Veel webwinkels hebben al een privacyverklaring. Dat is geen overbodige luxe, aangezien steeds meer klanten er behoefte aan hebben te weten wat er wordt gedaan met de zwik aan gegevens die bij internettransacties gewoonlijk van hen worden gevraagd en automatisch opgeslagen. En terecht.
Behalve de hinder van ongevraagde reclames, schuilen er nog ernstiger gevaren in het op straat belanden persoonsgegevens. Bijvoorbeeld het vrij recente voorval in het Verenigd Koninkrijk, waarbij de bankgegevens van miljoenen Britten in handen van onbevoegden zijn geraakt, geeft duidelijk aan dat men geen paranode zonderling hoeft te zijn om zich druk te maken om zijn persoonsgegevens. Zowel bij webwinkeliers als bij hun klanten is dit bewustzijn echter relatief nieuw en nog niet iedereen weet goed hoe er op zorgvuldige wijze met persoonsgegevens kan worden omgesprongen en hoe dat goed kan worden gecommuniceerd. In deze blog vindt u de nodige tips & tricks voor een waterdicht privacybeleid en een vertrouwenwekkende verklaring.
Een goede privacyverklaring (of -statement of -policy, zo u wilt) kan een belangrijk hulpmiddel zijn om het vertrouwen van klanten te verkrijgen en/of te behouden. Een slechte verklaring waar zichtbaar weinig zorg aan is besteed, kan juist klanten kosten. Als een klant bijvoorbeeld weet of vermoedt dat u gegevens gebruikt op manieren die niet in de verklaring staan, is dat schadelijk, terwijl het noemen of uitsluiten van doeleinden waar klanten zelf wellicht nog niet eens aan hebben gedacht juist sterk bij kan dragen aan het vertrouwen.
Punten om niet te vergeten:
Het noemen van de Wet bescherming persoonsgegevens (Wbp) en dat u als een zorgvuldige verantwoordelijke en overeenkomstig de wet omgaat met gegevens van uw klanten.
Het specificeren van welke (soorten) gegevens worden verzameld, ten behoeve van exact welke doeleinden. Als bijvoorbeeld naam-, adres- en woonplaatsgegevens (NAW-gegevens) worden verzameld voor de levering en daarnaast de geboortedatum voor een eventuele kredietovereenkomst, geeft u deze specifieke doeleinden dan aan.
Aangeven of het IP-adres van de bezoeker wordt geregistreerd en zo ja, met welk(e) doeleinde(n). Geef ook aan of het IP-adres en eventueel daaraan gekoppelde gegevens aan derden worden verstrekt, ten behoeve van welke doeleinden en tegen welke voorwaarden.
Vermelden of er een nieuwsbrief of andere reclame wordt verzonden en daarbij tevens de manier om zich af te melden.
Geef ook bij voorkeur zoveel mogelijk van tevoren aan welke derden bij de uitvoering van de overeenkomst met uw klant in het bezit worden gesteld van welke (soorten) persoonsgegevens.
Vermelden of en hoe er cookies worden gebruikt en met welk doeleinde. Vermeld daarnaast of en hoe de gebruiker deze cookies (normaal gesproken) kan weigeren, uitschakelen en/of verwijderen.
Erop wijzen of een bezoeker via uw pagina op een pagina van een derde terecht kan komen, die een eigen privacy beleid kan voeren.
Vermelden dat de klant het recht heeft om periodiek bij u op te vragen welke gegevens u over hem bezit en om eventueel onjuiste gegevens te corrigeren.
Zorg bij het opvragen wel dat alleen het datasubject zelf de gegevens in handen kan krijgen. Stel daarom een goede authentificatieprocedure voor dit doeleinde op.
Zo mogelijk (per gegevenssoort) de bewaartermijn vermelden en onderbouwen waarom u deze termijn nodig acht.
Aangeven welke technische beveiligingsmaatregelen er zijn getroffen. Met name is het aan te raden om uw website met behulp van Secure Socket Layer (SSL) technologie te beschermen, in ieder geval op de paginas waar uw klant persoonsgegevens invoert, zoals NAW-gegevens of bankgegevens.
Aangeven of uw database/klantenbestand bij het College Bescherming Persoonsgegevens (CBP) is aangemeld. Zo ja, onder welk nummer met een link naar het CBP register. Zo nee, geef dan aan dat er vrijstellingen bestaan voor de meldingsplicht en geef aan onder welke u valt.
Vergeet tenslotte niet uzelf het recht voor te behouden om de privacyverklaring aan te passen. Ook is het verstandig om te vermelden dat wanneer u gegevens wilt gebruiken voor doeleinden die niet zijn vermeld, u toestemming zult vragen van de betrokkene (let wel: natuurlijk alleen wanneer u dat ook daadwerkelijk doet, of ten minste van plan bent dat te doen).
kunt u mij meer vertellen over dat geval in het VK alstublieft? Ons bedrijf daar is ook beschuldigd van het lekken van data. Onze server zat helemaal op slot, maar toch hebben we een boete gekregen van VISA... Daarom ben ik benieuwd naar dat geval dat u noemt!
Het geval waarop wordt gedoeld is omschreven op de volgende webpagina: http://tweakers.net/nieuws/55334/bankgegevens-miljoen-britten-via-ebay-verkocht.html. Veel meer dan daar te vinden is weet ik niet. Als u de boete wilt aanvechten of op uw situatie toegespitst advies, kunt u misschien contact opnemen met ICTRecht.