top of page

Privacybeleid voor website - voorbeeld checklist van Mr. Franklin

Privacybeleid voor website - voorbeeld checklist van Mr. Franklin

Vandaag mag een privacybeleid niet ontbreken op een website. Het is niet alleen een handig middel om de bezoekers van jouw website te laten weten dat hun privacy belangrijk wordt geacht, maar een privacybeleid helpt ook om zware boetes te vermijden. Mr. Franklin geeft in dit artikel het voorbeeld met heel wat tips om jouw privacybeleid op orde te krijgen.


Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming, oftewel General Data Protection Regulation, is een Europese wet die de bescherming van privacy reguleert. Deze regelgeving is van toepassing op alle ondernemingen en overheidsdiensten waar persoonsgegevens verwerkt worden. De GDPR geeft een aantal rechten aan particulieren, maar tegelijkertijd moeten ondernemingen die persoonsgegevens verwerken heel wat verplichtingen naleven. 


Is een privacybeleid verplicht als mijn website persoonsgegevens verwerkt?

Is een privacyverklaring verplicht? Ja, van zodra jouw website persoonsgegevens verwerkt, moet je als onderneming een privacyverklaring opstellen en deze op de website in kwestie publiceren. 


Persoonsgegevens zijn gegevens die het mogelijk maken om een natuurlijke levende persoon te identificeren. Zo zijn telefoonnummers, namen of ip-adressen persoonlijke gegevens. Sommige gegevens brengen extra risico’s met zich mee - men noemt deze ook wel ‘gevoelige gegevens’ of ‘bijzondere persoonsgegevens’ - en worden aan nog strengere vereisten onderworpen. Denk bijvoorbeeld aan strafrechtelijke gegevens, medische gegevens of gegevens met betrekking tot religieuze overtuiging.


Met de term ‘verwerken’ doelt de wetgever op allerlei soorten handelingen met betrekking tot persoonsgegevens: zo is het louter verzamelen, categoriseren, bewaren of structureren van persoonsgegevens voldoende opdat GDPR van toepassing zou zijn op jouw website. 


De verplichting tot een privacybeleid maken, vloeit voort uit de transparantie- en informatieverplichtingen die door GDPR werden geïntroduceerd. 


De wettelijke verplichting tot informatie houdt in dat de betrokken persoon die jouw website bezoekt en wiens gegevens verwerkt worden, hiervan op de hoogte moet worden gebracht. Verder preciseert de transparantieverplichting dat de vereiste informatie op een duidelijke, begrijpelijke en transparante manier moet worden verstrekt. 


Sancties opgelegd door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (Gegevensbeschermingsautoriteit,  oftewel GBA) is de bevoegde Belgische gegevensbeschermingsautoriteit die toeziet op de bescherming van de privacy bij de verwerking van persoonsgegevens door ondernemingen. Zij ziet met andere woorden toe op de naleving van de Algemene Verordening Gegevensbescherming.

Kan de Autoriteit Persoonsgegevens een boete opleggen?

Ja, de Autoriteit Persoonsgegevens is bevoegd om boetes op te leggen aan ondernemingen die niet GDPR-compliant zijn. De GBA oordeelt als toezichthoudende autoriteit of de GDPR werd geschonden en kan vervolgens de inbreukmakende ondernemingen sanctioneren door het opleggen van administratieve boetes.


De inspectiedienst van de GBA kan een onderzoek starten naar aanleiding van een klacht of ook op eigen initiatief. Het is vervolgens de Geschillenkamer van de GBA die zal overgaan tot het eventueel opleggen van een geldelijke boete. 


Hoe hoog kunnen de boetes zijn?

De boetes die opgelegd worden door de Autoriteit Persoonsgegevens zijn administratieve geldboetes en kunnen vrij hoog oplopen. Bij overtredingen van de GDPR kan de GBA een boete opleggen van maximaal twintig miljoen euro of 4% van de wereldwijde omzet van het bedrijf, naargelang welk bedrag het hoogste resultaat geeft.


Op zoek naar een voorbeeld van het privacybeleid voor websites? Bekijk de checklist van Mr. Franklin

Ben je op zoek naar een goed voorbeeld van het privacybeleid van een website? Je kan alvast de privacy policy van Mr. Franklin eens bekijken. Wil je zelf de privacyverklaring voor jouw website proberen opstellen? De experts van Mr. Franklin hebben een handige checklist opgesteld die alle belangrijke vermeldingen bevat die je best in het privacybeleid van jouw webshop kan opnemen.  


Wat moet het privacybeleid van een website vermelden? 

