Privacy verklaring opstellen

Door ArnoudEngelfriet op 24 maart 2008

Het was al een hele tijd verplicht, maar pas nu Google het ook is gaan eisen, wordt het voor veel mensen actueel: de privacyverklaring. Wat moet je daar nu mee als Netter?

Een privacyverklaring is, kort gezegd, een toelichting over wat je met persoonsgegevens van bezoekers en klanten doet. Veel mensen denken dat als een site een privacyverklaring heeft, het wel goed zit met hun privacy. Maar dat is niet waar. Een privacyverklaring zegt alleen wat je doet met persoonlijke gegevens van anderen. En je mag heel veel van de privacywetgeving, zolang je maar duidelijk aangeeft wat je doet. In sommige gevallen moet je expliciet toestemming vragen.

Persoonsgegevens

Persoonsgegevens zijn alle gegevens die je tot een natuurlijk persoon kunt herleiden. Dat wordt heel breed uitgelegd: niet alleen gegevens waarmee iemand geïdentificeerd kan worden (bijvoorbeeld naam, adres, e-mail, telefoonnummer), maar ook het IP-adres van zijn computer en zelfs een foto van die persoon zijn persoonsgegevens. Het gaat dus niet alleen om databanken met adresgegevens; ook een recensie van een acteur valt onder de definitie van ‘persoonsgegeven’ (van die acteur).

Elke denkbare handeling met persoonsgegevens valt onder de Wet Bescherming Persoonsgegevens. Opslaan, verzenden, ontvangen, bewerken, doorsturen, publiceren of wat dan ook. Laat je mensen een contactformulier invullen, of vraag je zelfs maar om een e-mailadres, dan verwerk je al persoonsgegevens. Ook als het een Hotmail-adres is waarvan jij niet kunt zien wie er achter zit.

De wet is hier heel streng in: een gegeven is een persoonsgegeven zodra het theoretisch mogelijk is om, in samenwerking met anderen, te achterhalen welke persoon er achter het gegeven zit. Via de rechter kun je Hotmail laten vertellen welk IP-adres gebruikt werd om in te loggen op dat account, en hetzelfde kun je doen bij de provider die dat IP-adres beheert.

Gebruik van persoonsgegevens uitleggen

Dat verwerken mag allemaal best, maar je moet wel uitleggen aan je bezoeker wat je allemaal doet met die gegevens. En daar is dus de verplichte privacyverklaring voor.

Het belangrijkste aan de verklaring is dat je zo duidelijk en concreet mogelijk aangeeft welke gegevens je verzamelt en voor welk doel. Bijvoorbeeld “wij verzamelen alleen IP-adressen ten behoeve van statistische analyse van bezoekersgedrag” of “wij verkopen uw e-mailadres aan direct marketingbedrijven zodat die u wekelijks mails met mogelijk relevante aanbiedingen kunnen sturen”.

Zolang je de persoonsgegevens alleen zelf gebruikt, is het genoeg om onderaan elke pagina een link naar de privacyverklaring te hebben. Je hoeft gebruikers dan niet expliciet te vragen of ze akkoord zijn. Ga je persoonsgegevens publiceren op je site of aan anderen geven, dan heb je altijd toestemming nodig. Denk aan het laten zien van gebruikers die nu online zijn, het tonen van namen en e-mailadressen in profielen of het doorgeven van clicktrails aan je adverteerders. Gelukkig is dat makkelijk te regelen: laat mensen bij het registreren of aanmelden op je site een vakje aanvinken waarin staat “Ik ben akkoord met de verwerkingen zoals beschreven in de privacyverklaring”, en maak dat laatste woord een link naar de privacyverklaring.

Welke dingen zou je nu in je privacyverklaring moeten bespreken? Hieronder noem ik de meest voorkomende gevallen.

Webbezoek

Het lijkt triviaal, maar elk bezoek aan je website levert persoonsgegevens op. Inderdaad, het IP-adres van de computer die de webpagina opvraagt. Dat wordt bijgehouden in de logfiles, die weer verwerkt worden tot allerlei statistieken. Allemaal persoonsgegevens. Geen enkel probleem, maar je moet het wel even noemen. Wat doe je met die gegevens? Alleen statistieken? Of deel je individuele clicktrails ook met anderen? Dat mag je dan even uitleggen.

Ook het plaatsen van een cookie of webbeacon op iemands PC is een verwerking van persoonsgegevens. Via het cookie (of een session-ID in de URL) kun je precies bijhouden welke pagina’s iemand bezoekt. Als je cookies, sessie-ID’s in URLs of webbeacons gebruikt, moet je dat dus apart melden en toelichten waarom je die gebruikt en wat je gaat doen met de kennis over iemands sessie op jouw site.

