Een privacyverklaring of privacy statement is wettelijk verplicht voor elke website die persoonsgegevens van bezoekers gebruikt. En daarvan is al sprake als u een contactformulier heeft of logt wat er op uw website gebeurt. Zorg er dus voor dat u uw zaken op orde heeft met een duidelijke privacyverklaring met uitleg op maat.
Bij steeds meer ICT-diensten worden persoonsgegevens opgeslagen of gebruikt. Persoonsgegevens zijn alle gegevens die direct of indirect tot een persoon te herleiden zijn (art. 1 sub a Wet bescherming persoonsgegevens, Wbp). Dit betreft niet alleen naam- en adresgegevens, maar ook minder voor de hand liggende zaken als een IP-adres, een vastlegging van bezoekgegevens van een website of een belnotitie in een elektronisch relatiebeheersysteem.
Met de privacyverklaring, ook wel privacy policy geheten, wordt beoogd te voldoen aan art. 33 en 34 van de Wet bescherming persoonsgegevens: persoonsgegevens worden slechts verwerkt nadat de betrokkene adequaat is geïnformeerd over doel en wijze van verwerking. De belangrijkste elementen zijn:
- Wijze van verkrijging van persoonsgegevens
- Doelomschrijving van gebruik
- Beveiliging
- Verstrekking aan derden
- Cookies en tracking, en Google Analytics
- Inzet van onderaannemers (‘verwerkers’)
- Recht van inzage, correctie en verwijdering
- Klachten en aansprakelijkheid
- Websites van derden
Let op dat een privacyverklaring geen overeenkomst is die tot stand komt doordat men persoonsgegevens verschaft nadat men het aanbod vervat in de privacyverklaring heeft gelezen. Toestemming onder de Wbp kan niet in algemene voorwaarden (en dus ook niet in een ICT-contract) bedongen worden, en ook niet geclaimd worden middels een privacyverklaring. Akkoord vragen op een privacyverklaring is dan ook onjuist en bovendien betekenisloos. Wanneer voor een handeling betreffende persoonsgegevens toestemming nodig is, dient dit uitdrukkelijk en apart gevraagd te worden.
Een privacyverklaring is niet bedoeld als juridisch document maar als toelichting naar leken toe over wat er met hun persoonsgegevens gebeurt. Het taalgebruik is daarom ook al snel eenvoudiger en vaak wordt er vanuit ‘wij’ naar ‘u’ gecommuniceerd. Hiermee wordt de fictie overeind gehouden dat mensen een privacyverklaring zullen lezen en daardoor geïnformeerd beslissen over of het acceptabel is wat een website van plan is.