwerking, moet de verwerkingsverantwoordelijke zelf vaststellen.

Even belangrijk als de inhoud van de privacyverklaring is dat de informatie duidelijk is. Er mogen geen vage termen worden gebruikt. De informatie moet ook goed te onderscheiden zijn van andere informatie, zoals contractbepalingen of algemene voorwaarden.
Het moet begrijpelijk zijn voor een gemiddeld persoon in de doelgroep. Dit kan het verschil zijn tussen kinderen en professionals. De informatie moet ook gemakkelijk te vinden zijn. Je voldoet hieraan door een privacyverklaring op je website te plaatsen. Dit kan vaak in de footer. Verwijs hier ook naar.

Je kunt een voorbeeld van een privacyverklaring bekijken. Klik hiervoor op de link in de footer van de CookieInfo website.

Wat is een privacybeleid?

De Autoriteit Persoonsgegevens gebruikt de term privacybeleid in het kader van artikel 24 AVG. Op basis van dit artikel moet de verwerkingsverantwoordelijke maatregelen nemen. Dit is nodig om te laten zien dat ze voldoen aan de regels van de AVG.De AVG heeft bepaalde beginselen en vereisten.Het is belangrijk dat zij hieraan voldoen. Dit wordt de ‘verantwoordingsplicht’ genoemd.

Uit dit artikel blijkt dat de verwerkingsverantwoordelijke soms verplicht is om een gegevensbeschermingsbeleid op te stellen. Dit beleid wordt ook wel een privacybeleid genoemd. Dit is in feite een nadere uitwerking van de verantwoordingsplicht.

De verwerkingsverantwoordelijke moet een privacybeleid opstellen. Dit beleid moet passen bij de verwerkingsactiviteiten.
Let hierbij op de aard van de gegevens. Ook de omvang, de context en het doel van de gegevensverwerking zijn belangrijk.

Privacybeleid niet verplicht, maar…

Ook al is de verwerkingsverantwoordelijke niet verplicht om een privacybeleid te hebben, is het toch aan te raden om een privacybeleid op te stellen om te voldoen aan de verantwoordingsplicht.

Zo toon je als organisatie aan dat je voldoet aan de AVG.

Bovendien zorgt een privacybeleid ervoor dat elke medewerker zijn of haar verantwoordelijkheid kent. Dit helpt hen om volgens de regels van de AVG te werken. Het vermindert daarmee risico’s, zoals bijvoorbeeld een datalek.

Anders dan de privacyverklaring die we eerder hebben besproken, is een privacybeleid iets anders. Het is een handleiding voor medewerkers. Dit beleid is voor medewerkers die met persoonsgegevens werken.

Advies Autoriteit Persoonsgegevens privacybeleid

De Autoriteit Persoonsgegevens raadt aan om het privacybeleid te publiceren. Dit helpt betrokkenen te begrijpen hoe de organisatie met persoonsgegevens omgaat. Maar of dat aan te raden is kun je afvragen. Een privacybeleid zal namelijk vaak ook bedrijfsgevoelige informatie bevatten. De betrokkenen worden immers via een privacyverklaring ten behoeve van de informatieplicht al geïnformeerd over de gegevensverwerking. 

Een tweede verschil in vergelijking met de privacyverklaring is dat de AVG niet precies aangeeft wat in een privacybeleid moet staan. Mocht je een privacybeleid willen opstellen, dan kun je onderstaande punten opnemen.

Privacybeleid AVG opstellen – checklist

Wanneer je een privacybeleid volgens AVG wilt opstellen kun je rekening houden met onderstaande punten.

