HomeFinance Hypotheken

Privacyverklaring (EU): Wat is het en hoe stel je er zelf een op?

Heb jij vragen over:
"Privacyverklaring (EU): Wat is het en hoe stel je er zelf een op?"
Een privacyverklaring (EU) is een document waarmee organisaties klanten in duidelijke en begrijpelijke taal informeren over de verwerking van persoonsgegevens. Het legt uit waarom persoonsgegevens worden verwerkt en wat de organisatie ermee doet. De Algemene Verordening Gegevensbescherming (AVG) stelt eisen aan de inhoud, toegankelijkheid en duidelijkheid van zo’n verklaring, zoals de naam van de organisatie en wie de gegevens ontvangt. De verklaring mag niet te lang of te ingewikkeld zijn, en valt onder de informatieplicht (artikel 12-14 AVG). Hier leest u wat er precies in moet staan en hoe u zelf een privacyverklaring opstelt die aan deze eisen voldoet.

Wat is een privacyverklaring volgens de EU-regels?

Een privacyverklaring (EU) is een verplicht document voor organisaties die persoonsgegevens verwerken. Het doel is om klanten en bezoekers transparantie en duidelijkheid te bieden over hoe hun gegevens worden gebruikt. Volgens de Algemene Verordening Gegevensbescherming (AVG) moet dit document uitleggen welk beleid de organisatie voert rondom privacy en gegevensverwerking. Dit omvat welke persoonsgegevens verzameld worden en waarom.

De AVG stelt specifieke eisen aan de inhoud, toegankelijkheid en duidelijkheid van deze verklaring. Zo moet je informeren over bewaartermijnen en de rechten die betrokkenen hebben. Een privacyverklaring is verplicht voor websites en apps die persoonsgegevens verzamelen, bijvoorbeeld via een formulier. Organisaties moeten een dergelijk privacystatement opstellen, een verplichting die sinds 25 mei 2018 geldt.

Wanneer is een privacyverklaring verplicht binnen de EU?

Een privacyverklaring is binnen de EU verplicht zodra uw organisatie persoonsgegevens verwerkt. Dit is een eis van de Algemene Verordening Gegevensbescherming (AVG). Het maakt niet uit of u een groot bedrijf bent of een kleine zelfstandige.

Denk bijvoorbeeld aan een webwinkel; deze is altijd verplicht om een privacyverklaring te hebben. Dit komt omdat een webwinkel persoonsgegevens verzamelt bij elke bestelling. Zonder zo’n verklaring voldoet u niet aan de wettelijke vereisten voor informatieverstrekking aan klanten.

Welke persoonsgegevens en informatie moeten in een privacyverklaring staan?

Een privacyverklaring (EU) moet specifieke informatie bevatten over de verwerking van persoonsgegevens. Het document legt uit welke persoonsgegevens worden verzameld, waarom dit gebeurt, hoe lang ze bewaard blijven en welke rechten u als klant heeft. Dit omvat een heldere uitleg over het beleid en de processen rondom privacy en gegevensverwerking.

Welke soorten persoonsgegevens worden verwerkt?

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit zijn dus gegevens die herleidbaar zijn tot een natuurlijk persoon. Persoonsgegevens worden onderverdeeld in gewone en bijzondere persoonsgegevens. Gewone persoonsgegevens zijn bijvoorbeeld naam, adres, geboortedatum, telefoonnummer en e-mailadres. Ook uw IP-adres en woon-werkgegevens vallen onder persoonsgegevens. Bijzondere persoonsgegevens omvatten ras, etniciteit, politieke opvattingen en gezondheidsgegevens. Medische persoonsgegevens vallen onder de categorie bijzondere persoonsgegevens. Strafrechtelijke gegevens vallen ook onder herleidbare persoonsgegevens.

Doeleinden van gegevensverwerking volgens de AVG

De Algemene Verordening Gegevensbescherming (AVG) stelt duidelijke regels voor de doeleinden van gegevensverwerking. Persoonsgegevens mogen alleen verwerkt worden voor vooraf vastgestelde doeleinden en als dit noodzakelijk is. Er zijn zes wettelijke grondslagen die de AVG hiervoor biedt.

