Privacybeleid voor beginners: wat, waarom en hoe (2)

Juridische documenten zijn niet voor iedereen een favoriet gespreksonderwerp, zeker niet in de opwinding rond het opstarten van een nieuw online bedrijf. Privacyverklaringen zijn echter absoluut noodzakelijk voor vrijwel elke website of mobiele app.

In dit artikel komen de basisfeiten over privacyverklaringen aan bod: wat ze zijn, waarom je ze nodig hebt en wat erin moet staan.

Het wat en het waarom

Een privacybeleid is een openbare verklaring van een online bedrijf waarin de volgende informatie aan consumenten wordt verstrekt:

• Welke persoonlijke gegevens er over gebruikers worden verzameld
• Hoe de gegevens worden verzameld en gebruikt
• Hoe de gegevens worden beheerd en beschermd
• Hoe een gebruiker toegang heeft tot die gegevens en deze kan beheren

Deze samenvatting van eBay biedt een uitgebreid overzicht van alle onderwerpen die in een standaard privacybeleid aan bod komen:

Persoonlijke gegevens worden gedefinieerd als alle gegevens die kunnen worden gebruikt om iemand te identificeren, zoals:

• Naam
• E-mailadres
• Telefoonnummer
• Adres
• Identificatienummers
• Creditcardnummers

Zelfs anonieme informatie, zoals IP-adressen en gebruikersnamen, kan in combinatie met andere gegevens worden gebruikt om een persoon te identificeren, en daarom wordt deze informatie ook als persoonlijke informatie beschouwd.

Kortom, alle informatie die u van uw gebruikers verzamelt, moet als persoonlijke informatie worden beschouwd en als zodanig worden behandeld.

Volgens de FTC: "beschouwen wij gegevens als 'persoonlijk identificeerbaar' en dus onderworpen aan privacybescherming, wanneer deze redelijkerwijs kunnen worden gekoppeld aan een bepaalde persoon, computer of apparaat. In veel gevallen voldoen permanente identificatiegegevens, zoals apparaat-ID's, MAC-adressen, statische IP-adressen of cookies, aan deze criteria."

Privacywetgeving

Als uw website of mobiele applicatie persoonsgegevens van gebruikers verzamelt, bent u in de meeste landen wettelijk verplicht om een openbaar privacybeleid te publiceren.

Hier volgen enkele voorbeelden van privacyregelgeving die van toepassing is op de meeste onlinebedrijven.

Verenigde Staten

1. FTC

De Amerikaanse Federal Trade Commission (FTC) handhaaft en reguleert een breed scala aan regelgeving op het gebied van de bescherming van persoonsgegevens. Hoewel de betreffende regelgeving ingewikkeld en vaag is, verbiedt de FTC oneerlijke of misleidende praktijken door onlinebedrijven. Dit geldt voor bedrijven die:

• Geen bescherming bieden voor gebruikersgegevens, waardoor deze kwetsbaar zijn voor hackers of cyberaanvallen
• Geen passende kennisgeving verstrekken wanneer het privacybeleid wordt gewijzigd
• Zich niet houden aan het gepubliceerde privacybeleid

2. CalOPPA

De California Online Privacy Protection Act is een wet van de staat Californië die van toepassing is op elk bedrijf dat informatie verzamelt van inwoners van Californië.

De basisvereisten omvatten het volgende:

• Onlinebedrijven moeten een duidelijk zichtbaar privacybeleid publiceren.
• Het privacybeleid moet aangeven welke informatie van gebruikers wordt verzameld en met wie deze wordt gedeeld.
• Het bedrijf moet zich houden aan zijn eigen privacybeleid.

Europese Unie

(AVG)

De Algemene Verordening Gegevensbescherming (AVG), die in mei 2018 van kracht werd, is een verstrekkende reeks richtlijnen die door de Europese Unie wordt gehandhaafd. Deze is van toepassing op elke organisatie die persoonsgegevens van EU-inwoners verzamelt.

De AVG bevat een breed scala aan vereisten met betrekking tot internetprivacy, maar op het meest basale niveau bepaalt deze dat:

• U volledige openheid moet geven over alle informatie die van gebruikers wordt verzameld, inclusief de informatie die door cookies wordt verzameld.
• U moet toestemming vragen voor het verzamelen van informatie, inclusief het plaatsen van cookies.
• U moet alle mogelijke maatregelen nemen om persoonsgegevens te beschermen.

Canada

De Canadese wet inzake de bescherming van persoonsgegevens en elektronische documenten (PIPEDA) heeft tot doel de fundamentele privacyrechten van consumenten te beschermen door middel van diverse voorschriften en vereisten voor onlinebedrijven. De wet is van toepassing op elke organisatie die persoonsgegevens verzamelt van Canadese burgers.

