Kijk eerst of op de website of u contactinformatie kunt vinden. Webwinkels en andere aanbieders van online diensten zijn altijd verplicht om contactgegevens op hun website te vermelden. Dat is in ieder geval een e-mailadres of contactformulier. 

Kunt u geen contactgegevens vinden op de website? Dan kunt u de eigenaar achterhalen via een website met domeinregistraties.

Contactgegevens achterhalen Nederlandse website

Gaat het om een Nederlandse website, eindigend op .nl? Zoek dan de eigenaar van de website op via de website van Stichting Internet Domeinregistratie Nederland (SIDN).

Hier kunt u de naam van de website invullen in de balk 'check hier je .nl-domeinnaam'. Neem vervolgens contact op met de persoon of organisatie die genoemd wordt als 'houder' (eigenaar) van het domein.

Let op: u krijgt alleen het e-mailadres van de eigenaar te zien. Lukt het hiermee niet om de eigenaar te bereiken? Dan kunt u in sommige gevallen SIDN vragen om meer contactgegevens. Zie: SIDN en privacy.

De politie heeft toegang tot nog uitgebreidere gegevens in het WHOIS-register. Bij ernstige overtredingen en misdrijven raden wij u aan aangifte te doen.

Contactgegevens achterhalen buitenlandse website

Gaat het om een buitenlandse website? Zoek dan via Whois.net.

Heeft u een vraag over de rekening van uw internetprovider voor uw dataverbruik? Wilt u bijvoorbeeld weten welke websites of apps wanneer hoeveel data hebben gebruikt? Uw internetprovider kan u alleen inzage geven als u van tevoren toestemming heeft gegeven voor het bewaren van deze gegevens. Anders heeft uw provider de gegevens niet. 

Inhoud dataverkeer

Uw internetprovider mag in principe niets weten over de inhoud van uw dataverkeer, zoals welke websites u heeft bezocht. Hiervoor is analyse van het dataverkeer (‘deep packet inspection’) nodig. Zo’n analyse mag uw internetprovider alleen doen als dat strikt noodzakelijk is voor een technisch doel, zoals het beheer van het netwerk.

Uw provider moet uw gegevens daarbij direct anonimiseren. Uw provider mag geen analyses op individueel niveau bewaren. Tenzij u als klant daarvoor vooraf toestemming heeft gegeven. Uw provider moet u over deze mogelijkheid informeren.

Als u een evenement organiseert, zult u vaak van tevoren willen weten wie er gaat komen. Het is dan makkelijk als bezoekers zich via internet kunnen inschrijven. Let dan in ieder geval op de volgende dingen.

Beveiliging

De gegevens van het inschrijfformulier moeten via een beveiligde verbinding worden verzonden.

Hoeveelheid gegevens

Vraag niet meer gegevens dan nodig. Wilt u alleen het aantal bezoekers weten en naambordjes maken? Dan is het meestal genoeg om voornaam, achternaam, functie en organisatie te vragen.

Het is bijvoorbeeld ook niet nodig om de leeftijd te registreren als u alleen wilt weten of iemand een volwassene is. U kunt dan vragen of iemand vóór een bepaald jaartal geboren is.

Informeren

Leg goed uit waarom u de gegevens verzamelt. Dat kunt u doen in uw privacyverklaring. Maar het is vaak duidelijker om dat in het formulier zelf uit te leggen.

Gegevens bewaren

Bewaar de gegevens niet langer dan nodig. Dat betekent meestal dat u de gegevens na het einde van het evenement moet verwijderen. Heeft u de gegevens langer nodig, bijvoorbeeld om betalingen te innen? Dan moet u de gegevens direct daarna verwijderen.

U kunt nog wel geaggregeerde, anonieme gegevens bewaren. Bijvoorbeeld dat in totaal 10 mensen zich voor uw evenement hadden ingeschreven.

Nieuwsbrief

Wilt u bezoekers een nieuwsbrief over uw producten of diensten sturen? Dat mag alleen als bezoekers vooraf duidelijk aangeven dat ze die nieuwsbrief willen ontvangen. Bijvoorbeeld door een vinkje te zetten. Ook moet u de bezoekers bij iedere nieuwsbrief de mogelijkheid bieden zich uit te schrijven.

Extern inschrijfsysteem

Wilt u een inschrijfsysteem gebruiken dat een andere organisatie aanbiedt? Dat kan, maar dan moet u wel een verwerkersovereenkomst met die organisatie sluiten. Daarin moet u onder meer afspreken dat de organisatie de verzamelde gegevens niet voor zichzelf gebruikt en de gegevens goed beveiligt. Ook blijven de hierboven beschreven aandachtspunten gelden. U blijft verantwoordelijk voor de gegevensverwerking.

Deelnemerslijst delen

Wilt u de deelnemerslijst van uw evenement delen onder uw bezoekers, zodat zij bijvoorbeeld makkelijk kunnen netwerken? Vraag dan vooraf aan de bezoekers welke contactgegevens zij willen delen. Misschien willen zij wel een zakelijk telefoonnummer delen, maar geen privénummer op de deelnemerslijst laten plaatsen.