Een organisatie moet altijd een wettelijke grondslag hebben om persoonsgegevens te verwerken. Een voorbeeld hiervan is een gerechtvaardigd belang, vaak in combinatie met uw toestemming. Als u bijvoorbeeld een hypotheek aanvraagt, moet de verstrekker u informeren over het doel en de wettelijke grondslag van de verwerking van uw financiële gegevens.

Het is belangrijk dat de gegevens actueel, relevant en noodzakelijk zijn voor het doel. De AVG vereist ook minimale verwerking van persoonsgegevens, volgens het ‘need-to-know’ principe. Dit betekent dat u niet meer gegevens mag verwerken dan strikt nodig is. Voor de meeste organisaties is het essentieel om deze doeleinden en grondslagen helder en transparant te communiceren in de privacyverklaring.

Rechtsgrondslagen voor het verwerken van persoonsgegevens

De Algemene Verordening Gegevensbescherming (AVG) stelt dat de verwerking van persoonsgegevens altijd een wettelijke grondslag moet hebben. Er zijn zes van deze rechtsgrondslagen die de AVG biedt. Zonder zo’n geldige grondslag is verwerking niet toegestaan. Twee voorbeelden hiervan zijn de actieve toestemming van de betrokkene en wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst.

Bewaartermijnen en opslag van gegevens

Organisaties moeten zelf de bewaartermijnen en opslag van persoonsgegevens bepalen en vastleggen in een verwerkingsregister. De privacyverklaring beschrijft vervolgens hoe lang deze gegevens worden bewaard. Dit is zolang als noodzakelijk is voor de vastgestelde doeleinden en om wettelijke verplichtingen na te leven — denk aan de Archiefwet die een bewaartermijn van 10 jaar voor financiële administratie voorschrijft. Deze termijn kan zelfs met maximaal vijf extra jaren worden verlengd onder Wwft-regelgeving. Het is cruciaal dat deze informatie helder en begrijpelijk is voor de gebruiker.

Hoe stel je een privacyverklaring op die voldoet aan de AVG?

Om een privacyverklaring op te stellen die voldoet aan de AVG, moet u aan specifieke eisen voldoen. De verklaring moet toegankelijk en begrijpelijk zijn voor websitebezoekers en wettelijk verplichte informatie bevatten. Bedrijven die persoonsgegevens verzamelen, moeten een dergelijk AVG-model opstellen. Hierin staan uw naam en contactgegevens, de specifieke gegevens die u verzamelt en het doel van de verwerking. Een goed stappenplan, het gebruik van voorbeeldteksten en een checklist helpen u om aan alle verplichtingen te voldoen.

Stappenplan voor het opstellen van een privacyverklaring

Een privacyverklaring opstellen is verplicht als u persoonsgegevens bewaart, gebruikt of deelt. Het document informeert klanten over wat u met hun gegevens doet en waarom. Volg deze aandachtspunten voor een AVG-conforme verklaring:
  1. Schrijf de verklaring in duidelijke en begrijpelijke taal; vermijd ingewikkelde zinnen.
  2. Neem de naam en contactgegevens van uw organisatie op, zodat u bereikbaar bent.
  3. Licht toe welke persoonsgegevens u verwerkt, voor welk doel en op basis van welke AVG-grondslag.
  4. Vermeld wie de persoonsgegevens ontvangt.
  5. Zorg dat de privacyverklaring makkelijk vindbaar is en duidelijk onderscheiden van andere informatie.

Gebruik van voorbeeldteksten en sjablonen

U kunt een basistekst voor een privacyverklaring vinden via een online generator. Deze hulpmiddelen helpen u om een AVG-conforme verklaring op te stellen. Zo weet u zeker dat de belangrijkste onderdelen aanwezig zijn. Controleer altijd of de tekst aansluit bij uw specifieke bedrijfsvoering. Elke organisatie heeft namelijk unieke gegevensverwerkingen.

