Je hebt een betaalde ledenomgeving live staan, leden loggen in, betalen via Mollie of Stripe, en jij bewaart hun factuurgegevens. Maar je privacyverklaring beschrijft eigenlijk nog steeds een gewone website met een contactformulier. Geen woord over betaalverwerking, inloggeschiedenis of de bewaartermijn voor financiële gegevens. Een betaalde ledenomgeving verwerkt aanzienlijk meer persoonsgegevens dan een standaardsite, en die extra verwerkingen moet je expliciet benoemen in je privacyverklaring.

Waarom een standaard privacyverklaring tekortschiet zodra je geld vraagt

Een gewone privacyverklaring dekt zaken als nieuwsbrieven, contactformulieren en analytische cookies. Zodra je een betaalmuur toevoegt, komen er drie verwerkingscategorieën bij die fundamenteel anders zijn: betalingstransacties en de bijbehorende financiële gegevens, actief sessiebeheer om toegang te controleren, en abonnementsadministratie inclusief verlengingen en opzeggingen. Elk van die categorieën heeft een eigen grondslag, een eigen bewaartermijn en soms een eigen verwerker. Een generieke tekst zegt daar niets over, en dat is niet alleen een juridisch risico, het is ook gewoon oneerlijk tegenover je leden.

Neem een voorbeeld: iemand koopt een jaarabonnement op jouw e-learningplatform. Jij slaat hun naam, e-mailadres, wachtwoord-hash, betaalhistorie, inlogmomenten, bekeken lessen en apparaatgegevens op. Dat zijn minstens zes verschillende categorieën persoonsgegevens, elk met een andere reden van verwerking. Als je privacyverklaring alleen zegt ‘wij verwerken uw gegevens voor de uitvoering van de overeenkomst’, dan is dat technisch niet onjuist, maar het is zó vaag dat het in de praktijk weinig waard is.

Stap 1: Breng eerst alle datapunten in kaart

Voordat je ook maar één zin schrijft, volg je het stappenplan om je privacyverklaring te maken en maak je een overzicht van wat je daadwerkelijk verwerkt. Gebruik dit als invulschema:

  • Accountgegevens: naam, e-mailadres, gebruikersnaam, wachtwoord (gehasht), profielfoto, voorkeursinstellingen
  • Betalingsgegevens: bedrag, datum, transactie-ID, abonnementstype, betaalmethode (niet het volledige kaartnummer, dat sla jij niet op)
  • Sessiedata: inlogmoment, uitlogmoment, IP-adres, browser-type, apparaattype
  • Gedragsdata binnen de omgeving: bekeken pagina’s, voltooid cursusmateriaal, zoekgedrag, downloadgeschiedenis

Ga voor jezelf na welke van deze punten op jouw platform van toepassing zijn. Een besloten Facebookachtige community verwerkt andere data dan een videocursusplatform. Door dit schema in te vullen, voorkom je dat je later ontdekt dat je een verwerking bent vergeten. Dat is namelijk het meest voorkomende probleem bij een privacyverklaring voor een ledenomgeving: niet wat er verkeerd in staat, maar wat er simpelweg ontbreekt.

Stap 2: Koppel elke verwerking aan de juiste AVG-grondslag

De AVG verplicht je om voor elke verwerking een wettelijke grondslag te benoemen. Voor een betaalde ledenomgeving zijn er drie grondslagen die je tegenkomt.

Uitvoering van een overeenkomst gebruik je voor alles wat nodig is om de dienst te leveren waarvoor iemand heeft betaald: het aanmaken van een account, het verwerken van de betaling, het verlenen van toegang tot de afgeschermde content. Als iemand betaalt voor toegang, kun je die toegang niet verlenen zonder hun e-mailadres en betalingsstatus te kennen. Dat is contractuele noodzaak.

Gerechtvaardigd belang gebruik je voor verwerkingen die niet strikt noodzakelijk zijn voor de dienst, maar waarbij jij als aanbieder een legitiem belang hebt. Inloggeschiedenis bijhouden om accountmisbruik te detecteren, is daar een goed voorbeeld van. Je hebt er zelf ook belang bij dat niemand ongeautoriseerd toegang krijgt tot betaalde content. Zorg er wel voor dat je dit belang expliciet benoemt en uitlegt waarom het zwaarder weegt dan het privacybelang van de gebruiker.

Toestemming heb je nodig voor verwerkingen die buiten de dienst vallen. Wil je gedragsdata uit de ledenomgeving gebruiken voor gerichte marketingcampagnes of voor het verbeteren van producten op basis van individuele gebruikspatronen? Dan heb je een actieve toestemming nodig, los van de abonnementsovereenkomst. Zet dit apart in je privacyverklaring, want anders is het niet duidelijk waar mensen ‘nee’ tegen kunnen zeggen.

Stap 3: Betalingsverwerking apart benoemen

Dit is de clausule die in verreweg de meeste privacyverklaringen voor ledenomgevingen ontbreekt of halfslachtig is uitgewerkt. Als je Mollie, Stripe of een andere betaalprovider gebruikt, stuur je persoonsgegevens naar een derde partij. Je bent verplicht om dat te vermelden, inclusief welke gegevens dat zijn en wat de relatie is.

Schrijf expliciet: welke gegevens gaan naar de betaalprovider (naam, e-mailadres, bedrag, IP-adres), dat de betaalprovider een eigen privacyverklaring hanteert, en of het gaat om een verwerkersrelatie (jij bent verantwoordelijke, zij verwerken namens jou) of om gezamenlijke verantwoordelijkheid. Bij Stripe en Mollie is er doorgaans sprake van een situatie waarbij zij deels als zelfstandige verwerkingsverantwoordelijke optreden voor fraudepreventie. Dat is wat anders dan een simpele verwerkerssituatie en verdient een aparte zin in je tekst.

