Wat is de fundamentele noodzaak voor websites met betrekking tot privacy?

Elke open website heeft een privacyverklaring nodig, omdat dit wettelijk verplicht is en verbonden is aan artikel 12 en 13 van de AVG. Dit dient voor transparantie en rechtsgeldige conformiteit.

Welke drie hoofdgedeelten bevat een typische privacyverklaring?

Een privacyverklaring bestaat uit webpagina-specifieke informatie (zoals de verantwoording en contactgegevens van de DPA), algemene wettelijke vereisten en informatie over specifieke gegevensverwerkingsactiviteiten, zoals nieuwsbrieven of Google Maps.

Wat zijn de rechten van betrokkenen volgens de AVG?

De betrokkenen hebben het recht om inzicht te krijgen in hun gegevens, onjuistheden te corrigeren, onder bepaalde voorwaarden gegevens te laten verwijderen, de verwerking te beperken, bezwaar te maken tegen de verwerking en hun gegevens in een doorzoekbare vorm te bewaren.

Kan ik mijn toestemming tot gegevensverzameling te allen tijde intrekken?

Ja, u heeft het recht om uw toestemming voor de verwerking van uw gegevens te allen tijde in te trekken. Dit heeft gevolgen voor de toekomstige verwerking van uw gegevens door ons.

Op welke juridische grondslag kan de verwerking van mijn gegevens plaatsvinden bij het gebruik van een website?

De juridische grondslag kan bijvoorbeeld artikel 6 lid 1 sub a (toestemming), b (uitvoering van overeenkomst) of c (voorovereenkomst) van de AVG zijn. De concrete grondslag hangt af van het specifieke geval.

Waarom is het belangrijk om een privacyverklaring te hebben voor tools en apps?

Omdat veel tools en apps data verzamelen en verwerken, schrijft de AVG dat aanbieders een duidelijke privacyverklaring moeten verstrekken. Deze verklaart hoe de data wordt gebruikt en welke rechten de gebruikers hebben.

Wat moet er in een privacyverklaring voor tools worden opgenomen?

Een privacyverklaring moet minimaal de naam van de dienst, de verstrekker, het doel van de verwerking, het rechtmatige grondslag voor de verwerking, de ontvangers van de gegevens en informatie over risico's zoals gegevensoverdrachten naar derdenland bevatten. Daarnaast moet er een optie zijn om cookies te weigeren.

Wie is verantwoordelijk voor het opstellen van een privacyverklaring?

De verantwoordelijkheid voor het opstellen van een privacyverklaring ligt bij de aanbieder van het hulpmiddel of de dienst. In veel gevallen moet dit ook een gegevensbeschermingsbeheerder (DSB) zijn, die over de nodige expertise en middelen beschikt om de eisen van de AVG te voldoen.

Sichere KI, digitaler Datenschutz & Website-Compliance

Op elke openbare website moet een privacybeleid beschikbaar zijn. Naast standaardteksten moet het ook uitleg bevatten over alle gebruikte tools en alle gegevensverwerkingen. Het privacybeleid alleen is echter niet voldoende.

Inleiding

De gegevensbeschermingsverklaring op websites is verplicht. Dit volgt uit Artikel 12 en Artikel 13 AVG en de feit dat netwerkadressen persoonsgegevens zijn, te weten. Bijna elke website biedt een aanbod. Als een website bijna leeg is, heeft die misschien geen gegevensbeschermingsverklaring nodig. Alleen de aanduiding van het eigen (bedrijfs-)activiteitsveld is voldoende om de aanbodskenmerk te vervullen (zie voorbeeld, waar ik denk dat de gegevensbeschermingsverklaring ontbreekt). Zie ook mijn onderzoek naar het begrip van het verzamelen van gegevens en de daaruit voortvloeiende verantwoordelijkheid.

Uit juridische overwegingen is het beter om de pagina voor de gegevensbescherming te noemen met de benaming „Gegevensbeschermingsinformatie“ of „Gegevensbeschermingsinformatie“. In dit artikel wordt in plaats daarvan de eerder niet zo kritische benaming „Gegevensbeschermingsverklaring“ gebruikt. Zie hiervoor het vonnis van 27 december 2018 – 23 U 196/13.

Uit ervaring weet ik dat gevaren (klacht, waarschuwing, boete) voornamelijk niet uit privacyteksten voortkomen, maar uit rechtens ongeoorloofd ingeschakelde tools, ontbreken SSL-attesten, niet functionerende toestemmingsteken, te veel gevraagde gegevens in formulieren of ontbreken links naar de privacyverklaring.