De belangrijkste vereisten zijn onder meer:

• Plaats een openbaar en toegankelijk privacybeleid.
• Verzamel en bescherm informatie op een eerlijke en wettige manier.
• Verkrijg toestemming voor het verzamelen van persoonlijke gegevens.

Australië

De Australische Information Commissioner handhaaft en ziet toe op een uitgebreide reeks Australische privacybeginselen (APP's) die van toepassing zijn op iedereen die persoonsgegevens verzamelt van inwoners van Australië.

Onder deze richtlijnen bevinden zich de volgende bepalingen met betrekking tot privacybeleid:

• Bedrijven moeten te allen tijde een actueel en zichtbaar privacybeleid hanteren.
• Gebruikers informeren over welke gegevens worden verzameld en hoe deze worden gebruikt.
• Geef gebruikers toegang om hun eigen persoonsgegevens in te zien en te wijzigen.
• Neem redelijke maatregelen om persoonlijke gegevens te beschermen.

Zoals u ziet, is de kans groot dat u, ongeacht waar u uw bedrijf voert, verantwoordelijk wordt gehouden voor het naleven van een of alle hierboven beschreven privacywetten. Om uw aansprakelijkheid te beperken, wordt aanbevolen om aan de minimale privacyvereisten van al deze wetten te voldoen, aangezien het internet een internationaal platform is.

Best practices voor consumentenprivacy

Naast de wettelijke vereisten voor het opstellen van een privacybeleid, is het gewoon goed zakendoen. In de huidige wereld van cyberaanvallen en identiteitsdiefstal moeten consumenten erop kunnen vertrouwen dat uw bedrijf hun persoonlijke gegevens op een eerlijke, transparante en veilige manier bewaart.

Hieronder vindt u een lijst met best practices die u moet volgen bij het omgaan met de persoonlijke gegevens van uw gebruikers:

• Gebruik duidelijke, begrijpelijke taal voor uw privacybeleid.
• Zorg ervoor dat het privacybeleid opvallend en gemakkelijk te vinden is.
• Leid de medewerkers die met klantgegevens werken op, zodat ze goed op de hoogte zijn van de privacyvereisten.
• Doe je best om je interne beveiligingsmaatregelen voor gegevensbescherming up-to-date te houden.
• Zorg ervoor dat consumenten gemakkelijk toegang hebben om hun eigen persoonlijke gegevens in te zien, te bewerken of te verwijderen.
• Breng uw gebruikers tijdig op de hoogte wanneer er een wijziging in uw privacybeleid plaatsvindt.
• Houd u altijd nauwgezet aan uw eigen privacybeleid.

De aanpak

Om precies te bepalen welke onderwerpen in uw privacybeleid moeten worden behandeld, moet u goed kijken naar hoe u omgaat met de persoonlijke gegevens van gebruikers.

Hieronder vindt u een beschrijving van veelvoorkomende clausules in privacybeleid en wanneer u deze kunt gebruiken:

1. Welke gegevens worden verzameld en hoe

Deze clausule is essentieel voor elk privacybeleid. Hierin informeert u de bezoeker precies welke persoonlijke gegevens worden verzameld en hoe dit gebeurt. Dit omvat zowel informatie die rechtstreeks door de gebruiker wordt verstrekt als informatie die automatisch door uw website wordt verzameld.

United Airlines biedt een duidelijke lijst van alle persoonlijke gegevens die zij verzamelen:

Zorg ervoor dat u zo volledig mogelijk bent om misverstanden te voorkomen. Informatie die u verzamelt via cookies en bronnen van derden moet ook in de lijst worden opgenomen.

Canva beschrijft elk type informatie dat het verzamelt, zoals door de gebruiker verstrekte gegevens, gegevens van derden en analytische gegevens:

2. Hoe informatie wordt gebruikt

Een ander essentieel punt is dat uw privacybeleid precies moet aangeven hoe informatie wordt gebruikt en waarom deze nodig is. Als u bijvoorbeeld demografische informatie moet verzamelen om uw diensten te verbeteren, leg dit dan uit aan gebruikers.

Apple beschrijft elke manier waarop zij persoonlijke informatie gebruiken en waarom dit nodig is, compleet met enkele voorbeelden:

Volledige openheid in dit gedeelte beperkt niet alleen uw wettelijke aansprakelijkheid. Het helpt ook om een vertrouwensband met uw klanten op te bouwen.