  1. Contactgegevens van de organisatie achter de website

De GDPR-regelgeving bepaalt welke informatie verplicht in het privacybeleid moet worden vermeld. Onder meer moeten er de contactgegevens van de entiteit die de persoonsgegevens verzamelt in staan. Heeft jouw bedrijf een Data Protection Officer (ook wel functionaris gegevensbescherming genoemd) aangesteld, dan moeten zijn contactgegevens ook vermeld worden.


Bestaat jouw onderneming uit meerdere afdelingen, dan vermeld je best ook welke office verantwoordelijk is voor de verwerking van persoonsgegevens. 


2. Wat zijn de rechtsgrond, doel van de verwerking en bewaartermijn van de gegevens?

Drie belangrijke elementen die zeker niet in het privacybeleid van een website mogen ontbreken zijn: de rechtsgrond, het doel van de verwerking en de bewaartermijn van de gegevens. Alle drie moeten ze verplicht in een privacyverklaring worden opgenomen. 


Wat de rechtsgrond betreft, kan je in de GDPR-wetgeving een limitatieve lijst van zes rechtsgronden vinden waarop verwerking van persoonsgegevens gebaseerd kan zijn. 


Daarnaast vermeld je best de doelen waarvoor jouw onderneming gegevens verzamelt en verwerkt, evenals de bewaartermijn van deze gegevens. Werkt jouw bedrijf met variabele bewaartermijnen, dan moeten de criteria die gebruikt worden om deze termijnen te bepalen ook in de privacy policy worden opgenomen.


3. Welke passende technische en organisatorische maatregelen ter bescherming van verzamelde data werden er genomen?

Als onderneming achter de website moet je kunnen aantonen dat de website passende maatregelen neemt om de persoonsgegevens te beschermen. Als entiteit die persoonsgegevens verwerkt, moet je er namelijk niet alleen voor zorgen dat de integriteit van deze persoonsgegevens beschermd wordt, maar ook aantonen op welke manier dit gebeurt.


De persoonsgegevens mogen niet openbaar worden bekendgemaakt of zomaar naar andere entiteiten getransfereerd worden. Het is jouw plicht als gegevensverzamelende entiteit om een datalek te voorkomen. Het kan nuttig zijn om de maatregelen die jouw onderneming neemt om datalekken te vermijden kort in de privacyverklaring toe te lichten. 


4. De territoriale omvang van de verwerking

Zoals eerder gezegd is de Algemene Verordening Gegevensbescherming (GDPR) een Europeesrechtelijk initiatief. Dit wil zeggen dat er buiten de EU andere privacyregels gelden. Daarom moet de privacyverklaring van jouw webshop of website de gebruikers informeren over of je de persoonsgegevens ook buiten de Europese Unie zal verwerken (bijvoorbeeld door de samenwerking met entiteiten uit derde landen). 


Worden de persoonsgegevens met derden gedeeld die geen basis hebben in de Europese Unie, dan moet het privacy statement uitleggen welke bescherming de persoonsgegevens in deze niet-EU-landen genieten. 


5. Is er sprake van geautomatiseerde verwerkingen?

Maakt jouw website of webshop gebruik van geautomatiseerde besluitvorming, dan vermeld je dit ook best in de privacyverklaring. 


6. Licht de rechten toe van de identificeerbare natuurlijke persoon wiens gegevens verwerkt worden 

De GDPR-verordening voorziet ook in een aantal rechten voor de personen wiens gegevens verwerkt worden. Deze wet geeft onder andere het recht op inzage van de verzamelde persoonsgegevens en het recht om volledig uit alle databanken van de onderneming gewist te worden voor het leven. 


Het is aan jou als gegevensverwerkende entiteit om de gebruiker van jouw website over deze rechten in te lichten. De meest eenvoudige manier om de bezoekers van een website op de hoogte te brengen over hun rechten is via een vermelding in het privacybeleid. 


Laat het opstellen van het privacybeleid voor jouw website over aan de experts van Mr. Franklin

Mr. Franklin is een advocatenkantoor met een bijzondere expertise in gegevensbescherming en privacy. Ons team telt drie gecertificeerde DPO's met ruime ervaring bij tal van ondernemingen en overheden. 


We werden onder meer aangesteld als Data Protection Officer bij ondernemingen in de zorgsector, hostingbedrijven, online-advertentiebedrijven, ondernemingen in de juridische sector zoals advocatenkantoren, gerechtsdeurwaarderskantoren, notarissen en (toeleveranciers van) overheden. 


Onze aanpak

De legal consultants van Mr. Franklin proberen zoveel mogelijk te betekenen voor hun klanten, lees zeker de testimonials van onze klanten.. Wij staan voor een duidelijke en pragmatische aanpak, waarbij transparantie over de kosten een topprioriteit is. Maatregelen worden steeds in overleg met en op maat van jouw onderneming genomen, met veel aandacht voor jouw voorkeuren en noden.


Contacteer ons

 Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be

bottom of page