Een concrete formulering die je kunt gebruiken: “Voor de verwerking van betalingen maken wij gebruik van [naam betaalprovider]. Wij delen daarvoor je naam, e-mailadres, het te betalen bedrag en je IP-adres met deze partij. [Betaalprovider] verwerkt deze gegevens mede op basis van haar eigen privacybeleid, dat je kunt raadplegen via [link].”

Stap 4: Toegangslogging en sessiebeheer beschrijven

Je platform houdt bij wanneer iemand inlogt, vanaf welk IP-adres en via welk apparaat. Dat is technisch noodzakelijk voor beveiliging, maar het zijn wel degelijk persoonsgegevens. Formuleer dit zo concreet mogelijk, maar niet breder dan wat je feitelijk doet.

Goed: “Wij registreren het tijdstip van je inlogmomenten, het IP-adres waarmee je verbinding maakt en het type apparaat en browser dat je gebruikt. Dit doen wij om ongeautoriseerde toegang te detecteren en de beveiliging van de ledenomgeving te waarborgen. Grondslag: gerechtvaardigd belang.”

Vermijd formuleringen als “wij kunnen alle activiteiten binnen het platform monitoren”. Dat is juridisch breder dan je bedoelt en wekt wantrouwen bij leden. Wees specifiek over wat je bijhoudt en waarom.

Stap 5: Abonnementsbeheer en automatische verlengingen

Als je abonnementen aanbiedt met automatische incasso, bewaar je meer dan alleen de initiële transactie. Je houdt de volledige betaalhistorie bij, inclusief mislukte incassopogingen en opzeggingsverzoeken. Dit zijn allemaal persoonsgegevens die een aparte vermelding verdienen.

Geef in je privacyverklaring aan: dat je betaalhistorie bewaart voor administratieve doeleinden en ter voldoening aan de fiscale bewaarplicht, dat mislukte incassopogingen worden geregistreerd (inclusief de reden, voor zover je betaalprovider die doorgeeft), en dat opzeggingsverzoeken worden vastgelegd met datum en tijdstip. Dit laatste is ook in je eigen belang: als een lid achteraf beweert dat ze al eerder hebben opgezegd, wil jij kunnen aantonen wanneer het verzoek is ontvangen.

Stap 6: Bewaartermijnen die kloppen

Bewaartermijnen zijn het meest concrete onderdeel van je privacyverklaring voor een ledenomgeving, en ook het meest verwaarloosde. Gebruik een overzichtelijke tabel of lijst met ten minste de volgende termijnen:

  • Financiële gegevens (facturen, betaalhistorie): zeven jaar op basis van de fiscale bewaarplicht uit de Belastingwet
  • Accountgegevens na opzegging: maximaal één jaar na beëindiging van het abonnement, tenzij er een geschil loopt
  • Sessiedata en inloggeschiedenis: drie tot zes maanden is doorgaans proportioneel voor beveiligingsdoeleinden
  • Gedragsdata (bekeken content, voortgang): zolang het account actief is, daarna verwijderen bij opzegging

Het onderscheid tussen zeven jaar voor betaalgegevens en drie maanden voor sessielogs is belangrijk om expliciet te maken. Leden mogen anders denken dat je alles zeven jaar bewaart, terwijl jij voor sessiedata allang een kortere termijn hanteert.

Stap 7: Rechten van de betaalde gebruiker bij een lopend abonnement

Het recht op vergetelheid is een van de meest bekende AVG-rechten, maar in een betaalde ledenomgeving is het niet absoluut. Als iemand vraagt om al hun gegevens te verwijderen terwijl ze nog een actief en betaald abonnement hebben, dan mag je die gegevens bewaren voor zover dat noodzakelijk is om de overeenkomst uit te voeren of aan wettelijke verplichtingen te voldoen.

Leg dit in je privacyverklaring helder uit: “Als je een verzoek tot verwijdering indient terwijl je nog een actief abonnement hebt, verwijderen wij gegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst of voor onze wettelijke verplichtingen. Financiële gegevens bewaren wij in dat geval tot het einde van de fiscale bewaarplicht van zeven jaar. Overige gegevens verwijderen wij zo snel als dat redelijkerwijs mogelijk is.” Zo geef je een eerlijk antwoord zonder een belofte te doen die je wettelijk gezien niet kunt nakomen.

Controleer je tekst op deze vijf veelgemaakte omissies

Voordat je de privacyverklaring publiceert, loop je de tekst na op de volgende punten. Veel verklaringen voor betaalde ledenomgevingen schieten juist hier tekort:

  • Ontbreekt de naam van je betaalprovider? Voeg die toe, met link naar hun privacybeleid.
  • Staat er geen specifieke bewaartermijn voor financiële gegevens? De zeven jaar fiscale bewaarplicht is verplicht te vermelden als je factureert.
  • Beschrijf je sessiebeheer en inloglogging nergens? Dat zijn verwerkingen die je expliciet moet noemen.
  • Leg je het recht op vergetelheid uit zonder de uitzondering bij een lopend abonnement te benoemen? Dat leidt tot verkeerde verwachtingen.
  • Staat er niets over automatische verlengingen en mislukte incasso’s? Als je die gegevens bijhoudt, moet je ze vermelden.

Een privacyverklaring voor een betaalde ledenomgeving is geen document dat je eenmalig invult en vergeet. Elke verwerking telt: van het eerste inlogmoment tot de laatste factuur die je zeven jaar na opzegging bewaart. Loop de stappen in dit artikel door en controleer of jouw verklaring aansluit bij wat je platform werkelijk doet. Gebruik daarna de generator op deze site om de teksten op maat samen te stellen.