Is jouw website privacy proof?

Dit is een gastbijdrage van ICTRecht.

Meer omzet, zichtbaar zijn op social media en bekendheid genereren bij de klant, dat zijn allemaal belangrijke onderwerpen die spelen bij websites. Maar er is meer dan dat. De klant van nu is kritisch, niet alleen wat betreft de aankoop en levertermijn van een product, maar de klant geeft ook meer om zijn of haar privacy. Dat is niet gek als je je bedenkt hoeveel persoonsgegevens er rondzwerven bij allerlei soorten organisaties. Maar wat moeten organisaties dan regelen op het gebied van privacy? In dit artikel lees je daar meer over. 

Privacy- en cookieverklaring

Laten we bij het begin beginnen. Organisaties zijn verplicht om betrokkenen (bijvoorbeeld websitebezoekers, klanten, maar ook sollicitanten) te informeren over de verwerking van persoonsgegevens. Dit gebeurt in een privacy- en cookieverklaring. Dat betekent dat organisaties moeten uitleggen voor welke doeleinden persoonsgegevens worden verwerkt, wat de wettelijke grondslag is en hoelang gegevens bewaard blijven. Ook zal uitgelegd moeten worden naar welke derde partijen de persoonsgegevens worden doorgestuurd. Het is niet noodzakelijk om de bedrijfsnaam te vermelden, een categorie zoals IT-dienstverleners of betalingsdienstverleners is voldoende. 

Ook over het gebruik van social media buttons en cookies dient geïnformeerd te worden. Wat betreft de cookies geldt dat aangegeven moet worden wat voor soort cookies (functioneel, analytisch, marketing etc.) worden gebruikt en van welke cookiedienstverleners de cookies afkomstig zijn. 

Kortom, in een privacy- en cookieverklaring dient de volgende informatie te staan: 

• Identiteit en contactgegevens van de organisatie
• Contactgegevens van de functionaris voor gegevensbescherming, indien de organisatie een FG heeft 
• Verwerkingsdoeleinden 
• Grondslagen 
• Categorieën van ontvangers 
• Doorgifte van persoonsgegevens naar een derde land 
• Bewaartermijnen 
• Rechten van betrokkenen, waaronder het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens
• Informatie over geautomatiseerde besluitvorming (inclusief profilering) 
• Naam + privacyverklaring van social media platform
• Naam + privacyverklaring + land (+ passende waarborg) + soort cookie + uitleg van het cookie + bewaartermijn van cookie 

Welke persoonsgegevens een organisatie verwerkt, hoeft niet in de privacy- en cookieverklaring te staan. In het kader van transparantie is het wel verstandig om betrokkenen te informeren welke persoonsgegevens er worden verwerkt. 

Cookiebanner

Het gebruik van cookies is voor organisaties erg waardevol. Zo kun je achterhalen welke pagina’s goed worden bezocht, in welke product een consument geïnteresseerd is en natuurlijk kunnen gerichte advertenties worden getoond. Er kan van alles uit de kast worden gehaald om de consument over te halen om een aankoop te doen. 

Wanneer cookies worden gebruikt op een website, dan is daar in de meeste gevallen toestemming voor nodig. Toestemming wordt gevraagd via een zogenaamde cookiebanner. Voor functionele cookies en analytische cookies mits privacyvriendelijk ingesteld, hoeft geen toestemming gevraagd te worden. Voor vergaande analytische cookies, marketing of tracking cookies zal een webshop wel toestemming moeten vragen aan de websitebezoeker. Geeft de websitebezoeker geen toestemming, dan mogen die cookies ook niet geplaatst worden. 

Het vragen van toestemming gaat niet altijd goed. Vaak zijn analytische en marketing- of tracking-cookies vooraf aangevinkt. Dit is niet toegestaan. Het is aan de websitebezoeker om zelf toestemming te geven, door middel van het aanvinken van een vakje of door te klikken op een “accepteer knop”. Daarnaast moet uit de cookiebanner volgen wat voor soort cookies er worden gebruikt. Het moet namelijk voor de websitebezoeker wel duidelijk zijn waar eigenlijk toestemming voor wordt gegeven.  

Contactformulieren en nieuwsbrieven

Op veel websites staan contactformulieren. Wil je meer informatie over een product of dienst, dan kun je het contactformulier invullen. In het contactformulier worden natuurlijk persoonsgegevens achtergelaten, denk aan een naam en contactgegevens. Anders kan het bedrijf jou later ook niet contacteren. Soms wordt er te veel informatie uitgevraagd, denk aan adresgegevens. Die zijn in principe niet nodig. Wees erop bedacht dat persoonsgegevens “need to have” zijn in plaats van “nice to have”. 

Daarnaast kun je je op veel websites aanmelden op de nieuwsbrief. Sommige klanten vinden het fijn om een nieuwsbrief te ontvangen, zo zijn ze op de hoogte van de laatste producten en aanbiedingen. Anderen zien nieuwsbrieven als spam. Wanneer een organisatie nieuwsbrieven wil versturen, dan is daar in principe toestemming voor nodig. Zorg ervoor dat de toestemmingsvraag juist geformuleerd is.

Verwerkingsregister

Het verwerkingsregister is een verplicht nummer uit de Algemene verordening gegevensbescherming. Eigenlijk is het register een overzicht van wat de organisatie doet met persoonsgegevens. Het verschil met de privacyverklaring is dat je in het register ook informatie over medewerkers (als je die hebt) opneemt, dus welke persoonsgegevens je van hen verwerkt. Dat vermeld je niet in een privacyverklaring die op de website staat. Het verwerkingsregister kan opgevraagd worden door de toezichthouder. Het bevat de volgende informatie: 

• Naam en contactgegevens van de webshop en eventueel de FG (functionaris gegevensbescherming)
• Verwerkingsdoeleinden
• Categorieën persoonsgegevens en betrokkenen
• Categorieën van ontvangers 
• Doorgifte van persoonsgegevens naar een derde land 
• Bewaartermijnen
• Beveiligingsmaatregelen 

Privacy op orde? 

Het lijkt veel, maar ga er even goed voor zitten en breng in kaart wat er allemaal speelt binnen de organisatie. Klanten hechten steeds meer waarde aan privacy. En elke organisatie wil toch een tevreden klant? Hulp nodig of wil je juist laten zien dat privacy op orde is binnen de organisatie? Dat kan, neem gerust contact met mij op. 

Dit gastartikel werd geschreven door Beryl Hetharia.