Privacyverklaring en cookieverklaring voor je website volgens AVG

Privacyverklaring

Wat is het verschil tussen een privacyverklaring en cookieverklaring en hoe stel je ze op?

Inclusief checklist voor je privacy beleid en privacyverklaring volgens AVG.

We krijgen bij CookieInfo vaak vragen of de privacyverklaring afdoende is in relatie tot de cookieverklaring. Ook zien we dat de termen door elkaar gebruikt worden.

Om je hierin te helpen, een blog over de verschillen tussen deze 3 en hoe je er invulling aan kunt geven.

Een privacyverklaring of een privacy beleid?

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 staat op veel websites van organisaties een verwijzing of een link naar hun privacyverklaring dan wel hun privacy beleid, of in de Engelse benaming: ‘privacy statement’ of ‘privacy policy’. Wat wordt nu precies met deze termen bedoeld onder de AVG?

Privacyverklaring en privacy beleid worden niet expliciet genoemd in de AVG. Maar de Autoriteit Persoonsgegevens (AP) maakt wel duidelijk onderscheid tussen deze twee termen.

In het kort is het verschil:

  • Een privacyverklaring is gericht aan betrokkenen (degenen wiens persoonsgegevens worden verwerkt, ofwel je website bezoeker).
  • Een privacy beleid is bedoeld als handleiding voor medewerkers in de organisatie die met persoonsgegevens werken.

Wat is een privacyverklaring en is deze verplicht?

De Autoriteit Persoonsgegevens gebruikt de term privacyverklaring in het kader van de informatieplicht (artikel 12-14 AVG). Persoonsgegevens mogen alleen van een persoon (de betrokkene) worden verwerkt wanneer transparant is wat er met deze persoonsgegevens gebeurt (transparantiebeginsel).

Dit betekent volgens artikel 12-14 AVG dat de verwerkingsverantwoordelijke (de organisatie) verplicht is informatie te verschaffen aan betrokkenen over de gegevensverwerking. Hoewel voor deze informatieplicht geen vormvereiste is voorgeschreven, informeer je als verwerkingsverantwoordelijke (organisatie) de betrokkene (je website bezoeker) doorgaans via een privacyverklaring. Daarmee is een privacyverklaring verplicht als je aan gegevensverwerking doet.

Privacyverklaring voorbeeld en checklist

Onderstaande punten kun je opnemen in privacyverklaring voor je website.

  1. De identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
    Vermeld ☐ Niet vermeld ☐
  2. Indien van toepassing; de contactgegevens van de  Functionaris gegevensbescherming (FG);
    Vermeld ☐ Niet vermeld ☐
  3. De verwerkingsdoeleinden en de rechtsgronden;
    Vermeld ☐ Niet vermeld ☐
  4. De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6 lid 1, punt f AVG, is gebaseerd;
    Vermeld ☐ Niet vermeld ☐
  5. Indien van toepassing; de ontvangers of categorieën van ontvangers van de persoonsgegevens (dit zijn personen of organisaties aan wie de verwerkingsverantwoordelijke persoonsgegevens verstrekt, bijvoorbeeld een salarisadministratiekantoor, belastingdienst, clouddienst, etc.);
    Vermeld ☐ Niet vermeld ☐
  6. Indien van toepassing; dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie (zo ja, welke aanvullende maatregelen zijn getroffen);
    Vermeld ☐ Niet vermeld ☐
  7. De bewaartermijn van de persoonsgegevens, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
    Vermeld ☐ Niet vermeld ☐
  8. Informatie omtrent de rechten van betrokkenen;
    Vermeld ☐ Niet vermeld ☐
  9. Wanneer de verwerking op toestemming is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken;
    Vermeld ☐ Niet vermeld ☐
  10. Dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
    Vermeld ☐ Niet vermeld ☐
  11. Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
    Vermeld ☐ Niet vermeld ☐
  12. Het bestaan van geautomatiseerde besluitvorming, en indien dit bestaat; nuttige informatie over de onderliggende logica, het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
    Vermeld ☐ Niet vermeld ☐
  13. Alle overige informatie welke benodigd is om een transparantie verwerking te waarborgen (dit dient verwerkingsverantwoordelijke zelf vast te stellen).

Even belangrijk als de feitelijke inhoud van de privacyverklaring is dat de informatie duidelijk is (geen vage termen) en te onderscheiden moet zijn van andere niet-privacy gerelateerde informatie (zoals contractbepalingen of algemene gebruiksvoorwaarden). De informatie moet begrijpelijk zijn voor een gemiddeld persoon uit de doelgroep (bijvoorbeeld het verschil tussen kinderen en beroepsprofessionals) en makkelijk vindbaar zijn. Hieraan voldoe je door een privacyverklaring op te nemen in je website, vaak in de footer, en hiernaar te verwijzen.