Zoekopdrachten

Mocht je van plan zijn om ingevoerde zoekopdrachten te bewaren samen met IP-adressen, zeg dat dan in je privacyverklaring. Het is in veel gevallen trouwens net zo makkelijk om geen IP-adres op te slaan, maar een andere identifier te gebruiken die niet meer te herleiden is tot een IP-adres. Gebruik bijvoorbeeld de MD5 hash van het IP-adres. Dan heb je nog steeds een uniek getal voor elke zoekopdracht, maar het is niet meer mogelijk om te achterhalen welke bezoeker de opdracht intypte.

Contactformulieren en -adressen

Ook het ontvangen van een ingevuld contactformulier of zelfs maar een e-mailtje is een verwerking van persoonsgegevens. Ook hier weer: natuurlijk mag dat, maar meld even wat je gaat doen met de gegevens die de afzender invult. Zeker als je meer gaat doen dan alleen een antwoord sturen. Waarschijnlijk bewaar je de vragen en antwoorden bijvoorbeeld in een archief, al was het maar de map Verzonden berichten van je e-mailprogramma.

Nieuwsbrieven en andere mailings

Natuurlijk heb je het abonneebestand voor je nieuwsbrief netjes via dubbele opt-in opgebouwd. Dan hoef je alleen nog maar onder elke mailing instructies te geven hoe mensen zich af kunnen melden van je nieuwsbrief. In je privacyverklaring kun je dan volstaan met te melden dat je de adressen opslaat en gebruikt voor het verzenden van de nieuwsbrief.

Wil je meer doen met dat bestand, dan moet je expliciet toestemming vragen bij het aanmelden. Denk aan het verkopen van de adressen aan anderen, of zelfs maar aan het sturen van mails om ze te wijzen op andere leuke aanbiedingen of een nieuwe sectie op je site.

Registratie van gebruikers

Als je mensen wilt laten reageren of bijdragen op je site, is het verstandig om ze zich eerst te laten registreren. Dat komt mooi uit, want dan kun je ze meteen melden wat je met de gegevens die ze invullen gaat doen. Bijvoorbeeld dat hun voor- en achternaam bij elk bericht getoond wordt. Dat moet je in de privacyverklaring opnemen, maar het is wel zo netjes om het gewoon in 1 zin bij het invulveld te vermelden.

Bij bijzondere persoonsgegevens, zoals religie, seksuele geaardheid of politieke voorkeur, moet je expliciet toestemming vragen om die gegevens te mogen verwerken. En het moet mogelijk zijn om je te registreren zonder die gegevens in te vullen.

Advertentieviews en -clicks

Ok, hier zat je waarschijnlijk op te wachten. :) Het doorgeven van advertentieviews of -clicks aan de adverteerder is ook iets dat je moet vermelden in je privacyverklaring. Welke gegevens geef je door en hoe herkenbaar zijn de bezoekers daarbij? Worden advertenties afgestemd op mijn klikgedrag of voorkeuren? Kan ik dit op een of andere manier voorkomen als bezoeker, bijvoorbeeld door cookies uit te zetten?

Gebruik je een dienst zoals Google AdSense, Adpepper of Webgains om je advertenties te plaatsen, dan moet je expliciet melden dat derden de persoonsgegevens verzamelen en hoe ze dat doen. Een probleem daarbij is natuurlijk dat jij weinig controle hebt over wat Google allemaal doet. De enige optie is dan om te verwijzen naar de Google privacy policy rondom AdSense en te eisen dat de gebruiker daarmee akkoord gaat.

Google heeft sinds kort in haar voorwaarden voor AdSense opgenomen dat je in je privacyverklaring moet vermelden dat:


  • Google cookies kan plaatsen en lezen op op de browser van je gebruikers

  • Google webbeacons kan gebruiken om informatie van je gebruikers te verzamelen

  • dit alles met cookies gebeurt, met een uitleg hoe een gebruiker cookies kan blokkeren.

Google Analytics

Hetzelfde geldt als je Google Analytics gebruikt. Je moet jouw bezoekers informeren over wat Google gaat doen met Analytics-gegevens. Google verplicht je hier ook toe in hun TOS voor Analytics.

Inzage en correctie

Tot zover was het allemaal mededelen. Maar een privacyverklaring bevat nog één belangrijk ander deel. Je bezoekers en gebruikers hebben het recht om inzage te vragen in de persoonsgegevens die jij over hen bewaart. Je moet ze dan laten zien welke gegevens je verzamelt en waarom. Met een goede privacyverklaring heb je daar al voor een groot deel aan voldaan, want daarin staat wat je verzamelt en gebruikt en voor welk doel.

Blijken er fouten te staan in de gegevens die jij hebt verzameld, dan kan de persoon in kwestie je verplichten deze te corrigeren. Bij webstatistieken zal dit niet snel spelen, maar publiceer je ergens iemands e-mailadres, dan kan hij eisen dat je dat aanpast.