AT&T biedt ook een uitgebreide lijst met alle manieren waarop zij klantgegevens gebruiken:

3. Toegang door derden

Als uw bedrijf gebruikersgegevens deelt met software van derden voor het aannemen van bestellingen, analyses, advertenties of om welke andere reden dan ook, heeft u een clausule over toegang van derden tot informatie nodig.

Spotify legt uit waarom het nodig is om informatie met derden te delen:

In dit gedeelte moet u vermelden met welke soorten gelieerde derde partijen u persoonlijke informatie deelt en waarom. Dit is een goede plek om diensten zoals Google Analytics of software voor creditcardverwerking te vermelden, waarmee u gebruikersactiviteiten zou moeten delen om de dienst goed te laten functioneren.

CBS gaat zeer gedetailleerd in op dit onderwerp om ervoor te zorgen dat gebruikers precies begrijpen wie toegang heeft tot hun informatie:

4. Cookies

Hoewel het aanbevolen wordt om een apart cookiebeleid op te stellen, is het ook een goed idee om een korte clausule over cookies op te nemen in uw privacybeleid.

Lonely Planet biedt een gedetailleerde lijst van alle manieren waarop zij cookies gebruiken:

Leg uit wat cookies zijn en waarom ze worden gebruikt. Als u een apart cookiebeleid heeft, plaats hier dan een link naar dat beleid. Als er geen cookiebeleid is, is het een goed idee om de cookies die u gebruikt op te sommen in het privacybeleid. Zorg ervoor dat u ook cookies van derden in deze lijst opneemt.

GOV.UK heeft deze tabel met cookies opgesteld in hun cookiebeleid. Let op hoe ze uitleggen waarvoor elke cookie dient:

5. Communicatie

Zelfs als u geen marketingmails verstuurt, is het belangrijk om gebruikers te laten weten hoe u met hen wilt communiceren. Als uw systeem e-mails, sms'jes, telefoontjes of andere soorten berichten verstuurt, laat dit dan aan gebruikers weten.

T-Mobile biedt hun bezoekers een voorkeursformulier aan om te kiezen hoe ze het liefst gecontacteerd willen worden:

Vooral in het geval van promotionele berichten wilt u klanten ook uitleggen hoe ze zich kunnen afmelden als ze dat willen.

Bed Bath & Beyond biedt methoden om zich af te melden voor promotionele mailings, zowel via e-mail als via de gewone post:

6. Omgang met gegevens

Hoewel elk bedrijf op een andere manier met gegevens omgaat, kunt u in dit gedeelte aan gebruikers uitleggen hoe hun persoonsgegevens worden opgeslagen, geraadpleegd, beschermd en beheerd.

Enkele zaken die u in deze clausule kunt opnemen zijn:

• Waar informatie wordt opgeslagen
• Hoe informatie wordt beschermd
• Hoe gebruikers hun persoonlijke gegevens kunnen bekijken, bewerken of verwijderen
• Wanneer het nodig is om informatie te bewaren nadat een gebruikersaccount is gesloten

Adobe behandelt alle bovenstaande punten op een duidelijke en beknopte manier:

Hoewel u kunt beschrijven hoe een gebruiker zijn of haar account kan verwijderen, kunt u ook vermelden dat uw bedrijf zich het recht voorbehoudt om gebruikersaccounts te verwijderen, maar dat bepaalde informatie voor onbepaalde tijd kan worden bewaard voor juridische, transactionele of andere doeleinden.

Facebook beschrijft hoe een gebruiker wijzigingen kan aanbrengen in zijn of haar accountgegevens en legt vervolgens uit waarom gebruikersgegevens mogelijk moeten worden bewaard:

7. Bedrijfsoverdrachten

Een toekomstige overname of bedrijfsfusie behoort voor elk merk tot de mogelijkheden. Voor de zekerheid wordt aanbevolen om een clausule inzake bedrijfsoverdracht op te nemen in uw privacybeleid, ter voorbereiding op een dergelijke verandering.

Logitech legt in één korte alinea uit hoe een bedrijfsoverdracht wordt bekendgemaakt:

Leg gebruikers eenvoudigweg uit dat in het geval van een bedrijfsovername of fusie, de persoonlijke gegevens uit de klantendatabase ook worden overgedragen aan de nieuwe eigenaar. Het is ideaal om te vermelden dat uw eerdere toezegging met betrekking tot de privacy van gebruikers tijdens en na het overdrachtsproces gehandhaafd blijft.

Amazon beschrijft het proces van bedrijfsoverdracht en herinnert consumenten er tegelijkertijd aan dat alle reeds bestaande afspraken met betrekking tot privacy worden nagekomen:

8. Geschillenbeslechting

In de meeste gevallen worden juridische bepalingen behandeld in uw Algemene voorwaarden. Een clausule over geschillenbeslechting in uw privacybeleid kan echter geen kwaad.

