Een privacybeleid is het openbare document waarin je mensen in gewone taal vertelt welke persoonsgegevens je over hen verzamelt, waarom je dat doet, hoelang je ze bewaart en wat ze eraan kunnen doen. Het is het zichtbare gezicht van hoe een organisatie met privacy omgaat.
Zie het als het etiket op een levensmiddel. De ingrediënten zitten in de verpakking of je het etiket nu leest of niet, maar het etiket is jouw recht om te weten wat je binnenkrijgt en om een bewuste keuze te maken. Een privacybeleid doet hetzelfde voor data: het somt de ‘ingrediënten’ van je gegevensverwerking op, zodat een bezoeker kan beslissen of hij zich er prettig bij voelt. Onder de AVG is die transparantie niet vrijblijvend, en het beleid moet eerlijk weergeven welke PII je echt verwerkt.
Een goed beleid is specifiek, geen standaardtekst. Het noemt de echte tools die je gebruikt, de landen waar data staat en de precieze rechten die mensen kunnen uitoefenen, en blijft actueel terwijl je stack verandert.
De veelgemaakte fout is het zien als een juridische pagina die je één keer schrijft en daarna vergeet. In werkelijkheid moet hij meebewegen met wat je software echt doet. Voeg je een chatwidget toe, wissel je van e-mailprovider, of verhuis je je hosting naar een server buiten de EU, dan klopt het beleid niet meer tot iemand het bijwerkt. Verwerkt een Amerikaanse tool de gegevens van je klanten, dan is dat een data residency-vraag die je beleid eerlijk moet benoemen.
Er is ook een harde regel om te onthouden. Een privacybeleid is geen cookiebanner. Het beleid legt je werkwijze uit, terwijl toestemming de losse handeling is van vooraf vragen voordat je tracking- of marketingcookies laadt. Die twee door elkaar halen is een van de snelste manieren om met de toezichthouder in de knoop te raken.
Bij TopDevs zorgen we dat het privacybeleid op een site die we bouwen klopt met de systemen eronder, zodat wat het document belooft ook echt is wat de software doet.