Privacybeleid voorbeeld: gratis AVG-template voor je website

Een privacybeleid op je website is geen keuze meer. Sinds de AVG in mei 2018 van kracht werd, moet iedereen die persoonsgegevens verwerkt (en dat doe je al snel: contactformulier, nieuwsbrief, Google Analytics) transparant zijn over wat er met die gegevens gebeurt. De boetes voor het ontbreken van een goede privacyverklaring lopen in Nederland in de duizenden euro’s.

Het goede nieuws: de meeste websites hebben een vergelijkbare tekst nodig. Hieronder vind je een kant-en-klaar voorbeeld dat je kunt kopiëren, aanpassen aan je eigen situatie en binnen tien minuten live hebt staan. Geen juristentaal, wel AVG-compliant.

Lees het wel even door voordat je het plakt. Wat je belooft in je privacybeleid, daar moet je je ook aan houden.

Wat moet er minimaal in een privacybeleid?

De Autoriteit Persoonsgegevens stelt een aantal duidelijke eisen. Een geldig privacybeleid bevat:

• Wie je bent (naam, KvK, adres, contact)
• Welke gegevens je verzamelt en via welke kanalen
• Waarom je die gegevens verzamelt (doel)
• Op welke grondslag je dat doet (toestemming, uitvoering overeenkomst, gerechtvaardigd belang, wettelijke plicht)
• Hoe lang je de gegevens bewaart
• Met wie je de gegevens deelt (verwerkers, derden)
• Welke rechten bezoekers hebben en hoe ze die uitoefenen
• Hoe je de gegevens beveiligt
• Dat bezoekers een klacht kunnen indienen bij de Autoriteit Persoonsgegevens

Mijn template hieronder dekt al deze punten. Je hoeft alleen de placeholders tussen [vierkante haken] in te vullen.

Belangrijk voordat je de template gebruikt

Dit is een algemeen template voor een gemiddelde Nederlandse MKB-website met standaard functionaliteit (contactformulier, nieuwsbrief, Google Analytics, eventueel een webshop). Heb je bijzondere situaties, dan moet je aanvullen:

• Verwerk je gezondheidsgegevens, religieuze voorkeuren of andere bijzondere persoonsgegevens? Neem een jurist in de arm.
• Werk je internationaal buiten de EU? Voeg een paragraaf over doorgifte naar derde landen toe.
• Heb je een Data Protection Officer (DPO) aangesteld? Vermeld dat dan.
• Gebruik je profilering of geautomatiseerde besluitvorming? Dat moet apart vermeld worden.

Voor een standaard website is onderstaande tekst ruim voldoende. Vervang [Bedrijfsnaam], [KvK-nummer], [Adres], [Telefoonnummer], [E-mailadres] en [Datum] door je eigen gegevens.

De template: kopieer en plak

Privacybeleid [Bedrijfsnaam]

Laatst bijgewerkt op [Datum]

[Bedrijfsnaam] hecht veel waarde aan de bescherming van jouw persoonsgegevens. In dit privacybeleid leggen we uit welke gegevens we verzamelen, waarom we dat doen, hoe lang we ze bewaren en welke rechten jij hebt. We houden ons aan de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG.

Wie is verantwoordelijk voor de verwerking?

[Bedrijfsnaam] is verwerkingsverantwoordelijke in de zin van de AVG.

• Naam: [Bedrijfsnaam]
• KvK-nummer: [KvK-nummer]
• Adres: [Adres]
• Telefoon: [Telefoonnummer]
• E-mail: [E-mailadres]

Welke gegevens verzamelen we en waarom?

We verzamelen alleen gegevens die nodig zijn om onze dienst uit te voeren of om je website-ervaring te verbeteren. Hieronder lees je per situatie welke gegevens dat zijn.

Contactformulier en e-mail. Vul je een contactformulier in of stuur je ons een e-mail, dan bewaren we je naam, e-mailadres, eventueel telefoonnummer en de inhoud van je bericht. We gebruiken die gegevens alleen om je vraag te beantwoorden. Grondslag: uitvoering van de overeenkomst of gerechtvaardigd belang. Bewaartermijn: maximaal 12 maanden na afhandeling.

Nieuwsbrief. Schrijf je je in voor onze nieuwsbrief, dan bewaren we je e-mailadres en voornaam. We gebruiken die gegevens om je nieuwsbrieven te sturen. Grondslag: jouw toestemming. Bewaartermijn: totdat je je uitschrijft. In iedere mailing vind je een afmeldlink.

Klantgegevens. Koop je iets via onze website of sluit je een overeenkomst af, dan bewaren we je factuurgegevens (naam, adres, e-mail, eventueel KvK en btw-nummer). Grondslag: uitvoering van de overeenkomst en wettelijke plicht (de fiscus verplicht ons administratie 7 jaar te bewaren).

Websitebezoek en cookies. We gebruiken Google Analytics (of een vergelijkbare tool) om te zien hoe bezoekers onze website gebruiken. Daarbij worden IP-adressen geanonimiseerd en worden geen gegevens gedeeld met derden voor marketingdoeleinden. Grondslag: gerechtvaardigd belang of toestemming (afhankelijk van je cookie-instellingen). Bewaartermijn: maximaal 14 maanden.