Controleer of jouw privacyverklaring voldoet: checklist

Om te controleren of uw privacyverklaring voldoet, moet deze helder en toegankelijk zijn, conform de AVG-eisen voor inhoud en duidelijkheid. De verklaring mag niet te lang of ingewikkeld zijn, zodat iedereen makkelijk begrijpt waarom persoonsgegevens worden verwerkt. Uw privacyverklaring moet de identiteit en contactgegevens van uw organisatie vermelden, en eventueel die van de vertegenwoordiger in de EU. Ook de doeleinden en grondslag van de verwerking, inclusief een gerechtvaardigd belang, moeten erin staan. Vermeld de duur van de opslag van gegevens of de criteria daarvoor. Informeer gebruikers over hun recht op inzage, rectificatie of wissen van persoonsgegevens en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Voeg de contactgegevens van de functionaris gegevensbescherming toe, indien uw organisatie die heeft. Tot slot moet de privacyverklaring de ontvangers van persoonsgegevens en informatie over doorgifte buiten de EU bevatten, en altijd actueel zijn.

Rechten en plichten rondom privacyverklaringen voor organisaties

Organisaties die persoonsgegevens verwerken, moeten een privacyverklaring opstellen. Deze verklaring is wettelijk verplicht en zorgt voor transparantie over hoe de organisatie met persoonsgegevens omgaat. De privacyverklaring informeert betrokkenen over hun rechten en de manier waarop de organisatie hun data verwerkt. Dit omvat de informatieplicht, de grondslagen voor gegevensverwerking en de beveiliging van persoonsgegevens.

Informatieplicht en transparantie naar betrokkenen

Organisaties hebben een informatieplicht en moeten transparant zijn naar betrokkenen over hoe zij met persoonsgegevens omgaan. Volgens de AVG moeten bedrijven en organisaties betrokkenen informeren over hun identiteit, contactgegevens, doeleinden en de verwerkingswijze van gegevens. Transparantie betekent openheid, rekenschap en het verstrekken van juiste, relevante informatie die toegankelijk en zichtbaar is voor interne en externe partners. Dit is essentieel voor het opbouwen van langetermijnrelaties met klanten en versterkt de relatie met stakeholders. Het bevordert kritisch denken, verbetert praktijken en versterkt interne en externe controles. Consumenten en de samenleving eisen deze openheid, wat cruciaal is voor een vertrouwensrelatie.

Toestemming en andere verwerkingsgrondslagen

De verwerking van persoonsgegevens is toegestaan met toestemming van de betrokkene, wat één van de zes grondslagen is die de AVG biedt. Onder de AVG moet toestemming ondubbelzinnig, duidelijk en specifiek zijn. Het moet een echte vrije keuze zijn, vrijwillig gegeven via een opt-in mechanisme. Een verwerker mag alleen gegevens verwerken waarvoor expliciete toestemming is gegeven. Toestemming is ook een grondslag voor het delen van persoonsgegevens. Betrokkenen kunnen hun toestemming voor het verwerken van persoonsgegevens intrekken. Een ingetrokken toestemming tast de eerdere verwerking niet aan als er andere rechtmatige doeleinden waren, zoals fiscale administratie.

Beveiliging en verantwoord gegevensbeheer

Organisaties die persoonsgegevens verwerken, moeten zorgen voor beveiliging en verantwoord gegevensbeheer. Een verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen, zoals de AVG voorschrijft. Deze maatregelen stemt u af op het type gegevens en het gebruik ervan. Informatiebeveiliging draait om de vertrouwelijkheid, beschikbaarheid en integriteit van data. Succesvolle beveiliging vereist technische, organisatorische en juridische aspecten, zoals gecertificeerde servers en beperkte toegang. Het management is verantwoordelijk voor informatiebeveiliging en moet kennis hebben van de risico’s. Deze verantwoordelijkheid geldt voor iedere afdeling binnen de organisatie. Robuuste maatregelen zijn nodig voor dataprivacy en cyberbeveiliging, een eis die in Europa al sinds mei 2018 van kracht is.

