Laat je privacy policy en cookie policy opstellen door Mr. Franklin
Hoe maak je je privacy policy & cookie policy GDPR-compliant? En wanneer moet je deze policy’s opstellen? De privacy-experts van Mr. Franklin zorgen er graag voor dat jouw onderneming juridisch in orde is en blijft.
Wanneer geldt GDPR voor ondernemingen?
General Data Protection Regulation (of kortweg GDPR) geldt voor iedere overheidsinstantie, instelling of onderneming die persoonsgegevens verzamelt of verwerkt. Met “persoonsgegevens” worden alle persoonlijke gegevens bedoeld waarmee natuurlijke personen kunnen worden aangeduid. Denk bijvoorbeeld aan een naam, e-mailadres, IP-adres of telefoonnummer. Het concept “verwerking” krijgt ook een ruime invulling: daarmee wordt onder andere het verzamelen, vastleggen, structureren en wijzigen van de persoonsgegevens bedoeld.
Al bij al valt een bedrijf op de dag van vandaag snel onder het toepassingsgebied van de GDPR-normen. Een klantenkaart waarbij klanten gegevens moeten invullen, een contactformulier waar klanten hun e-mailadressen kunnen achterlaten of andere manieren waarop contactinformatie van de gebruiker verzameld wordt - al deze zaken zorgen er al voor dat de GDPR-normen ook voor jouw onderneming gelden.
Verantwoordingsplicht
De GDPR legt iedere organisatie die persoonsgegevens verwerkt de verantwoordelijkheid op om aan te tonen dat de gegevensverwerking conform de privacywetgeving verloopt. Deze verantwoordingsplicht houdt onder meer in dat de gegevensverwerkende onderneming bepaalde maatregelen moet nemen, zoals bijvoorbeeld het bijhouden van een verwerkingsregister. Ook moet de onderneming goed kunnen motiveren waarom er al dan niet gekozen werd om een Data Protection Officer (DPO) aan te stellen, wanneer dit onduidelijk is of de onderneming in kwestie verplicht is om een beroep te doen op een DPO.
Opgelet: als gegevensverwerkende onderneming ben je verplicht verantwoording af te leggen over de verwerking van persoonsgegevens indien de toezichthoudende autoriteit (in België is dit de GBA) daar om vraagt. Zorg dus dat je als ondernemer aan de verantwoordingsplicht voldoet.
Transparantie
GDPR vereist dat de communicatie naar de betrokkenen toe in verband met de verwerking van hun persoonsgegevens transparant en begrijpelijk is. Onder meer houdt dit in dat alle mededelingen in verband met gegevensverwerking in duidelijke en eenvoudige taal moeten worden opgesteld.
Informatieplicht
Organisaties die onder GDPR vallen hebben bovendien ook een informatieverplichting. Dit is een van de belangrijkste principes van de GDPR. De informatieplicht houdt in dat je als ondernemer de natuurlijke personen wiens persoonsgegevens je verwerkt uitgebreid over de verwerking moet informeren.
In de praktijk is het plaatsen van een privacy statement of privacy verklaring de meest eenvoudige manier om aan deze verplichting te voldoen.
Intern privacy beleid
Een intern privacy beleid is een privacy gedragscode binnen een onderneming. Het intern privacy beleid speelt enerzijds de rol van een handleiding voor de medewerkers die met persoonsgegevens in aanraking komen, maar informeert anderzijds ook de werknemers omtrent de manier waarop de onderneming omgaat met de persoonsgegevens van haar medewerkers.
Dit kadert binnen de informatieverplichtingen die een onderneming heeft ten aanzien van de betrokkene wiens gegevens verwerkt worden, waaronder dus ook de medewerkers binnen een onderneming. Het opstellen van een intern privacy beleid is aldus een verplichting die volgt uit de GDPR.
Privacy policy
Privacy policy (ook wel een privacy verklaring of privacy statement genoemd) is een informatief document dat ter beschikking moet worden gesteld aan alle externe personen van wie persoonsgegevens verwerkt worden, zoals het cliënteel of de bezoekers van jouw website. Het is in alle gevallen verplicht om alle betrokkenen wiens persoonsgegevens verwerkt worden over de verwerking te informeren. Je kan aan deze verplichting voldoen door een privacy statement aan de gebruikers of klanten aan te bieden of op zijn minst de minimale informatie te verschaffen door te verwijzen naar een link van de uitgebreide privacy policy op de website.