Cookies

Onze website plaatst cookies. Dat zijn kleine tekstbestandjes die op je apparaat worden opgeslagen. We gebruiken:

• Functionele cookies die nodig zijn om de website te laten werken. Hiervoor is geen toestemming nodig.
• Analytische cookies om anoniem bezoekersgedrag te meten. Hiervoor vragen we je toestemming via onze cookiebanner.
• Marketing- of trackingcookies die je surfgedrag volgen. Deze plaatsen we alleen na jouw expliciete toestemming.

Je kunt je cookievoorkeuren altijd aanpassen via de cookiebanner onderaan onze website of via de instellingen van je browser.

Delen we gegevens met derden?

We delen gegevens alleen met derden die ons helpen onze dienst te leveren, zoals onze hostingpartij, onze mailservice en onze boekhouder. Met al deze partijen hebben we een verwerkersovereenkomst afgesloten zoals de AVG dat vereist. We verkopen nooit persoonsgegevens aan derden.

Beveiliging

We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen. Onze website werkt met een SSL-certificaat, toegang tot klantgegevens is beperkt tot medewerkers die dat nodig hebben, en we werken met wachtwoordbeveiliging en tweefactorauthenticatie waar dat kan. Vermoed je toch dat er iets misgegaan is met de beveiliging? Neem dan contact met ons op.

Welke rechten heb je?

Onder de AVG heb je de volgende rechten:

• Recht op inzage in de gegevens die we over je bewaren
• Recht op rectificatie of aanvulling als de gegevens niet kloppen
• Recht op verwijdering (recht om vergeten te worden)
• Recht op beperking van de verwerking
• Recht op dataportabiliteit (ontvangen van je gegevens in een gangbaar formaat)
• Recht van bezwaar tegen verwerking
• Recht om een eerder gegeven toestemming in te trekken

Wil je een van deze rechten uitoefenen? Stuur een e-mail naar [E-mailadres]. We reageren binnen vier weken. Om te voorkomen dat we gegevens aan de verkeerde persoon verstrekken, kunnen we je vragen je identiteit te bevestigen.

Klacht indienen

Ben je het niet eens met hoe wij met je gegevens omgaan? Neem dan eerst contact met ons op, dan lossen we het samen op. Kom je er met ons niet uit? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

Wijzigingen in dit privacybeleid

We passen dit privacybeleid aan als onze website, dienst of de wet verandert. De laatste versie staat altijd op deze pagina. Raadpleeg het dus regelmatig. Bij grote wijzigingen informeren we je actief, bijvoorbeeld via e-mail of een melding op de website.

Contact

Heb je vragen over dit privacybeleid of over de manier waarop we met je gegevens omgaan?

• [Bedrijfsnaam]
• [Adres]
• [Telefoonnummer]
• [E-mailadres]

Wat mag je zeker niet vergeten na het plakken?

Een kant-en-klare template is een goede start, maar je bent er niet met alleen kopiëren. Doe daarna nog vijf dingen:

1. Controleer of alle placeholders ([Bedrijfsnaam], [Datum], etc.) echt zijn vervangen. Zelf ben ik weleens een site tegengekomen waar [Bedrijfsnaam] nog letterlijk in de tekst stond, dat oogt niet professioneel.
2. Maak een cookiebanner met toestemmingsoptie en zorg dat trackingcookies pas na toestemming worden geplaatst. Zonder cookiebanner voldoe je niet aan de AVG.
3. Link naar je privacybeleid in de footer van elke pagina. Bij voorkeur ook direct bij formulieren (contactformulier, nieuwsbriefinschrijving).
4. Werk je met specifieke tools zoals Mailchimp, HubSpot, Stripe, of een CRM? Benoem die dan expliciet in je privacybeleid onder de sectie over derden.
5. Stel een verwerkersovereenkomst op met partijen die namens jou persoonsgegevens verwerken (hostingpartij, boekhouder, marketingbureau). Dit template vervangt die overeenkomsten niet.

Disclaimer: geen juridisch advies

Ik ben geen jurist en dit template is geen juridisch advies. Voor gemiddelde MKB-websites is het ruim voldoende, maar bij twijfel, bij bijzondere persoonsgegevens of bij complexe internationale situaties is advies van een AVG-specialist verstandig. De boetes van de Autoriteit Persoonsgegevens zijn de afgelopen jaren flink omhoog gegaan, dus zuinig zijn op je compliance loont.

Werk je met Google Analytics of een vergelijkbare tool en wil je zeker weten dat je meting correct is en netjes binnen de AVG valt? Kijk dan ook naar deze tip over dubbele conversies in GA4, want een lekkende meetopzet veroorzaakt vaker problemen dan je denkt.

Klaar. Nu live zetten.

Plak de template in een nieuwe pagina op je website, meestal onder de URL /privacybeleid of /privacyverklaring. Link ernaar vanuit de footer en vanuit je cookiebanner. Check de komende maanden af en toe of je tekst nog klopt met hoe je daadwerkelijk werkt. Als je bijvoorbeeld een nieuw CRM gaat gebruiken of een chatbot installeert, moet die toevoeging ook in het privacybeleid.

Vragen over een specifiek onderdeel, of loop je tegen een situatie aan die hier niet beschreven staat? Laat een berichtje achter, dan denk ik even mee ;-)