Wat te doen bij wijzigingen in je privacyverklaring?

Bij wijzigingen in uw privacyverklaring moet u dit proactief communiceren. Organisaties passen hun privacybeleid aan bij veranderende wet- en regelgeving. Ook nieuwe ontwikkelingen of wijzigingen in de verwerking van persoonsgegevens kunnen een aanpassing noodzakelijk maken. U ziet vaak dat bedrijven zich het recht voorbehouden om hun privacyverklaring te wijzigen.

Hoe kunnen betrokkenen hun rechten uitoefenen via de privacyverklaring?

De privacyverklaring legt uit hoe betrokkenen hun privacyrechten kunnen uitoefenen. Deze rechten omvatten inzage, correctie, verwijdering, overdraagbaarheid, bezwaar en beperking van gegevensverwerking. Een verzoek indienen kan vaak via het e-mailadres dat in de privacyverklaring staat. U kunt ook anoniem contact opnemen met instanties en vragen om geen persoonsgegevens vast te leggen.

Toegang tot persoonsgegevens aanvragen

U kunt toegang tot uw persoonsgegevens aanvragen. U heeft het recht om een verzoek in te dienen voor inzage, aanpassing, verwijdering, beperking van verwerking of bezwaar tegen de verwerking van uw persoonsgegevens. Burgers kunnen inzage in hun persoonsgegevens vaak via DigiD aanvragen, bijvoorbeeld bij een gemeente. Een toegangsverzoek kan ook via een CIS-app, een webformulier of per post worden ingediend. Het is belangrijk dat u dit verzoek zelf indient, tenzij een curator of voogd namens u handelt. Naast inzage kunt u ook verzoeken om correctie, aanvulling, afscherming of verwijdering van uw gegevens, met uitzondering van EVR en rijbevoegdheidsontzeggingen. U oefent deze rechten uit door een schriftelijk verzoek te sturen naar het contact center of hoofdkantoor van de organisatie.

Correctie, verwijdering en bezwaar maken

U heeft het recht om uw persoonsgegevens te laten corrigeren, verwijderen of bezwaar te maken tegen de verwerking ervan. Een gebruiker kan bezwaar indienen bij onrechtmatige verwijdering van gegevens. U kunt hiervoor juridisch advies inwinnen of een klacht indienen bij de Autoriteit Persoonsgegevens. Ook als correcties aan BRP-persoonsgegevens niet worden uitgevoerd, kunt u bezwaar maken. Tegen een besluit van bijvoorbeeld de Gemeente Barneveld kunt u binnen zes weken na verzending bezwaar maken.

Cookiebeleid (EU) en de privacyverklaring

Het cookiebeleid en de privacyverklaring zijn nauw met elkaar verbonden onder Europees privacyrecht. Een cookiebeleid beschrijft het gebruik van cookies om de gebruikerservaring en websitefunctionaliteit te optimaliseren. Gebruikers krijgen via het privacy- en cookiebeleid inzicht in privacyregels en cookiegebruik. De GDPR, oftewel AVG in Nederland, vereist toestemming voor cookies binnen de Europese Unie. Voor uitgebreide details over dit onderwerp is het raadzaam de specifieke cookiebeleidspagina van een website te raadplegen.

U kunt cookie-instellingen aanpassen via de privacyverklaring. Websitebezoekers vinden hier informatie over het cookiebeleid en kunnen hun keuzes aanpassen. Informatie over cookies is vaak via een link in de privacyverklaring te raadplegen. Deze instellingen zijn ook achteraf aan te passen in de privacyverklaring. Op websites zoals Makelaarsland.nl kunt u de privacyverklaring raadplegen voor cookie-instellingen. Een privacy- en cookiereglement beschrijft het databeleid voor gebruik en bescherming van persoonsgegevens. Dit reglement, soms wel 146,25 KB groot, beschrijft het privacybeleid.

Afmelden en privacy: wat moet je weten?