Hetzelfde geldt voor verwijderen. Een bezoeker kan op elk moment eisen dat jij de persoonsgegevens die op hem betrekking hebben, verwijdert uit je bestanden. Tenminste, als die gegevens niet (meer) nodig zijn voor het doel waarvoor jij ze verzamelt.

Er moet dus op zijn minst in de privacyverklaring een contactmogelijkheid aangegeven staan waar mensen deze verzoeken heen kunnen sturen. Een veelgebruikt adres daarvoor is ‘privacy@jedomein’.

Bottom line

Een privacyverklaring zou niet veel werk moeten zijn. Door simpelweg in duidelijke taal uit te leggen wat je verzamelt en met welk doel, voldoe je aan de wet, mag je AdSense blijven gebruiken en ben je eerlijk naar je klant toe over wat er met zijn persoonsgegevens gebeurt. Ga er dus even voor zitten met bijvoorbeeld de privacyverklaring van Applinet als voorbeeld, of huur een gespecialiseerd jurist om dit te laten regelen.


Je kunt een reactie, achterlaten of een trackback van uw eigen site.

9 Reacties op “Privacy verklaring opstellen”

  1. Elja

    Weer een bruikbaar artikel, Arnoud!
    Ik heb gelijk een privacy pagina aan mijn website toegevoegd. :)

    Reageer
  2. MacSeth

    Op websitejudge staat ook een privacyverklaring maar ik zet daar toch echt niet expliciet in dat Google Cookies plaatst… ik heb het over derden in de privacyverklaring en daar behoort Google ook onder.

    In ieder geval: prima artikel weer Arnoud :)

    Reageer
  3. Yorian

    Ik lees dat google nu ook is gaan eisen dat je een privacy verklaring opstelt. Hoe vind google dat dan eigenlijk, of beter gezegd hoe controleren ze dit. Of snap ik het nu niet helemaal meer…

    Reageer
  4. ArnoudEngelfriet

    @Yorian: ik neem aan dat ze dat steekproefgewijs controleren, net als bij spam of MFA sites. Of misschien mag je tzt daar ook wel over klikken als concurrent.

    Reageer
  5. Landeweerd

    Beste Arnoud,
    Interessant om te lezen. Ik vroeg me af, is het voldoende om op al mijn sites een link te plaatsen met de tekst Privacy Statement naar de privacy pagina van mijn bedrijfssite? Zodat ik dus niet dezelfde privacy statement op 10 plekken hoef te plaatsen?

    Reageer
  6. ArnoudEngelfriet

    Dat is meer dan voldoende! Je hoeft echt niet de tekst van de privacyerklaring overal te copy&pasten. Je moet mensen er alleen op wijzen dat je die hebt.

    Bij plekken waar je mensen vraagt om persoonlijke gegevens, zou ik een korte vermelding plaatsen met een extra verwijzing. “Uw e-mailadres wordt alleen gebruikt om u een reactie te kunnen sturen en wordt niet doorverkocht of aan een mailinglijst doorverkocht. Zie verder onze privacyverklaring.” Dat is iets netter dan alleen maar de algemene link naar de privacyverklaring.

    Reageer
  7. Dude

    Er schijnen regels te zijn dat je privacy-gerelateerde gegevens niet zomaar naar buiten de EU mag exporteren.

    Omdat de mensen hier nogal ondernemend zijn:

    - hoe zit het als je je businessje naar een zonnig oord buiten de EU verplaatst?
    - hoe zit het als je gebruik maakt van een server van buiten de EU?

    Moet je naar deze mogelijkheid verwijzen in je privacy verklaring??

    Reageer
  8. ArnoudEngelfriet

    Klopt, Dude. Je moet expliciet toestemming vragen van mensen voordat je persoonsgegevens (zoals profielen, clickstreams etcetera) opstuurt naar bedrijven uit de VS. Daarom wil Google dat iedereen dat stukje tekst in hun privacyverklaring zet.

    Als je als bedrijf buiten de EU gevestigd bent, heb je in principe niets te maken met Europese regels. Alleen, als je dan zaken wilt doen in de EU, kunnen Europese instanties toch proberen je regels op te leggen. Op straffe van boycots of inbeslagname van je Europese bezittingen. Google heeft dus een probleem met dat datacentrum van ze in Groningen, want als ze mijn privacy schenden, kan ik de schade verhalen via openbare verkoop van de computers daar. :)

    Arnoud

    Reageer
  9. finalwebsites

    Een kompleet handleiding voor het opzetten van een privacy statement. Juist voor Adsense publisher is het belangrijk hier zo snel als mogelijk een statement op hun website(s) te plaatsen.

    Ik heb er uit dezelfde reden een gratis privacy template op mijn weblog geplaatst.

    Reageer

Reageer!