  1. Een introductie waarin o.a. wordt aangegeven waarom voldoen aan de privacyregeling binnen de organisatie belangrijk is;
    Vermeld ☐ Niet vermeld ☐
  2. Het doel en het toepassingsbereik van het privacybeleid;
    Vermeld ☐ Niet vermeld ☐
  3. Uitleg van begrippen (bijvoorbeeld persoonsgegevens, datalekken, doorgiftemechanisme);
    Vermeld ☐ Niet vermeld ☐
  4. Wat zijn de uitgangspunten/beginselen van de AVG en hoe wordt daarmee rekening gehouden;
    Vermeld ☐ Niet vermeld ☐
  5. De AP noemt in haar rapport drie ‘verplichte onderdelen’ van het gegevensbeschermingsbeleid. Deze onderdelen staan overigens niet expliciet vermeld in artikel 24 van de AVG
    – Een omschrijving van de (categorieën van) persoonsgegevens;
    – Een beschrijving van de doeleinden van de gegevensverwerking;
    – Een beschrijving van de rechten van betrokkenen;

    Vermeld ☐ Niet vermeld ☐
  6. Een beschrijving van de functies en verantwoordelijkheden, bijvoorbeeld op basis van het RAS(C)I-matrix
    Vermeld ☐ Niet vermeld ☐
  7. Toezicht en handhaving (wie monitort het privacybeleid, wat zijn de consequenties bij niet-naleving van het beleid)
    Vermeld ☐ Niet vermeld ☐

In het privacybeleid kan worden verwezen naar verschillende documenten over gegevensbescherming en privacy. Dit zijn enkele belangrijke beleidsdocumenten. Ze omvatten het beleid voor de rechten van betrokkenen. Daarnaast is er het datalekbeleid.
Ook is er een beleid voor bewaartermijnen en beveiliging. Deze documenten zijn bedoeld om privacy en gegevensbescherming in een organisatie te waarborgen. Zo geeft het privacybeleid een compleet beeld van hoe de verwerkingsverantwoordelijke persoonsgegevens beschermt.

Let op: Als je niet voldoet aan de verantwoordingsplicht, kan de Autoriteit Persoonsgegevens je een boete geven. Deze boete kan hoog zijn. Het kan oplopen tot 10 miljoen euro. Of het kan 2% van de wereldwijde jaaromzet zijn, als dat bedrag hoger is.

Privacyverklaring en Privacybeleid het verschil en conclusie

Hoewel onder de AVG met de term privacyverklaring in feite iets anders wordt bedoeld dan met de term privacybeleid, wordt in de praktijk het onderscheid tussen deze termen nog vaak met elkaar verward. In principe is dit geen ramp en niet fout, mits de verwerkingsverantwoordelijke maar op de juiste manier aan zijn informatieplicht (artikel 12-14 AVG) en verantwoordingsplicht (artikel 24 AVG) voldoet en niet bijvoorbeeld zijn privacybeleid ten behoeve van zijn verantwoordingsplicht op de website zet en daarmee denkt ook te hebben voldaan aan de informatieplicht aan betrokkenen.

Een cookiebeleid of een cookieverklaring?

Cookiebeleid voorbeeld en opstellen

Als organisatie bepaal je hoe je omgaat met cookies en trackers op je website. Dit leg je vast in een cookiebeleid. In je cookiebeleid maak je een afweging in het gebruik van 1st party en 3rd party cookies. Voor cookies en trackers die persoonlijk identificeerbare informatie kunnen achterhalen (of samenstellen) ga je een cookiebeleid definiëren. Dit beleid heeft verschillende onderdelen. Het gaat om het vragen van toestemming. Ook is er registratie en cookie-identificatie.
Verder wordt het doel van cookies en trackers besproken. Tot slot wordt de impact op het privacybeleid behandeld.

We hebben hier meerdere blogs over geschreven, maar wellicht is de handleiding cookiebeleid Interessant voor je? Je kunt deze hier aanvragen.handleiding cookiebeleid en checklist

Cookieverklaring voorbeeld

In een cookieverklaring neem je op welke cookies je website plaatst. Omdat de cookieverklaring veel informatie bevat, wordt deze doorgaans als losse pagina opgenomen in je website.

Je verwijst er dan naar vanuit je privacyverklaring. Hieronder tref je een voorbeeld cookie verklaring aan van CookieInfo.

Cookiebeleid: 30% cookies en trackers verandert maandelijks

Omdat 30% van de in gebruik zijnde cookies op je website maandelijks veranderen, is het wenselijk om een cookieverklaring te gebruiken die automatisch wordt opgesteld en wordt bijgehouden.