Afmelden en privacy gaat over uw rechten als het aankomt op uw persoonsgegevens. U kunt altijd uw toestemming voor de verwerking van persoonsgegevens intrekken. Na het intrekken van toestemming mag een organisatie uw persoonsgegevens niet meer gebruiken. U heeft ook het recht om uw persoonlijke gegevens te laten verwijderen. Verder kunt u bezwaar maken tegen de verwerking van uw gegevens. Dit geldt specifiek voor direct marketing; een bedrijf moet dan onmiddellijk stoppen met deze marketingactiviteiten. Organisaties moeten u al bij het eerste contact informeren over uw recht om bezwaar te maken. Het is belangrijk dat de privacyverklaring makkelijk te begrijpen is, zodat u goed kunt besluiten over het delen van uw persoonsgegevens. Burgers en inwoners van de Europese Economische Ruimte en Zwitserland hebben ook recht op dataportabiliteit, wat betekent dat u uw gegevens kunt overdragen aan een andere verwerkingsverantwoordelijke.

Wat is het verschil tussen een privacyverklaring en een privacybeleid?

Een privacyverklaring is een extern document op uw website, gericht aan bezoekers en klanten, en dient voor de informatieplicht volgens artikel 12-14 van de AVG. Een online privacyverklaring is altijd verplicht wanneer persoonsgegevens worden verwerkt. Een privacybeleid is daarentegen een intern document, bedoeld voor medewerkers als handleiding over de omgang met persoonsgegevens. Dit beleid dient voor de verantwoordingsplicht, zoals beschreven in artikel 24 van de AVG, en is een nadere uitwerking hiervan. De Autoriteit Persoonsgegevens gebruikt deze termen ook in deze context. De AVG geeft niet precies aan wat in een privacybeleid moet staan. Een intern privacybeleid wordt vooral verplicht bij systematische verwerking van gevoelige gegevens of meer dan 250 medewerkers.

Hoe vaak moet ik mijn privacyverklaring updaten?

U moet uw privacyverklaring regelmatig bijwerken. Dit is nodig bij wijzigingen in de gegevensverwerking of wetswijzigingen. Ook nieuwe ontwikkelingen vragen om aanpassingen. Er is geen vaste frequentie, maar de inhoud moet altijd actueel zijn.

Wat zijn de gevolgen van het niet hebben van een correcte privacyverklaring?

Het niet hebben van een correcte privacyverklaring betekent dat u niet voldoet aan de informatieplicht volgens artikel 12-14 van de AVG. De Autoriteit Persoonsgegevens (AP) rekent dit zwaar aan. Organisaties die de regels overtreden, riskeren hoge boetes. Deze kunnen oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Ook kan het niet naleven van de AVG je reputatie schaden. Dit leidt tot verlies van vertrouwen bij klanten en partners. Gebruikers kiezen dan sneller voor andere, transparante organisaties.

Waar kan ik hulp krijgen bij het opstellen van mijn privacyverklaring?

U kunt op verschillende manieren hulp krijgen bij het opstellen van uw privacyverklaring. Een privacyverklaring generator helpt u met een basistekst. Deze tools stellen de verklaring samen na het beantwoorden van enkele vragen. U kunt ook hulp krijgen via een documentenshop om zelf een privacyverklaring op te stellen. Een gratis privacyverklaring maakt u eenvoudig online. JuriDox biedt een Nederlandse privacyverklaring aan voor € 45,00 en faciliteert het opstellen via een vragenlijst. Adviesbureau ICTRecht levert deskundig en praktisch juridisch advies over privacy en onderhoudt het document van de privacyverklaring. Hulp omvat het benoemen van de juiste grondslagen, bewaartermijnen, samenwerkende partijen en de rechten van betrokkenen.

Door onze homefinance auteur

privacyverklaring (eu)
Heb jij vragen over:
"Privacyverklaring (EU): Wat is het en hoe stel je er zelf een op?"

Vrijblijvend hypotheekgesprek

Gratis een vrijblijvend hypotheekgesprek zonder verplichtingen