Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

De privacyverklaring: vijf voorbeelden hoe het NIET moet!

26 juni 2013 Door

Juridisch Product

U bent wettelijk verplicht uw klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens u verzamelt en met welk doel. Informeren gebeurt meestal via een privacyverklaring.

Websites die persoonsgegevens verwerken zijn verplicht om de betrokkenen hierover te informeren. Dit kan in de vorm van een privacyverklaring (of privacy policy, privacy statement etc.). Aan een dergelijke informatieverstrekking zijn enkele wettelijke eisen gekoppeld.

Bezoekers van de website moet bijvoorbeeld duidelijk gemaakt worden waarom er persoonsgegevens verzameld worden, welke persoonsgegevens er verzameld worden en hoe dat gedaan wordt. Toch blijkt in de praktijk vaak dat een privacyverklaring niet voldoet aan de wet omdat er bepalingen ontbreken of omdat er bepalingen in staan die in strijd zijn met de wet.

Vijf voorbeelden, gevonden op verschillende websites, om te laten zien hoe het niet moet:

1. In een privacyverklaring kan niet om toestemming gevraagd worden

Een privacyverklaring is bedoeld om bezoekers te informeren over de omgang met persoonsgegevens. De informatievoorziening kan niet gebruikt worden om toestemming te verlenen:

Wij gebruiken uw persoonsgegevens om u op de hoogte te houden van nieuwe aanbiedingen en acties. Door de website te gebruiken gaat u akkoord met onze privacy verklaring

Zo moet het dus niet. Voor het versturen van commerciële e-mails is expliciete toestemming van de ontvanger nodig (tenzij het om soortgelijke producten gaat en de ontvanger al klant is). Expliciete toestemming kan worden gegeven door een lege checkbox aan te bieden die bezoekers aan kunnen vinken.

2. Wie zijn die zorgvuldig geselecteerde derden dan?

Het versturen van commerciële e-mails gebeurt vaak door de partij die de e-mailadressen op rechtmatige wijze heeft gekregen, bijvoorbeeld doordat personen een bestelling geplaatst hebben. Het kan echter interessant zijn om naar deze e-mailadressen ook mailings van derde partijen te sturen:

Wij gebruiken uw e-mailadres om de bestelling af te handelen en om u op de hoogte te stellen van onze nieuwste aanbiedingen en die van zorgvuldig door ons geselecteerde derden

Buiten het feit dat dit onvoldoende is om toestemming te verkrijgen, daar is het aanvinken van een vakje voor nodig, is de term ‘zorgvuldig door ons geselecteerde derden’ ook niet duidelijk genoeg. Deze geselecteerde derden moeten bij naam genoemd worden. Niet alleen in de privacyverklaring, maar ook op het moment dat de desbetreffende persoon zijn toestemming geeft door het aanvinken van een vakje.

3. Delen van gegevens met derden

Het is een lucratieve handel, maar het zonder toestemming delen van persoonsgegevens met derden is in beginsel niet toegestaan. Behalve indien de derden direct betrokken zijn bij het uitvoeren van de overeenkomst (bijvoorbeeld PostNL) of indien een wettelijk voorschrift dat verplicht. De volgende bepaling is echter veel te ruim:

Speciale gevallen zijn bijvoorbeeld rechtmatige verzoeken daartoe van autoriteiten, dagvaardingen of gerechtelijke bevelen, handelingen om schade of fraude op te sporen of te voorkomen, of handelingen om de veiligheid van ons netwerk en onze diensten te garanderen.

De bedoeling van deze bepaling is vast goed. Mocht de politie het ons verplichten, dan geven wij uw persoonsgegevens af. Maar verwoord dat dan ook zo. Zoals het er nu staat kan ik een dagvaarding opstellen en geeft de eigenaar van de privacyverklaring de persoonsgegevens van zijn klanten aan mij af. Iedereen kan een dagvaarding opstellen, maar bijna niemand heeft recht op de persoonsgegevens.

4. Gebruik van de persoonsgegevens

Persoonsgegevens mogen alleen gebruikt worden voor het doel waarvoor ze gegeven zijn. Als ik een bestelling plaats bij een webwinkel dan mag die webwinkel mijn gegevens alleen voor afhandeling daarvan gebruiken. Soms wordt dit doel echter verruimd:

Zoals reeds eerder vermeld kunnen wij persoonsgegevens die door ons worden verwerkt, uitwisselen met onze groepsmaatschappijen en u persoonsgegevens combineren met gegevens die zijn verzameld in het kader van uw aankoop of gebruik van producten of diensten van ons of onze groepsmaatschappijen, waaronder ook via cookies verzamelde surfgegevens.

Zo werkt het niet. Dit is niet toegestaan zonder toestemming. Mijn gegevens mogen alleen gebruikt worden om het bestelde product bij mij af te leveren. Ze mogen niet zonder toestemming gedeeld worden met derden zoals groepsmaatschappijen (tenzij daar een gerechtvaardigd belang voor is, maar die zou ik niet kunnen verzinnen) om ze vervolgens ook nog eens te gaan combineren met mijn surfgegevens die verzameld worden via cookies (waar ik waarschijnlijk ook nooit toestemming voor gegeven heb).

5. Recht op inzage en meer

Na het verstrekken van persoonsgegevens aan bijvoorbeeld een webwinkel heb ik verschillende rechten met betrekking tot deze gegevens. Deze rechten moeten in een privacyverklaring uitgelegd worden en mogen niet beperkt worden:

U heeft recht op inzage in uw persoonsgegevens, hiervoor kunt u contact met ons opnemen

Prima, ik heb inderdaad recht op inzage van mijn persoonsgegevens. Maar ik heb ook recht op het verbeteren, aanvullen, wijzigen, afschermen of zelfs verwijderen van mijn persoonsgegevens. Binnen vier weken dient op een dergelijk verzoek gereageerd te worden. Een webwinkel kan, als verantwoordelijke voor de persoonsgegevens, hier wel een redelijke vergoeding tegenover stellen (maximaal enkele euro’s) maar de vraag is of dit klantvriendelijk is.

Aan het omgaan met persoonsgegevens worden strenge eisen gesteld. Het is belangrijk om bij het verzamelen van persoonsgegevens verantwoordelijkheid te nemen en te voldoen aan deze strenge eisen. Het College Bescherming Persoonsgegevens (nu Autoriteit Persoonsgegevens) heeft een handleiding voor het omgaan met persoonsgegevens opgesteld. Het voldoen hieraan komt het vertrouwen van de consument ten goede, tenzij allerlei overheden in de data gaan snuffelen. Uiteraard neemt dit niet de verplichting weg om een privacyverklaring te hebben.

> Bekijk al onze privacyadviezen & -diensten

 

Juridische supermarkt JuriDox

Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw privacyverklaring en andere juridische documenten opstellen.

> Probeer het zelf

Peter Kager

Manager privacy

Als juridisch adviseur staat Peter opdrachtgevers bij op het gebied van privacy, cookies, e-commerce, consumentenrecht en webdevelopment. Hoewel het juridische aspect hierbij centraal staat, maakt Peter dagelijks de koppeling met de praktische kant door het opstellen van adviezen en overeenkomsten, het begeleiden van samenwerkingen en het geven van trainingen en lezingen. Deze werkzaamheden combineert hij met zijn rol als manager van het privacyteam van ICTRecht.