Het privacybeleid is het centrale document van LGPD-naleving (Wet nr. 13.709/2018). Het geeft invulling aan het transparantiebeginsel (artikel 6, VI) en is het primaire instrument waarmee uw bedrijf betrokkenen informeert over hoe hun persoonsgegevens worden verzameld, gebruikt, opgeslagen en gedeeld. Een ontoereikend privacybeleid is niet slechts een documentatiefout — het is een wetsovertreding die kan resulteren in administratieve sancties, gerechtelijke procedures en reputatieschade. Deze gids beschrijft de verplichte elementen, veelvoorkomende fouten en best practices voor het opstellen van een LGPD-conform privacybeleid, met verwijzingen naar de AVG en de richtlijnen van de Autoriteit Persoonsgegevens (AP).
Waarom een privacybeleid verplicht is
De LGPD gebruikt de term “privacybeleid” niet letterlijk, maar de artikelen 6 (beginselen), 9 (recht op informatie) en 18 (rechten van betrokkenen) maken dit document impliciet verplicht. Artikel 9 bepaalt dat betrokkenen recht hebben op gemakkelijke toegang tot informatie over de verwerking van hun gegevens, die op een duidelijke, adequate en zichtbare wijze beschikbaar moet worden gesteld.
In de praktijk verwachten de ANPD en Braziliaanse rechtbanken dat elke organisatie die persoonsgegevens verwerkt een privacybeleid toegankelijk maakt op haar website. Het ontbreken van dit document of de ontoereikendheid ervan vormt een schending van de beginselen van transparantie en vrije toegang, waardoor het bedrijf wordt blootgesteld aan de sancties van artikel 52. Dit vereiste is vergelijkbaar met dat van de AVG (artikelen 12-14), dat de AP in Nederland handhaaft.
Verplichte elementen van een LGPD-privacybeleid
Op basis van de artikelen 6, 9, 10 en 18 van de LGPD moet uw privacybeleid de volgende elementen bevatten:
1. Identificatie van de verantwoordelijke en de FG
Vermeld de volledige naam en contactgegevens van de verwerkingsverantwoordelijke (uw bedrijf) en de functionaris voor gegevensbescherming (encarregado). Artikel 41 vereist de aanwijzing van een FG, en artikel 41, lid 1, vereist dat diens identiteit en contactgegevens openbaar worden gemaakt, bij voorkeur op de website van de verantwoordelijke.
2. Verzamelde persoonsgegevens
Vermeld duidelijk en specifiek de soorten persoonsgegevens die u verzamelt. Gebruik geen vage termen als “diverse persoonlijke informatie”. Wees expliciet:
- Identificatiegegevens: naam, CPF (fiscaal nummer), identiteitsnummer, geboortedatum
- Contactgegevens: e-mail, telefoon, adres
- Financiele gegevens: creditcardgegevens, transactiegeschiedenis
- Navigatiegegevens: IP-adres, cookies, browsegeschiedenis, apparaatinformatie
- Gevoelige gegevens (indien van toepassing): gezondheidsgegevens, biometrische gegevens, ras of etnische afkomst
3. Doeleinden van de verwerking
Beschrijf voor elke categorie verzamelde gegevens het specifieke doel van de verwerking (artikel 6, I). Voorbeelden:
- “Contactgegevens worden verzameld voor het verzenden van orderbevestigingen en servicecommunicatie”
- “Navigatiegegevens worden verzameld voor analyse van websiteprestaties en verbetering van de gebruikerservaring”
- “Financiele gegevens worden verzameld voor betalingsverwerking”
Generieke doeleinden zoals “om onze diensten te verbeteren” zijn onvoldoende. De AP heeft deze eis van specificiteit in het kader van de AVG eveneens benadrukt.