Iets uitleggen betekent niet dat het is toegestaan.

Neem het voorbeeld van huurmoordenaars:

Je huurt een huurmoordenaar in en legt je intentie uit aan het slachtoffer. Maakt dat het beter?
Vaak misverstanden over gegevensbeschermingsverklaringen

Het mag duidelijk zijn dat het opstellen van een privacybeleid voor iedereen mogelijk en vaak zinvol is, je hebt daarvoor geen advocaat voor nodig. De risico's liggen elders. Als je je website wilt beveiligen, denk dan eerst aan andere dingen dan de privacyverklaring. Bovendien beweer ik dat ook advocaten deze informatieteksten vaak niet echt goed op orde hebben. Onder meer ligt dat eraan dat voor tools van Google of Facebook vaak niet helder is, en velen het niet precies weten, welke gegevensverwerking door wie plaatsvindt.

Uit ervaring kan ik beweren dat voor het opstellen van goede privacyteksten voor tools in de eerste plaats technisch begrip en in de tweede plaats een basisbegrip van het recht van pas komen. Bovendien is kennis over de opbouw van privacyteksten nuttig, omdat alle teksten van dit soort dezelfde grondstructuur hebben.

Inhoud van het privacybeleid

De inhoud van de informatie over gegevensbescherming kan in drie delen worden opgesplitst:

Website-specifieke gegevens: Inleidings tekst, noemen van verantwoordelijke partij, noemen van DSB, contactinformatie
Algemene verplichte gegevens: Deze zijn altijd gelijk (Staan: 09.08.2021)
Gegevens over specifieke gegevensverwerkingen op de website: Relevant bij gebruik van nieuwsbrieven, formulieren of tools zoals Google Maps

Algemene verplichte gegevens

Eerst moeten een reeks van algemene informatie worden gegeven. Daarbij horen:

Betroffenenrechten: Standaardteksten
Rechtelijke grondslagen: Standaardteksten (kunnen ook aanvullend specifiek worden vormgegeven)
Verantwoordelijke instantie: Wie is er verantwoordelijk voor de bescherming van persoonsgegevens op deze website en hoe kan men contact met hen opnemen?
Opneming van contactgegevens van de gegevensbeschermingsfunctionaris: Kan eventueel achterwege blijven

De rechten van de betrokkenen kunnen als volgt worden uitgelegd.

Rechten van betrokkenen

De rechten van betrokkenen volgen uit Artikel 15 GDPR. Hier een voorbeeldtekst voor de noemingen van rechten van betrokkenen. Vraag evt. aanpassen. De tekst mag alleen met een danklink naar https://dr-dsgvo.de worden gebruikt.

Je hebt het recht:

Overeenkomstig Artikel 15 GDPR kunt u van mij informatie vragen over de persoonsgegevens die ik verwerk. U kunt in het bijzonder vragen stellen over de doeleinden waarvoor deze gegevens worden verwerkt, de categorieën van persoonsgegevens die zijn opgenomen, de categorieën van ontvangers waaraan uw gegevens zijn of zullen worden bekendgemaakt, de geplande duur van de opslag, het bestaan van een recht om correcties aan te brengen, gegevens te wissen, de verwerking te beperken of bezwaar te hebben, het bestaan van een klachtenrecht, de herkomst van uw gegevens, indien deze niet door mij zijn verzameld, en over het bestaan van automatische besluitvorming, inclusief profiling, en eventueel informatieve details hiervan;
in overeenstemming met Art. 16 GDPR, onmiddellijk te verzoeken om correctie van onjuiste of onvolledige persoonlijke gegevens die door mij zijn opgeslagen;
te eisen dat uw persoonsgegevens die door mij zijn opgeslagen, worden gewist in overeenstemming met art. 17 GDPR, tenzij de verwerking noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en informatie, voor de nakoming van een wettelijke verplichting, om redenen van algemeen belang of voor de vaststelling, uitoefening of verdediging van juridische claims;
in overeenstemming met Art. 18 GDPR, om beperking van de verwerking van uw persoonsgegevens te verzoeken indien de juistheid van de gegevens door u wordt betwist, de verwerking onrechtmatig is maar u weigert deze te verwijderen en wij de gegevens niet langer nodig hebben, maar u deze wel nodig heeft voor de vaststelling, uitoefening of verdediging van rechtsvorderingen of u bezwaar heeft gemaakt tegen de verwerking in overeenstemming met Art. 21 GDPR;
in overeenstemming met Art. 20 GDPR, om uw persoonsgegevens die u mij hebt verstrekt te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat of om te verzoeken dat deze worden doorgegeven aan een andere verwerkingsverantwoordelijke;
Overeenkomstig Artikel 7 lid 3 GDPR kunt u uw eenmalige toestemming voor mij altijd terugnemen. Dit heeft tot gevolg dat wij de verwerking van de gegevens, die op deze toestemming berustte, in de toekomst niet meer mogen voortzetten en
Krachtens Art. 77 GDPR heeft u het recht om een klacht in te dienen bij een toezichthoudende autoriteit, onverminderd enig ander administratief of gerechtelijk rechtsmiddel. In de regel kunt u contact opnemen met de toezichthoudende autoriteit van uw gebruikelijke woon- of werkplaats of de plaats van de vermeende inbreuk als de betrokkene van mening is dat de verwerking van persoonsgegevens die op hem/haar betrekking hebben, in strijd is met de Algemene verordening gegevensbescherming van de EU (GDPR).

