Als ondernemer, zelfstandige of KMO kom je onvermijdelijk in aanraking met persoonsgegevens en dus ook met privacywetgeving. De Europese AVG-verordening (Algemene Verordening Gegevensbescherming) en de Belgische privacywetgeving verplichten je om zorgvuldig om te gaan met persoonsgegevens. Een van de belangrijkste instrumenten daarbij is een privacybeleid. Maar wat moet er nu precies in zo’n document staan? In dit artikel zet ik de 5 belangrijkste punten voor je op een rij.
1. Wees transparant over welke gegevens je verzamelt
Een privacybeleid moet duidelijk maken welke persoonsgegevens je verzamelt. Denk bijvoorbeeld aan:
- naam en contactgegevens
- Identiteitsgegevens zoals geboortedatums
- e-mailadressen
- facturatiegegevens
- IP-adressen of surfgedrag
- Gevoelige gegevens zoals gegevens over iemands gezondheid
- …
Het is belangrijk (en verplicht) dat je dit helder en volledig opsomt, zodat klanten exact weten welke gegevens je bijhoudt.
2. Leg uit waarom je deze gegevens gebruikt
De verwerkingsdoeleinden zijn cruciaal. Je moet kunnen aantonen waarom je bepaalde gegevens nodig hebt. Voorbeelden zijn:
- gegevens gebruiken om een bestelling te leveren
- e-mailadres opslaan om een nieuwsbrief te versturen (mits toestemming)
- surfgedrag analyseren om je website te verbeteren
Volgens de AVG mag je gegevens enkel verwerken met een geldige rechtsgrond, zoals o.m. toestemming, contractuele noodzaak of een wettelijke verplichting.
3. Informeer over bewaartermijnen
Veel ondernemers vergeten te vermelden hoelang bepaalde gegevens bewaard blijven. Toch is dit wettelijk verplicht. Zo kan je bijvoorbeeld aangeven dat facturatiegegevens 7 jaar bewaard worden (dit is immers een boekhoudkundige verplichting), terwijl een inschrijving op je nieuwsbrief stopt zodra iemand zich uitschrijft.
Een duidelijke bewaartermijn toont aan dat je gegevens niet langer bijhoudt dan nodig.
4. Beschrijf de rechten van je klanten en bezoekers
Elke persoon van wie je gegevens verwerkt, heeft rechten onder de AVG. In je privacybeleid moet je uitleggen hoe klanten deze rechten kunnen uitoefenen, zoals:
- het recht op inzage: weten welke gegevens je bijhoudt
- het recht op correctie: foutieve gegevens laten aanpassen
- het recht op vergetelheid: gegevens laten verwijderen
- het recht op bezwaar: zich verzetten tegen bepaald gebruik van hun gegevens
Vermeld ook hoe iemand contact met je kan opnemen om deze rechten uit te oefenen.
Daarnaast is het ook verplicht om de contactgegevens van de Belgische Gegevensbeschermingsautoriteit te vermelden.
5. Vermeld wie toegang heeft en hoe je gegevens beveiligt
Tot slot moet een privacybeleid uitleggen wie toegang heeft tot de gegevens en hoe je deze beveiligt. Denk hierbij aan:
- medewerkers die toegang hebben tot klantendata
- externe partijen zoals een boekhouder, cloudprovider, betaalplatform, etc. Zorg er ook voor dat je steeds duidelijke afspraken met hen sluit over de verwerking van gegevens van jouw klanten en/of bezoekers. Dit kan in een verwerkersovereenkomst.
- technische beveiligingsmaatregelen zoals SSL-certificaten, sterke wachtwoorden en versleuteling
Waarom een goed privacybeleid belangrijk is
Een duidelijk en volledig privacybeleid is niet alleen een wettelijke verplichting, maar ook een teken van professionaliteit en betrouwbaarheid. Klanten willen weten wat er met hun gegevens gebeurt, en door transparant te communiceren wek je vertrouwen. Bovendien vermijd je juridische problemen en mogelijke boetes bij controles.
Bij de Digitale Jurist helpen we Belgische ondernemers, zelfstandigen en KMO’s met het opstellen van een privacybeleid op maat van jouw onderneming en activiteiten dat voldoet aan de AVG-verordening en de Belgische privacyregels. Zo ben je zeker dat je wettelijk in orde bent en dat je klanten correct geïnformeerd worden.
Heb je nood aan advies in verband met privacy en gegevensverwerking, wil je een privacybeleid laten opstellen of zoek je een goede juridische partner? Neem contact met ons op. We staan je graag bij!