Als voorbeeld kun je hier de CookieInfo privacy verklaring inkijken.

Wat is een privacy beleid?

De Autoriteit Persoonsgegevens gebruikt de term privacy beleid in het kader van artikel 24 AVG. Op grond van dit artikel is een verwerkingsverantwoordelijke verplicht maatregelen te treffen om aan te tonen dat wordt voldaan aan elk van de beginselen en vereisten zoals uiteengezet in de AVG: de zogenoemde ‘verantwoordingsplicht’ (accountability).

Uit dit artikel volgt ook dat voor het in kaart brengen van de genomen maatregelen, de verwerkingsverantwoordelijke in bepaalde gevallen verplicht is om een gegevensbeschermingsbeleid, oftewel een privacy beleid op te stellen. Dit is in feite een nadere uitwerking van de verantwoordingsplicht.

De verwerkingsverantwoordelijke is verplicht een privacy beleid op te stellen als dat in verhouding staat tot de verwerkingsactiviteiten. Hierbij moet rekening gehouden worden met de aard, de omvang, de context en het doel van de gegevensverwerking.

Privacy beleid niet verplicht, maar…

Ook al is de verwerkingsverantwoordelijke niet verplicht om een privacy beleid te hebben, is het toch aan te raden om een privacy beleid op te stellen om te voldoen aan de verantwoordingsplicht.

Zo toon je als organisatie aan dat je voldoet aan de AVG.

Bovendien maakt een privacy beleid het mogelijk dat elke medewerker zijn of haar verantwoordelijkheid kent bij het verwerken van persoonsgegevens en erop attent is conform de vereisten van de AVG te werken. Het vermindert daarmee risico’s, zoals bijvoorbeeld een data lek.

Anders dan de hiervoor besproken privacyverklaring, die gericht is aan betrokkenen (degenen wiens persoonsgegevens worden verwerkt), is een privacy beleid bedoeld als handleiding voor de medewerkers in de organisatie die met persoonsgegevens werken.

De Autoriteit Persoonsgegevens adviseert het privacy beleid te publiceren om op die manier aan betrokkenen inzichtelijk te maken hoe de organisatie met persoonsgegevens omgaat. Maar of dat aan te raden is kun je afvragen. Een privacy beleid zal namelijk vaak ook bedrijfsgevoelige informatie bevatten. De betrokkenen worden via een privacyverklaring ten behoeve van de informatieplicht al geïnformeerd over de gegevensverwerking. 

Een tweede verschil in vergelijking met de privacyverklaring is dat de AVG niet precies aangeeft wat in een privacy beleid moet staan. Mocht je een privacy beleid willen opstellen, dan kun je onderstaande punten opnemen.

Privacy beleid AVG opstellen – checklist

Wanneer je een privacy beleid volgens AVG wilt opstellen kun je rekening houden met onderstaande punten.

  1. Een introductie waarin o.a. wordt aangegeven waarom voldoen aan de privacyregeling binnen de organisatie belangrijk is;
    Vermeld ☐ Niet vermeld ☐
  2. Het doel en het toepassingsbereik van het privacy beleid;
    Vermeld ☐ Niet vermeld ☐
  3. Uitleg van begrippen (bijvoorbeeld persoonsgegevens, datalekken, doorgiftemechanisme);
    Vermeld ☐ Niet vermeld ☐
  4. Wat zijn de uitgangspunten/beginselen van de AVG en hoe wordt daarmee rekening gehouden;
    Vermeld ☐ Niet vermeld ☐
  5. De door de AP in haar rapport genoemde drie ‘verplichte onderdelen’ van het gegevensbeschermingsbeleid (die overigens niet als zodanig staan vermeld in artikel 24 AVG):
    – Een omschrijving van de (categorieën van) persoonsgegevens;
    – Een beschrijving van de doeleinden van de gegevensverwerking;
    – Een beschrijving van de rechten van betrokkenen;

    Vermeld ☐ Niet vermeld ☐
  6. Een beschrijving van de functies en verantwoordelijkheden, bijvoorbeeld op basis van het RAS(C)I-matrix
    Vermeld ☐ Niet vermeld ☐
  7. Toezicht en handhaving (wie monitort het beleid, wat zijn de consequenties bij niet-naleving van het beleid)
    Vermeld ☐ Niet vermeld ☐

In het privacy beleid kan vervolgens gerefereerd of direct gelinkt worden naar de verschillende gegevensbeschermings- en privacy beleidsstukken, (bijvoorbeeld het beleid voor de rechten van betrokkenen, het data lek-, bewaartermijnen- en beveiligingsbeleid) die zijn ontworpen om privacy en gegevensbescherming in een organisatie te borgen, zodat het privacy beleid-document een compleet beeld geeft van het beleid van de verwerkingsverantwoordelijke voor het beschermen van persoonsgegevens.