Wettelijke basis

Rechtelijke grondslagen moeten algemeen worden genoemd. Bovendien kan per gegevensverwerkingstraject een specifieke benaming plaatsvinden, mits deze niet duidelijk is. Hier een voorbeeldtekst. De tekst mag alleen met een danklink naar https://dr-dsgvo.de gebruikt worden.

Wij verwerken de gegevens die worden gegenereerd wanneer u onze website bezoekt of gebruik maakt van de aangeboden contactmogelijkheden in overeenstemming met de bepalingen van de Europese Algemene Verordening Gegevensbescherming (GDPR) en de Duitse Federale Wet Bescherming Persoonsgegevens (BDSG). Afhankelijk van de kwestie waarvoor u via de website contact met ons opneemt, zijn hiervoor verschillende rechtsgrondslagen. De specifieke rechtsgrondslag voor gegevensverwerking hangt af van de context en het doel waarvoor wij uw gegevens ontvangen. In de regel resulteert de rechtsgrondslag voor gegevensverwerking uit de onderstaande opties:

Art. 6 I lit. a GDPR dient als rechtsgrondslag voor verwerkingen waarvoor we toestemming verkrijgen voor een specifiek verwerkingsdoel. Toestemming die is verleend, kan op elk moment worden ingetrokken.

Indien de verwerking van persoonsgegevens noodzakelijk is voor het nakomen van een overeenkomst waarbij de betrokken persoon partij is, zoals bij verwerkingsprocessen die nodig zijn voor de levering van goederen of het verstrekken van een andere prestatie of tegengestelde prestatie, dan berust de verwerking op Artikel 6 lid 1 onder b GDPR. Hetzelfde geldt voor zodanige verwerkingsprocessen die noodzakelijk zijn voor het uitvoeren van voorovereenkomstige maatregelen, bijvoorbeeld in gevallen waarin er vragen worden gesteld over onze producten of diensten.

Onderworpen zijn we aan een wettelijke verplichting waardoor de verwerking van persoonsgegevens noodzakelijk wordt, zoals bijvoorbeeld voor het nakomen van belastingverplichtingen, waarop Art. 6 I lid c GDPR.

Laatstelijk kunnen verwerkingsprocessen op Artikel 6 lid f GDPR berusten. Op deze rechtsgrondslag berusten verwerkingsprocessen die door geen van de hiervoor genoemde rechtsgronden worden gedekt, wanneer de verwerking noodzakelijk is voor het behartigen van een gerechtvaardigd belang van ons bedrijf of van een derde, mits de belangen, grondrechten en grondwettelijke vrijheden van de betrokkenen niet in het geding zijn.
Voorbeeldtekst voor het citeren van rechtsgrondslagen

Het is niet mogelijk om een website te bezoeken zonder dat er persoonlijke gegevens worden verwerkt. Daarom mag niet worden gesteld dat het mogelijk is de website te bezoeken zonder persoonsgegevens te verstrekken.

Informatie over speciale gegevensverwerkingen

Voor elke verwerking van gegevens op de website moeten concrete informatie verstrekken. Zie ook Artikel 15 GDPR. Veel voorkomende secties zijn:

Serverlogboeken: De meeste servers registreren toegangslogboeken. Dit zou uitgelegd moeten worden
Cookies: De meeste websites zetten cookies in. Technisch noodzakelijke cookies, zoals de aanmeldverwerving bij WordPress-websites of cookies van VG Wort, zijn ongevaarlijk. Om vragen te voorkomen, moeten ook ongevaarlijke cookies worden uitgelegd. Let op dat cookies geen tekstbestanden zijn, hoewel het vaak zo wordt beweerd
Formulieren: Geef aan wat met de gegevens gebeurt. In het algemeen worden de gegevens alleen gebruikt om de vraag te beantwoorden en eventuele navraag of verdere communicatie die hieruit voortvloeit
Nieuwsbrief: Geef aan hoe de gegevens (minstens de e-mailadres) verwerkt worden. Noem de mogelijkheid om af te melden (Abbestellen van de nieuwsbrief). Zet een dienst voor nieuwsbrieven in, noem hem. Zorg ervoor dat er geen tracking-pixel aanwezig is in nieuwsbrief-mails (en als het wel zit, vraag eerst om toestemming)
Andere gegevensverzamelingen: Biedt een terugroepdienst aan via de website of behandel sollicitaties op de website of verwerk gegevens op de website voor andere, nog niet genoemde redenen, moet dit worden uitgelegd.
Gereedschap: Voor elk ingezette tool moet in het bijzonder worden uitgelegd:
- Naam van het gereedschap
- Aanbieder
- Doel
- Gebruikte cookies. Per cookie: naam, levensduur, doel
- Verzamelde gegevens
- Plaatsen van gegevensverzameling, als deze ook buiten het hoofdkantoor (land) van de aanbieder plaatsvinden
- Ontvangers van gegevens, als er naast de aanbieder nog anderen zijn
- Mogelijke risico's, zoals gegevensoverdracht naar onveilige derde landen
- Bestaande garanties, zoals een orderverwerkingscontract
Externe bestanden: Ook voor beelden, lettertypen, video's, hulpprogramma's e.d. moet uitgelegd worden wat het met zichzelf heeft.

Als u een contract hebt met een leverancier van een hulpmiddel of externe bestanden, kan het in individuele gevallen toegestaan zijn om dit niet aan te geven.

Hoe weet je eigenlijk welke tools en externe bestanden op je website zijn geïntegreerd? Hier zijn een paar mogelijke antwoorden. Slechts één ervan is correct:

Je raadt
U vraagt uw internetbureau
U vraagt uw functionaris voor gegevensbescherming
Je vraagt een advocaat
Ze proberen je website van dichtbij te bekijken
Je gebruikt een tool die automatisch je hele website scant. Als je meer beveiliging wilt, betaal je iets meer voor een extra handmatige controle

Voor talrijke tools en cookies is er eenvoudigweg geen tekst over gegevensbescherming. Als de aanbieder van een dienst of zijn exacte bedrijfsnaam onbekend is, kan geen ordelijke verklaring plaatsvinden. Vaak zijn de doelen van cookies onbekend of worden vermoed. Is dit het geval, dan is een rechtsconform gebruik van tools die deze cookies beheren niet mogelijk, omdat de vereiste mededelingen over het cookie niet kunnen plaatsvinden. ([1])

Voor analysewerkzeugen en andere tools die gegevens verzamelen, moet de gebruiker een opt-outmogelijkheid worden geboden. De toestemming moet eveneens voor de meeste tools worden gevraagd.

Typische structuur van een gegevensbeschermingstekst voor een hulpmiddel

Een mogelijke tekst over gegevensbescherming voor Google Maps moet laten zien hoe een tekst over gegevensbescherming voor een tool opgebouwd kan zijn. Alstublieft letten op dat hier de informatie over cookies ontbreekt, omdat niemand buiten Google lijkt te weten welke cookies voor welk concreet doel gebruikt worden!

Voorbeeldtekst voor gegevensbescherming (cookie-informatie ontbreekt!). Afbeelding is automatisch vertaald.

De tekst behandelt verschillende aspecten:

Naam van de dienst (Tools). Voor nieuwsbrieven zou simpelweg Nieuwsbrief worden genoemd
Aanbieder van de service: Volle bedrijfsnaam inclusief adres en gangbare landaanduiding: USA begrijpt iedereen wel. Andere ISO-codes zijn niet te begrijpen
Doel: Waarom wordt de dienst gebruikt?
Rechtsbasis: Deze kan wel of niet specifiek op een dienst gericht zijn of in een algemene sectie zonder dienstverband worden aangegeven. Vaak volgt de rechtsbasis ook uit de manier waarop een dienst wordt geïntegreerd. Met een toestemmingsvraag is de rechtsbasis de toestemming, zonder dergelijke vraag resteert meestal alleen het gerechtvaardigde belang. Een specifiek aangegeven rechtsbasis zou dan ook moeten kloppen. Wie "toestemming" schrijft en een dienst zonder toestemming laadt, roept problemen op.
Specifieke gegevens: Wat moet de gebruiker nog weten?
Gegevensverwerking: Wat gebeurt er met de gegevens die bij het ophalen en gebruik van het hulpmiddel worden gegenereerd?
Datenontvanger: Wieveel personen kunnen de gegevens ontvangen? In het onzekere geval wordt een hoger niveau aanbevolen
Nennung van Risiken: Bij gegevensoverdrachten naar onzekere derde landen leest een geheim agent graag mee. Dat moet uitgelegd worden
Meer informatie: Een link naar de privacyverklaring van de aanbieder kan helpen, maar ook schaden. De door Google beschikbaar gestelde informatie is regelmatig niet geschikt om transparantie te creëren. Bij een verlinking moet vooral op een Duits document worden gewezen.