Voorbeeld cookie beleid en verklaring - CookieInfo
Voorbeeld cookieverklaring – CookieInfo

Dit wordt mogelijk gemaakt in combinatie met een cookie scanner. Deze identificeert alle aanwezige cookies en trackers in een website. Cookies worden ingedeeld in de juiste categorie (Noodzakelijk, functioneel, marketing, statistisch).

Deze indeling wordt vervolgens automatisch overgenomen en gepresenteerd in een cookieverklaring.

Dat bespaart veel tijd. Het voorkomt dat verkeerde cookies worden geladen. Dit gebeurt voordat er toestemming is gegeven voor het plaatsen van cookies.

Een cookieverklaring voorbeeld tref je aan in de footer van de CookieInfo website. Deze cookieverklaring is automatisch opgesteld.

Om je website overzichtelijk te houden, is het handig om naar je cookieverklaring te linken. Dit kun je doen vanuit je privacyverklaring. Beide bevatten veel tekst en zo is voor je website bezoeker het verschil gelijk duidelijk.

Onderstaande tekst hebben wij bijvoorbeeld opgenomen in onze privacyverklaring. Er wordt vervolgens gelinkt naar de automatisch opgestelde CookieInfo cookieverklaring.

“De website van CookieInfo maakt gebruik van cookies. We gebruiken cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over je gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die je aan ze hebt verstrekt of die ze hebben verzameld op basis van je gebruik van hun services”.

Je kunt als bezoeker zelf bepalen hoe je met cookies wilt omgaan. Hier vindt je onze Cookieverklaring, daar kun je ook je toestemming aanpassen of intrekken.” Een voorbeeld van een cookieverklaring kun je bekijken in onze footer.

Wil je meer lezen over voorbeeld teksten die je kunt gebruiken voor je cookie melding of cookieverklaring? Kijk dan ook even bij het artikel de beste tekst voor een cookie melding.

De AVG en cookies

Wil je meer weten over de AVG en cookies? In onderstaande artikel lees je er meer over.

Artikel 1-4 over de definities van de in de verordening gebruikte termen,

Artikel 5-11 over het doel van de verordening,

Artikel 12-20 over de rechten van personen met betrekking tot privacy en gegevens,

Artikel 24-31 over de verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker,

Artikel 37-39 over de vereiste voor een functionaris voor gegevensbescherming,

Artikel 44-46 over de overdracht van gegevens uit de EU,

Artikel 82-83 over de boetes en straffen voor niet-naleving.

Wat is de avg?

Mocht je naar aanleiding van dit blog vragen hebben? We horen graag van je.

Team CookieInfo.

Disclaimer

De informatie in dit blogartikel over privacyverklaring, privacybeleid en cookieverklaring is gebaseerd op onze ervaringen. Het is geschreven om je te informeren, maar geen juridisch advies. Heb je vragen over je privacyverklaring? Neem contact met ons op of met een jurist van de juridische partners van CookieInfo.

Probeer nu 14 dagen gratis Cookiebot

Cookie scanner, cookie banner, cookieverklaring en cookie toestemming in één.

  • Cookies op je website gebruiken volgens AVG, ePrivacy en cookie wetgeving
  • Cookiebeheer volledig geautomatiseerd
  • Cookie banner op basis van jouw huisstijl
  • Automatisch opgestelde cookieverklaring, altijd up to date
Probeer nu 14 dagen gratis CookiebotStart gratis proefperiode

De Cookiebot oplossing draait op 2.1 miljoen Websites, beheert 6.3 miljard maandelijkse User Consents en Ondersteunt 47+ talen.

Handleiding cookiebeleid

Handleiding cookiebeleid

De handleiding cookiebeleid neemt je mee in AVG wet en regelgeving rondom cookies en hoe je dit toepast op je website. Tevens krijg je inzicht in alles rondom cookie gebruik in je organisatie en hoe je dit kunt borgen.

Download

Recente blogs

Tags

, , ,