Ben jij klaar voor AVG?

Welke stappen moet je als webwinkel nemen om te voldoen aan de nieuwe privacywetgeving (AVG)?

De nieuwe Europese privacywetgeving gaat per 25 mei 2018 gelden. Deze Algemene Verordening Gegevensbescherming (AVG), in het Engels bekend als General Data Protection Regulation (GDPR) vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp). Hieronder vind je informatie over de zaken die je als webwinkelier in moet richten om aan de nieuwe wetgeving te voldoen.



1. Wat is de AVG?
2. Welke persoonsgegevens mag ik verwerken?
3. Wat zet ik in mijn (nieuwe) privacy statement?
4. Wie verwerkt de verzamelde persoonsgegevens?
5. Extra administratie?

1. Wat is de AVG?

De nieuwe wetgeving draait voornamelijk om verantwoording en transparantie. Het gaat erom dat je als onderneming open bent over de persoonsgegevens die je verzamelt: welke gegevens verzamel je precies, voor welk doel en met wie deel je de gegevens?

Onder persoonsgegevens wordt verstaan alle gegevens die ‘direct of indirect tot een persoon herleidbaar zijn’. Denk hierbij aan naam, (e-mail)adres, IP-adres, locatie- en bankgegevens. Bedrijfsgegevens vallen niet onder de wet.

Wanneer je bovengenoemde persoonsgegevens opslaat, verwerkt, ordent, raadpleegt of wist ben je als onderneming verplicht om te voldoen aan de regels van de AVG. Ook moeten ondernemingen transparant zijn over de beveiliging en zijn ze verplicht om zogenaamde ‘datalekken’ tijdig te melden.

Het belangrijkste is dat je als onderneming bij de nationale toezichthouder (de Autoriteit Persoonsgegevens) aan kunt tonen dat je de gegevens goed hebt beveiligd en dat de administratie rondom de gegevens op orde is. Hieronder lees je hier meer over.

2. Welke persoonsgegevens mag ik verwerken?

In de nieuwe wetgeving staat aangegeven dat je gegevens enkel mag verzamelen met een geldige reden. Dit gaat om gegevens ‘voor de uitvoering van een overeenkomst’ en gegevens ‘om aan een wettelijke verplichting te voldoen’ of vanwege ‘een gerechtvaardigd belang.’ Ook mag je gegevens verwerken ‘na toestemming van de klant.’

Als webwinkel heb je voornamelijk met het eerste punt van doen. Om een verkoopovereenkomst uit te voeren heb je immers naam, adres en betalingsgegevens nodig (‘Uitvoering overeenkomst’).

Verkoop je alcohol of sigaretten? Dan ben je letterlijk verplicht om ook de leeftijd van je klant te verwerken (‘wettelijke verplichting’). Verkoop je geen producten waar een leeftijdsgrens aan zit, maar wil je klanten op hun verjaardag een mailtje sturen? Dan mag je enkel de geboortedatum verzamelen met toestemming van de klant en de gegevens ook enkel voor dit doel gebruiken (‘Toestemming’).

Wil je klanten informeren over andere producten op het e-mailadres dat is verkregen door een eerdere bestelling, dan mag dat. Direct marketing kan namelijk gezien worden als een ‘gerechtvaardigd belang.’ Wel moet de klant eenvoudig hiertegen bezwaar kunnen maken, door de mogelijk te bieden om het e-mailadres uit te schrijven voor marketingdoeleinden.

3. Wat zet ik in mijn (nieuwe) privacy statement?

Het doel van de nieuwe wetgeving is voornamelijk transparantie. Je moet als webwinkelier transparant zijn over de gegevens die je verzamelt en voor welk doel. Dit doe je het makkelijkst door een Privacy Statement te plaatsen op je website die voor klanten duidelijk te vinden is. Ook moet dit privacybeleid duidelijk leesbaar en begrijpelijk zijn voor alle klanten en mag dus niet vol staan met juridisch jargon.

Wanneer je een privacy statement opstelt is het belangrijk om de volgende zaken te vermelden:

· Welke persoonsgegevens verzamel je?
· Met welk doel verzamel je de gegevens?
· Hoe kan een klant deze gegevens inzien, corrigeren of verwijderen?
· Hoelang worden de gegevens bewaard?
· Met welke ‘derde partijen’ worden de persoonsgegevens gedeeld?
· Wat zijn je contactgegevens?

Volgens de nieuwe AVG hebben alle personen het recht om hun eigen persoonsgegevens in te zien, te corrigeren en te verwijderen. In je privacy statement moet je dus opnemen hoe klanten dit kunnen doen, bijvoorbeeld door het e-mailadres te vermelden waar klanten deze verzoeken in kunnen dienen. Wanneer een klant vraagt om zijn/haar gegevens in te zien, ben je als webwinkelier verplicht om deze gegevens op te sturen (bijv. in een Excelbestand).