U kunt eenvoudig om toestemming vragen op het moment dat iemand zich inschrijft voor uw evenement. Die toestemming moet vrijelijk en ondubbelzinnig worden gegeven. U moet kunnen aantonen dat u toestemming heeft gekregen.

Nee, dat mag niet. Als u gegevens van dieven (zoals foto’s) opslaat en deelt, maakt u gebruik van een zwarte lijst. En dat mag niet zomaar. Bovendien is een WhatsAppgroep niet geschikt om zulke gegevens te delen. Dat komt omdat dit niet voldoet aan de Algemene verordening gegevensbescherming (AVG) wat betreft de beveiliging en andere privacywaarborgen.

Zwarte lijst

Een zwarte lijst is een waarschuwingssysteem. Hiermee kunt u collega’s binnen uw organisatie waarschuwen voor bepaalde personen die u niet meer in uw winkel wilt, zoals winkeldieven. U mag alleen een zwarte lijst opstellen en gebruiken als u voldoet aan de voorwaarden voor zwarte lijsten.

Vergunning nodig

U kunt de zwarte lijst ook delen met andere winkeliers. Deelt u daarbij strafrechtelijke gegevens? Dan heeft u een vergunning van de Autoriteit Persoonsgegevens (AP) nodig.

Modelprotocol collectief winkelverbod

Wilt u als winkelier een vergunning aanvragen bij de AP? Dan kunt u zich ook aansluiten bij het modelprotocol collectief winkelverbod van het CCV. U hoeft dan niet zelf een protocol op te stellen. En de procedure bij de AP voor uw vergunning kan sneller doorlopen worden. U moet zich dan natuurlijk wel volledig houden aan alle eisen die in het modelprotocol staan.

Heeft u een vraag of klacht over het gebruik van uw persoonsgegevens door een app? Of door het besturingssysteem van uw smartphone of tablet? Ga dan eerst naar de ontwikkelaar van de app of van het besturingssysteem.

Contact app-ontwikkelaar of -aanbieder

Het maakt niet uit of de app-ontwikkelaar of app-aanbieder in Nederland gevestigd is of in het buitenland. De Europese privacywet is van toepassing als de ontwikkelaar of aanbieder gebruikmaakt van apparatuur in Europa. Dat is zo bij smartphones en tablets.  

De contactgegevens kunt u vaak vinden via de ‘app store’. Of door op internet te zoeken naar de naam van de app. Ook kan de ontwikkelaar of aanbieder een website hebben met contactgegevens. Kunt u geen contactgegevens vinden? Zoek dan op wie de ontwikkelaar is van het besturingssysteem van uw smartphone of tablet.

Contact besturingssysteem

Via de volgende links vindt u informatie over de privacyinstellingen van uw besturingssysteem. En hoe u contact opneemt als u een vraag of klacht heeft.

• iOS (iPhone)
• Android
• Windows

Verdere stappen bij vraag of klacht

Heeft u een klacht en komt u er samen met de ontwikkelaar of aanbieder van de app of het besturingssysteem niet uit? Dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

Ja. Ook als u hashing toepast op de MAC-adressen die u verzamelt, blijven het persoonsgegevens.

Pseudonimisering

Alleen het hashen van MAC-adressen, zonder aanvullende maatregelen, betekent niet dat u geen persoonsgegevens meer verwerkt. Er is dan namelijk geen sprake van anonimisering, maar van pseudonimisering.

Bijvoorbeeld omdat u zelf de hashingformule heeft. Dat betekent dat u de originele MAC-adressen opnieuw zou kunnen berekenen. De gegevens zijn dan dus niet anoniem. Het toepassen van een ‘salt’ doet daar niets aan af.

Het resulterende gehashte MAC-adres zelf is te beschouwen als (pseudonieme) identificator. En die staat in de wet expliciet genoemd als persoonsgegeven.

Voorwaarden anonimiseren

Volgens de Algemene verordening gegevensbescherming (AVG) is er pas sprake van anonieme gegevens als persoonsgegevens zodanig anoniem zijn gemaakt dat de betrokkene niet (meer) direct of indirect te identificeren is.

AVG wel of niet toepassing

Zijn de persoonsgegevens daadwerkelijk geanonimiseerd? Dan is de AVG niet (meer) van toepassing op die gegevens.

Meer informatie over anonimiseren vindt u in de Opinie 'anonimiseringstechnieken' van de Europese privacytoezichthouders.

Ja, dat kan. Wijzig de netwerknaam (SSID) van uw wifi-router door er ‘_nomap’ aan toe te voegen. Is uw huidige SSID bijvoorbeeld 'Saskia'? Dan wordt dat 'Saskia_nomap'.

Voor meer informatie, zie: Hoe meld ik me af voor locatieservices van Google? 