4. Gebruikte rechtsgronden
Geef de rechtsgrond (artikel 7) aan die elke verwerkingsactiviteit onderbouwt:
- Toestemming (artikel 7, I) — voor marketing, nieuwsbrieven, niet-essentieel cookies
- Uitvoering van een overeenkomst (artikel 7, V) — voor orderverwerking, dienstverlening
- Wettelijke verplichting (artikel 7, II) — voor fiscale gegevensbewaring, arbeidsrechtelijke naleving
- Gerechtvaardigd belang (artikel 7, IX) — voor fraudepreventie, beveiliging
5. Delen met derden
Identificeer de categorieen derden met wie u persoonsgegevens deelt en de doeleinden van dit delen:
- Betalingsdienstverleners
- Hosting- en infrastructuuraanbieders
- Analyse- en marketingtools
- Overheidsinstanties (wanneer wettelijk vereist)
6. Internationale doorgiften
Als u persoonsgegevens buiten Brazilie doorgeeft, maak dan het volgende bekend:
- De landen of organisaties waarnaar gegevens worden doorgegeven
- De rechtsgrond voor de doorgifte (artikel 33)
- De waarborgen die zijn getroffen om de gegevens te beschermen
7. Bewaartermijnen
Geef aan hoe lang elke categorie gegevens wordt bewaard en welke criteria deze termijn bepalen (artikel 15). Voorbeeld: “Transactiegegevens worden 5 jaar na beeindiging van de dienst bewaard, conform fiscale vereisten.”
8. Rechten van betrokkenen
Beschrijf de rechten die betrokkenen kunnen uitoefenen op grond van artikel 18:
- Bevestiging en inzage
- Rectificatie
- Anonimisering, blokkering of verwijdering
- Overdraagbaarheid
- Verwijdering van op basis van toestemming verwerkte gegevens
- Informatie over het delen
- Intrekking van toestemming
Geef duidelijk aan hoe deze rechten kunnen worden uitgeoefend: contactkanaal (e-mail, formulier), reactietermijn en procedure.
9. Beveiligingsmaatregelen
Beschrijf in algemene termen de technische en organisatorische maatregelen die zijn getroffen om persoonsgegevens te beschermen (artikel 46). Onthul geen details die de beveiliging in gevaar kunnen brengen, maar toon aan dat redelijke maatregelen zijn genomen: versleuteling, toegangscontrole, monitoring, back-ups.
10. Cookies en trackingtechnologieen
Als uw website cookies, trackingpixels of vergelijkbare technologieen gebruikt, beschrijf dan:
- De soorten cookies die worden gebruikt (essentieel, analytisch, marketing)
- De doeleinden van elk type
- Hoe gebruikers hun cookievoorkeuren kunnen beheren
Om cookietoestemming op een conforme manier te beheren, kunt u een gratis AVG-conforme cookiebanner gebruiken.
Veelvoorkomende fouten in privacybeleid
1. Kopieren van een andere website. Een privacybeleid dat uw werkelijke verwerkingspraktijken niet weerspiegelt, schendt het transparantiebeginsel. De ANPD verwacht dat uw beleid specifiek is voor uw organisatie. Ook de AP heeft bedrijven in Nederland gesanctioneerd voor generiek privacybeleid.
2. Toestemming als enige rechtsgrond gebruiken. Veel bedrijven verklaren dat alle verwerking op toestemming is gebaseerd, terwijl zij feitelijk steunen op contractuitvoering of wettelijke verplichting. Dit leidt tot problemen wanneer een betrokkene toestemming intrekt voor verwerking die daar niet van afhing.
3. De FG weglaten. De LGPD vereist de aanwijzing van een FG (artikel 41). Het weglaten van deze informatie uit uw privacybeleid is een duidelijke overtreding.
4. Internationale doorgiften niet vermelden. Als u diensten als Google Analytics, AWS, Stripe of Mailchimp gebruikt, worden uw gegevens buiten Brazilie doorgegeven. Deze doorgiften moeten worden vermeld.