Hier is een voorbeeld van Eventbrite:

Hier beschrijft u de procedure van uw bedrijf voor geschillenbeslechting en laat u consumenten weten hoe ze de procedure kunnen starten als ze klachten hebben.

De clausule inzake geschillenbeslechting van eBay is kort en eenvoudig:

9. Kinderen jonger dan 13 jaar

Tenzij uw bedrijf zich op kinderen richt, is dit gedeelte eenvoudig maar noodzakelijk. In het onwaarschijnlijke geval dat een kind jonger dan 13 jaar op uw website of mobiele app terechtkomt, moet iets als de volgende paragraaf van Instagram in uw privacybeleid worden opgenomen:

Als uw diensten echter bedoeld zijn voor kinderen of tieners, heeft u een apart en gedetailleerd privacybeleid voor kinderen nodig dat voldoet aan de voorschriften van de Children's Online Privacy and Protection Act (COPPA).

The Walt Disney Company biedt hier een goed voorbeeld:

10. Wijzigingen in het privacybeleid

U hebt het recht om op elk moment wijzigingen aan te brengen in uw diensten en privacybeleid. Laat uw gebruikers weten dat er in de loop van de tijd onvermijdelijk wijzigingen zullen plaatsvinden.

Hier is een voorbeeld van WhatsApp:

Een andere bepaling van deze clausule is dat u "klanten op de hoogte moet stellen van eventuele wijzigingen in uw privacybeleid op het moment dat de wijzigingen plaatsvinden of daarvoor. Het wordt ook aanbevolen om hen te laten weten hoe deze communicatie zal plaatsvinden.

CBS laat gebruikers weten hoe zij op de hoogte worden gesteld van wijzigingen in het privacybeleid:

11. Contact

Laat vragen en zorgen van klanten over hun privacy niet onbeantwoord. Geef ze een eenvoudige manier om contact met u op te nemen over privacykwesties. Als het mogelijk is om een speciaal e-mailadres of een speciale afdeling aan te wijzen voor deze kwesties, is dat nog beter.

Het Amerikaanse Ministerie van Buitenlandse Zaken biedt twee manieren om contact op te nemen over privacykwesties:

Hierboven staan de meest voorkomende clausules die u in een standaard privacybeleid aantreft. Hier zijn nog enkele secties die u eventueel in uw privacybeleid kunt opnemen:

• Beveiliging - Een korte paragraaf die gebruikers eraan herinnert dat, ondanks uw inspanningen, geen enkel beveiligingssysteem 100% garantie biedt voor de bescherming van informatie op het internet.
• Advertentiekeuzes - Als uw bedrijf remarketingsoftware gebruikt, is het noodzakelijk om gebruikers te informeren over opt-out-mogelijkheden.
• Naleving van wet- en regelgeving - Laat klanten weten dat u in geval van een juridisch geschil of een dagvaarding mogelijk persoonlijke gegevens moet delen met overheidsinstanties.

De plaats

Een bepaling in de meeste privacywetten is dat uw privacybeleid opvallend en gemakkelijk te vinden moet zijn. Veel websites plaatsen een duidelijke link in de navigatievoet, zodat deze op elke pagina verschijnt.
Apple neemt de link naar het privacybeleid op in de voet met andere belangrijke links:

Mobiele apps hebben niet altijd de mogelijkheid om op elke interface een link naar het privacybeleid te plaatsen, maar een duidelijke link op de aanmeldings- of inlogpagina, evenals een privacysectie in de instellingeninterface, worden doorgaans als voldoende beschouwd.

Snapchat biedt een link naar het privacybeleid binnen de aanmeldingsinterface:

Nu er steeds meer regelgeving is die toestemming van de gebruiker vereist, nemen veel bedrijven hun privacybeleid op in het registratie- of inlogproces, waarbij gebruikers moeten instemmen met het privacybeleid voordat ze verder kunnen gaan met de dienst.

In dit voorbeeld van Samsung impliceert het klikken op de knop "Maak je account aan" automatische instemming met het privacybeleid:

Hier is nog een voorbeeld van Canvas waarbij bezoekers actief moeten klikken en akkoord moeten gaan met het privacybeleid voordat ze zich kunnen registreren:

Nu u weet wat, waarom, hoe en waar privacybeleid omvat, bent u klaar om uw eigen beleid op te stellen. Probeer onze Privacybeleid-generator voor een snel, op maat gemaakt beleid dat is afgestemd op uw bedrijf.