Komt u er niet uit? Dan kunt u contact opnemen met uw internetprovider.

Iemand is een bestaande klant als deze persoon een product of dienst van u heeft gekocht. Er moet sprake zijn van een koopovereenkomst of dienstverleningsovereenkomst waarin u verplicht bent of was om iets te leveren en de klant om daarvoor te betalen.

Iemand is geen klant als diegene (nog) niets heeft gekocht of (nog) geen dienst heeft afgenomen, maar zich alleen maar heeft aangemeld voor uw nieuwsbrief, een enquête heeft ingevuld, meegedaan heeft aan een prijsvraag of spel of een gebruikersaccount heeft aangemaakt.

In de Algemene verordening gegevensbescherming (AVG) staan geen concrete bewaartermijnen genoemd. Het uitgangspunt is dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking. Hoe lang u gegevens mag bewaren, verschilt dus per geval.

Bewaartermijnen in andere wetten

Is er wetgeving van toepassing die bepaalde bewaartermijnen voorschrijft? Dan moet u deze termijnen hanteren. Bijvoorbeeld: de belastingwetgeving zegt dat u bepaalde gegevens 7 jaar moet bewaren.

Doel klantgegevens

Denk na over waar u de gegevens van uw klanten precies voor nodig heeft. Ten eerste natuurlijk om aankopen van uw klanten te kunnen afronden. Maar misschien wilt u ook wel contactgegevens van uw klanten gebruiken voor direct marketing.

Ga vervolgens bij elk van deze doelen na wanneer u uw doel heeft bereikt. Op het moment dat dit het geval is, heeft u de persoonsgegevens waarschijnlijk niet langer nodig.

Zo kunt u voor elk doel waarvoor u klantgegevens bewaart, een bewaartermijn bepalen. U mag de termijnen dus zelf vaststellen. Maar u moet wel kunnen beargumenteren hoe lang u uw klantgegevens bewaart.

Informeren

U moet de bewaartermijnen opnemen in uw privacyverklaring. Zodat uw klanten weten hoe lang u hun gegevens bewaart.

Na afloop bewaartermijn

Is de bewaartermijn verlopen? Dan moet u de klantgegevens vernietigen of anonimiseren. Of eerder, als een klant bezwaar maakt tegen direct marketing of eerder gegeven toestemming hiervoor intrekt.

Belt u een organisatie op? Of belt een organisatie u? Dan kan het zijn dat het telefoongesprek wordt opgenomen. Dit wordt ook wel voicelogging genoemd. De organisatie hoeft u hiervoor geen toestemming te vragen als de opname bijvoorbeeld is om een overeenkomst met u uit te voeren.

Voorbeelden telefoongesprekken opnemen

Organisaties kunnen telefoongesprekken bijvoorbeeld opnemen:

• als u telefonisch iets koopt of een contract afsluit;
• als u een klacht heeft, om te controleren of die terecht is;
• om de telefonische dienstverlening door de werknemers van de organisatie (bijvoorbeeld van een callcenter) te verbeteren.

Informeren over opnemen telefoongesprek

De organisatie moet u als het gesprek begint informeren dat het gesprek wordt opgenomen. En u laten weten waarvoor de organisatie de opnamen van het gesprek gebruikt, zoals voor trainingsdoeleinden.

Opname opvragen

U heeft het recht om de opname op te vragen, als u dat wilt. Dit doet u door schriftelijk om inzage in uw persoonsgegevens te vragen bij de organisatie.

Klopt er volgens u iets niet of doen bepaalde gegevens niet ter zake? Dan kunt u de organisatie vragen om uw gegevens te corrigeren of aan te vullen. Bijvoorbeeld als uw persoonsgegevens niet kloppen of bepaalde gegevens niet ter zake doen.

Bij een opname van een telefoongesprek is het technisch gezien niet mogelijk om uw gegevens te corrigeren of aan te vullen. Maar de organisatie kan wel een bestand maken met verbeteringen en aanvullingen.

U kunt de organisatie ook vragen om de opname te verwijderen. Bijvoorbeeld als uw gegevens niet meer nodig zijn, als de organisatie uw gegevens niet mag verwerken of als de organisatie uw gegevens te lang bewaart.

Uw werkgever mag in uw personeelsdossier alle gegevens bewaren die noodzakelijk zijn om de arbeidsovereenkomst met u uit te voeren.

Zoals uw contactgegevens, salaris, een kopie van uw identiteitsbewijs, uw BSN en verslagen van uw beoordelings- en functioneringsgesprekken.

Uw werkgever mag meestal geen gegevens over uw gezondheid, strafrechtelijke gegevens en gegevens over uw afkomst (etniciteit) in uw personeelsdossier opnemen. Zie verder: Personeelsdossier.

Niet iedereen mag zomaar in uw personeelsdossier kijken. Dat mogen alleen mensen die gegevens van u nodig hebben om hun werk te kunnen doen. Zoals uw direct-leidinggevende of medewerkers van de afdeling personeelszaken.