De gebruiker of de klant moet aan de hand van jouw privacy policy kunnen beslissen om al dan niet gebruik te maken van jouw product of dienst, rekening houdend met de manier waarop jouw onderneming zijn of haar gegevens zal verwerken. Informatie die je als gegevensverwerkende onderneming aan je klanten of bezoekers verschaft moet bovendien duidelijk en transparant zijn.
Wat moet er in privacy statement staan?
De privacyverklaring die je online moet publiceren bevat op zijn minst de volgende gegevens:
Contactgegevens van de gegevensverwerkende organisatie
Rechtsgrond van de gegevensverwerking
Doel van de verwerking
Bewaartermijn van de verwerkte of verzamelde gegevens
Territoriale omvang van de gegevensverwerking
Op welke manier jouw onderneming voor de bescherming van verzamelde gegevens zal zorgen
Of er eventueel sprake is van de geautomatiseerde verwerkingen
Rechten van de personen wiens gegevens verwerkt worden
Het opmaken van een GDPR-conform privacy statement voor jouw website of webshop blijft enorm belangrijk. De boete die je riskeert indien je online platform niet in overeenstemming met de nieuwe privacyregels functioneert kan tot 4% van de omzet oplopen.
Cookie policy
Een cookie is een bepaalde hoeveelheid data die de server naar de browser van de gebruiker van een website stuurt. Dit is nodig om de browser (en dus ook de gebruiker) te herkennen de volgende keer dat dezelfde browser de website bezoekt. Bovendien helpt zo’n cookie ook bij te houden wat de gebruiker van bepaalde browser in het verleden op dezelfde website heeft gedaan.
Als je cookies (bijvoorbeeld first party cookies) of andere gelijkaardige trackers op jouw website plaatst en hiermee persoonsgegevens opgevraagd of opgeslagen kunnen worden, dan ben je verplicht om een cookie policy aan te nemen. Deze cookie policy moet dan ook op jouw website of applicatie gepubliceerd worden om aan de transparantieplicht te voldoen.
Wat moet er in de cookie policy vermeld worden?
Het cookiebeleid dat je op jouw website of app moet publiceren, bevat best ten minste volgende elementen:
Identiteit en de contactgegevens van de verwerkingsverantwoordelijke (eventueel ook de contactgegevens van de DPO)
Verschillende soorten cookies die door jouw website of app gebruikt worden
Het doel van de verwerking die in het kader van het gebruik van de cookies plaatsvindt
De werkingsduur van de cookies
Eventuele mogelijkheid voor derden om toegang te krijgen tot de cookies
De rechtsgrond van de verwerking
De bewaartermijn van de gegevens die via verschillende cookies worden ingezameld
De rechten die betrokkenen kunnen inroepen
De mogelijkheid om een klacht neer te leggen bij de Gegevensbeschermingsautoriteit
Mr. Franklin: jouw privacy-specialist
Zoals je ongetwijfeld al hebt gemerkt, is de GDPR-wetgeving tot in de details uitgewerkt. Het zijn dan ook vooral deze technische en vaak ingewikkelde details die het moeilijk maken om zelfstandig aan alle GDPR-normeisen te voldoen. Daarom doen de meeste ondernemers een beroep op privacy-experts: een ervaren specialist zorgt voor de GDPR-compliance van jouw bedrijf, zodat je juridisch in orde bent en blijft.
Mr. Franklin is een advocatenkantoor met een bijzondere expertise in privacywetgeving. Ons team telt ook drie gecertificeerde Data Protection Officers. Wij voorzien onder meer in DPIA-audits, penetration tests en begeleiding in het kader van ISMS-implementatie. Onze experts hebben daarnaast ruime ervaring met het opstellen van privacy policy en cookie policy voor bedrijven.
Reeds meer dan 250 ondernemingen zijn tevreden over onze service. We zorgen niet alleen voor transparantie in jouw dossier maar ook over onze kosten. Mr. Franklin biedt all-in-one pakketten tegen vaste prijzen om een GDPR- en veiligheidsbeleid op te stellen binnen jouw firma, waarbij ook jouw website of webshop GDPR-proof wordt gemaakt.
Contacteer ons
Neem gerust contact met ons op: we bekijken graag wat Mr. Franklin voor jouw bedrijf kan betekenen.
Olivier Sustronck
+32 486 27 53 05