Let op: Het niet voldoen aan de verantwoordingsplicht kan door de AP worden gesanctioneerd met een boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, in het geval deze hoger is.

Privacyverklaring en Privacy beleid het verschil en conclusie

Hoewel onder de AVG met de term privacyverklaring (privacy statement) in feite iets anders wordt bedoeld dan met de term privacy beleid (privacy policy), wordt in de praktijk het onderscheid tussen deze termen nog vaak met elkaar verward. In principe is dit geen ramp en niet fout, mits de verwerkingsverantwoordelijke maar op de juiste manier aan zijn informatieplicht (artikel 12-14 AVG) en verantwoordingsplicht (artikel 24 AVG) voldoet en niet bijvoorbeeld zijn privacy beleid ten behoeve van zijn verantwoordingsplicht op de website zet en daarmee denkt ook te hebben voldaan aan de informatieplicht aan betrokkenen.

Cookieverklaring

In een cookieverklaring neem je op welke cookies je website plaatst. Omdat de cookieverklaring veel informatie bevat, wordt deze doorgaans als losse pagina opgenomen in je website.

Je verwijst er dan naar vanuit je privacyverklaring.

Omdat 30% van je de in gebruik zijnde cookies op je website maandelijks verandert, is het wenselijk om een cookieverklaring te gebruiken die automatisch wordt opgesteld en wordt bijgehouden.

Voorbeeld cookieverklaring - CookieInfo
Voorbeeld Cookieverklaring – CookieInfo

Dit wordt mogelijk gemaakt in combinatie met een cookie scanner. Deze identificeert alle aanwezige cookies en trackers in een website. Cookies worden ingedeeld in de juiste categorie (Noodzakelijk, functioneel, marketing, statistisch).

Deze indeling wordt vervolgens automatisch overgenomen en gepresenteerd in een cookieverklaring.

Dat scheelt een hoop tijd en voorkomt dat onjuiste cookies al geladen worden voordat er consent (toestemming) is gegeven voor het plaatsen van cookies.

Bekijk hier een voorbeeld van de CookieInfo cookieverklaring. Deze is automatisch opgesteld.

Om alles een beetje overzichtelijk te houden op je website, kun je het beste naar jouw cookieverklaring linken vanuit de privacy policy. Beide bevatten veel tekst en zo is voor je website bezoeker het verschil gelijk duidelijk.

Onderstaande tekst hebben wij bijvoorbeeld opgenomen in onze privacyverklaring. Er wordt vervolgens gelinkt naar de automatisch opgestelde cookieverklaring.

“De website van CookieInfo maakt gebruik van cookies. We gebruiken cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over je gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die je aan ze hebt verstrekt of die ze hebben verzameld op basis van je gebruik van hun services.

Je kunt als bezoeker zelf bepalen hoe je met cookies wilt omgaan. Hier vindt je onze Cookie verklaring, daar kun je ook je toestemming aanpassen of intrekken.” Bekijk hier een voorbeeld van een automatisch opgestelde cookieverklaring.

Wil je meer lezen over teksten die je kunt gebruiken voor je cookie melding of verklaring? Kijk dan ook even bij het artikel de beste tekst voor een cookiemelding.

De AVG en cookies

Wil je meer weten over de AVG en cookies? In onderstaande artikel lees je er meer over.

Artikel 1-4 over de definities van de in de verordening gebruikte termen,

Artikel 5-11 over het doel van de verordening,

Artikel 12-20 over de rechten van personen met betrekking tot privacy en gegevens,

Artikel 24-31 over de verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker,

Artikel 37-39 over de vereiste voor een functionaris voor gegevensbescherming,

Artikel 44-46 over de overdracht van gegevens uit de EU,

Artikel 82-83 over de boetes en straffen voor niet-naleving.

Mocht je naar aanleiding van dit blog vragen hebben? We horen graag van je.

Team CookieInfo.


Disclaimer

De informatie in dit blog artikel rondom privacy beleid, privacyverklaring en cookieverklaring hebben we geschreven op basis van onze ervaringen. Het is geschreven om je te informeren, maar geen juridisch advies. Heb je vragen over je eigen beleid of verklaringen, neem dan contact op met een jurist of een van de CookieInfo juridische partners.