5. Ontoegankelijke taal. De LGPD vereist dat informatie op een duidelijke en adequate wijze beschikbaar wordt gesteld (artikel 9). Overmatig juridisch jargon schendt dit vereiste. De AP beveelt eveneens duidelijke en begrijpelijke taal aan.
6. Niet regelmatig bijwerken. Uw verwerkingspraktijken evolueren: nieuwe leveranciers, nieuwe functies, nieuwe soorten gegevens. Uw beleid moet met deze veranderingen meegaan.
Verschil tussen privacybeleid en gebruiksvoorwaarden
Het zijn verschillende documenten met verschillende doelen:
Privacybeleid: Legt uit hoe u persoonsgegevens verzamelt, gebruikt en beschermt. Gebaseerd op de LGPD. Verplicht voor elke website die gegevens verzamelt.
Gebruiksvoorwaarden: Stellen de regels vast voor het gebruik van uw website of dienst. Gebaseerd op het Burgerlijk Wetboek en het Wetboek van Consumentenrecht. Definieren verantwoordelijkheden, gebruiksbeperkingen en intellectueel eigendom.
Beide documenten zijn noodzakelijk en moeten complementair zijn, met onderlinge verwijzingen waar van toepassing.
Vier benaderingen om uw privacybeleid op te stellen
Een gespecialiseerde advocaat inhuren
Kosten: 5.000 tot 15.000 BRL. Tijdlijn: 2 tot 4 weken.
Een advocaat gespecialiseerd in gegevensbescherming analyseert uw gegevensstromen, identificeert de toepasselijke rechtsgronden en stelt een op maat gemaakt beleid op. Aanbevolen voor bedrijven met complexe verwerking van gevoelige gegevens of aanzienlijke internationale doorgiften.
Een generiek AI-hulpmiddel gebruiken
Schijnbare kosten: 0 BRL. Werkelijke kosten: een beleid dat volledig lijkt maar verplichte elementen weglaat.
Generieke AI-hulpmiddelen controleren uw werkelijke gegevensstromen niet en produceren vaak beleidsdocumenten die AVG- en LGPD-vereisten vermengen zonder adequate aanpassing aan de Braziliaanse context.
Een gratis sjabloon kopieren
Kosten: 0 BRL. Risico: hoog.
Gratis sjablonen zijn generiek en nooit aangepast aan uw specifieke activiteit. De ANPD verwacht dat elk beleid de werkelijke praktijken van de organisatie weerspiegelt, niet een standaardtekst.
Een gespecialiseerde generator voor juridische documenten gebruiken
Kosten: 19,90 € tot 49,90 €. Tijdlijn: minder dan 10 minuten.
Een gespecialiseerde generator stelt vragen over uw bedrijf, uw gegevens, uw leveranciers en uw praktijken, en produceert een privacybeleid dat is aangepast aan de LGPD-vereisten. Het omvat rechtsgronden, rechten van betrokkenen, FG-informatie en vermeldingen van internationale doorgiften.
Om de conformiteit van uw site snel te controleren, gebruik onze gratis conformiteitsscanner. Raadpleeg ook onze volledige LGPD-gids en onze vergelijking LGPD vs AVG.
Conclusie
Een privacybeleid is meer dan een juridisch document — het is de concrete uitdrukking van het engagement van uw bedrijf voor de bescherming van de persoonsgegevens van uw klanten en gebruikers. Op grond van de LGPD moet het specifiek, transparant, toegankelijk en actueel zijn. Nu de ANPD actief handhaaft en Braziliaanse rechtbanken steeds gevoeliger worden voor privacykwesties, is investeren in een adequaat privacybeleid een van de nalevingsacties met het hoogste rendement die u kunt ondernemen. Voor Nederlandse bedrijven die ook onder de AVG en het toezicht van de AP vallen, waarborgt een gecoordineerde aanpak de naleving in beide rechtsgebieden. Wacht niet op een melding of een rechtszaak om te handelen — bescherm uw klanten en uw bedrijf nu.