Als u nu overlegt hoe de gegevens voor Google Maps gemaakt moeten worden, zult u zien dat dit niet mogelijk is. Alleen al de opgave van het hiervoor genoemde doel "De kaart gebruiken we om onze locatie aan te geven." zou aanleiding moeten zijn tot de vraag: Wordt de kaart überhaupt nodig en wat is dan hun nut?

Verdere aanbevelingen

De uitleggen moeten eenvoudig te begrijpen zijn, en dat geldt voor de gemiddelde burger zonder technische of juridische kennis. Dit volgt uit Artikel 12 GDPR.

Het is in principe niet verboden om de gegevensbeschermingsverklaring op te nemen als een aparte sectie in het imprint. Ik raad je echter aan om de verklaring op een eigen pagina onder te brengen of ten minste via een eigen link van elke pagina af te roepen.

De Link naar de privacyverklaring moet binnen maximaal twee klikken bereikbaar zijn. Bij responsief ontwerp voor smartphones mag de link niet alleen via een hamburgermenu getoond worden, maar ook altijd zichtbaar in de voetnoot. Ook op zo genoemde geheime login-pagina's moet een link aanwezig zijn.

De link naar de privacyverklaring moet eindeutig benoemd zijn, dus met Privacyverklaring, Privacy o. dgl. Update: aanbevolen worden de aanduidingen Privacy-informatie of Privacy-instructies, om juridische problemen te voorkomen.

Noem de gegevensbeschermingsbeambte (DSB) in de gegevensbeschermingsverklaring. Heeft u geen eigen DSB, dan moet u de verantwoordelijke voor de gegevensverwerking noemen.

Elke onderneming moet een DSB aanstellen die meer dan 19 medewerkers regelmatig met de verwerking van persoonsgegevens belast. Dat is bijna altijd het geval als deze genoemde aantallen medewerkers een computerarbeplek hebben. Ondernemingen met meer dan 250 medewerkers moeten ook een DSB bestellen.

Daarnaast geldt de meldplicht van de DSB voor veel bedrijven, die regelmatig persoonsgegevens verwerken (zie art. 37 lid 1 b GDPR). Tot deze categorie behoren naar mijn mening alle bedrijven met een openbare website, omdat al sinds het jaar 2017 netwerkadressen als persoonsgegevens gelden.

Te uitgebreid privacybeleid

De vraag rees vaak of te veel tekst in het privacybeleid een probleem what en of men zelfs bang moest zijn voor een waarschuwing. Mijn mening hierover:

Structureer je privacybeleid in duidelijk herkenbare secties
Als er een paar teksten te veel zijn, is dat geen probleem
Overdrijf het alleen niet
Als je onlangs een tool hebt gebruikt, maar dat niet meer doet, verwijder de tekst dan pas als je zeker weet dat er geen caches actief zijn
Als u van plan bent om binnenkort een tool te gebruiken (contactformulier, nieuwsbrief, script, analysetool, enz.), voeg dan vooraf de tekst over gegevensbescherming toe

Vooral het laatste punt maakt duidelijk dat je geen problemen kunt krijgen door te veel tekst (als het binnen de perken blijft): Hoe kan iemand bewijzen dat hij niet van plan is om binnenkort een aangegeven maar nog niet ingezette tool te gebruiken? Bovendien kan een enkele pagina met gegevensbeschermingsinformatie ook voor meerdere websites tegelijk worden bewaard, ook al raad ik dit om verschillende redenen af. Teksten over gegevensbescherming moeten echter alleen aanwezig zijn als ze echt nodig zijn. Anders vormen ze een onnodig doelwit.

Engels privacybeleid

Als een website zich ook richt op andere markten dan Duitsland, Oostenrijk en Zwitserland, dan moet de privacyverklaring op zijn minst ook in het Engels bestaan. Voor de Duitse markt moet een Duitstalige verklaring worden verstrekt.