De AVG stelt ook dat gegevens ‘zolang dat nodig is voor het doel waarvoor ze verzameld zijn’ bewaard mogen blijven. Voor webwinkeliers houdt dat in dat je de persoonsgegevens kunt bewaren zolang de klant een account heeft. Wanneer een klant zijn/haar account opzegt, dien je de gegevens te verwijderen, tenzij je de gegevens moet bewaren voor een wettelijke verplichting (zoals facturen).

Elke webshop deelt persoonsgegevens ook met derden. Onder derden worden bijvoorbeeld pakketdiensten en betalingsproviders verstaan, maar ook Onetoshop, want wij beheren de persoonsgegevens van jouw klanten op onze servers. Voor het delen met bovengenoemde ‘derden’ heb je geen expliciete toestemming van je klanten nodig, want het delen van de informatie valt onder de ‘uitvoering van een overeenkomst’. Wel moet de klant op de hoogte zijn van het feit dat de gegevens gedeeld worden. Je kunt bovengenoemde bedrijven scharen onder ‘servicediensten’. Het delen van persoonsgegevens met derden van persoonsgegevens zonder dat dat noodzakelijk is voor ‘uitvoering van een overeenkomst’ is echter niet toegestaan, tenzij de klant daar toestemming voor geeft. Dan gaat het bijvoorbeeld om het doorverkopen van persoonsgegevens aan derden voor marketingdoeleinden.

4. Wie verwerkt de verzamelde persoonsgegevens?

Als webwinkellier werk je vaak met derden, waaronder een pakketdienst, een betalingsprovider, maar ook Onetoshop. Je deelt verzamelde persoonsgegevens met deze partijen om diensten te kunnen ontvangen. Over de verwerking van deze persoonsgegevens dienen onder de nieuwe AVG afspraken gemaakt te worden middels een verwerkersovereenkomst. Als webwinkelier verzamel jij de persoonsgegevens van jouw klanten. Jij bent dus Verwerkingsverantwoordelijke. De derde partijen zijn hierin ‘Verwerker’. In de Verwerkersovereenkomst moeten een aantal zaken zijn opgenomen:

· Een beschrijving van de gegevensverwerking met de duur en de doeleinden;
· De maatregelen die worden genomen om data te beveiligen;
· Een waarborg van betrouwbaarheid van het personeel’
· De verplichting om een eventueel datalek te melden aan de Verantwoordelijke;
· De plicht om mee te werken en tijdig in te lichten;
· De toestemming om subverwerkers in te schakelen;
· Een waarborg bij gegevensverkeer buiten de Europese Unie;
· De teruggaaf of vernietiging van de gegevens bij eindiging van de dienstverlening.

Bovengenoemde zaken zijn opgenomen in de standaard verwerkersovereenkomst die Onetoshop heeft opgesteld voor haar klanten.

5. Extra administratie?

Wanneer de AVG op 25 mei in werking treedt, ben je als webwinkelier verplicht om meer zorg te dragen voor de persoonsgegevens die je verzamelt. Dat brengt wat extra administratieve taken met zich mee.

Zo moet je als webwinkelier een verwerkingsregister opstellen. Je kunt dit eenvoudig doen in Excel. Stel voor elke categorie persoonsgegevens die wordt verzameld op om wat voor soort gegevens het gaat; wat het doel is van de verzameling; welke medewerkers toegang hebben tot de gegevens; welke ‘derde partijen’ toegang hebben tot de gegevens; waar de gegevens worden opgeslagen; wat de bewaartermijn is die je hebt voorgenomen; en welke beveiligingsmaatregelen je hebt getroffen (met betrekking tot Onetoshop is deze informatie opgenomen in de Verwerkersovereenkomst).

Mocht er onverhoopt toch een datalek ontstaan zijn, dan ben je als ondernemer verplicht om dit te melden aan de toezichthouder in Nederland (Autoriteit Persoonsgegevens, AP). Het is verplicht om een datalek te melden wanneer ‘de inbreuk een risico inhoudt voor de rechten en vrijheden van de personen’. Verlies van onversleutelde namen en e-mailadressen moeten dus gemeld worden. Gevoelige informatie, zoals bankgegevens, BSN-nummers, wachtwoorden of gezondheidsgegevens al helemaal en ook de getroffen personen zelf moeten hiervan op de hoogte gesteld worden. Meld een lek bij de AP altijd binnen 72 uur. Het is verstandig om binnen elke onderneming (webwinkel) iemand aan te stellen als aanspreekpunt die het contact met ‘Verwerkers’ onderhoudt en de AP op de hoogte kan stellen wanneer dat nodig is.

Het lijkt een boel extra werk, maar op zich valt het allemaal wel mee. Waar het bij de AVG vooral om draait is verantwoording en transparantie. Zorg dus dat je medewerkers hier ook van op de hoogte zijn en ga voorzichtig en nauwkeurig om met de gegevens die je verzamelt. Vraag je als webwinkel af welke gegevens je echt nodig hebt van je klanten. Dit stukje ‘Privacy awareness’ is erg belangrijk onder de nieuwe AVG. Hoe minder gegevens je verzamelt, des te makkelijker je het jezelf maakt.

Onetoshop © 2007 - 2024 | Alle rechten voorbehouden