Safe and trusted
Share article

Welke consequenties heeft de AVG voor u?

Privacy voor Webwinkels

Wat zou je ervan vinden als jouw naam, adres en bankrekeningnummer op straat komen te liggen, omdat bijvoorbeeld je telecomprovider of Netflix de beveiliging van de gegevens niet goed geregeld heeft. Of wat vind je ervan als je benaderd wordt door bedrijven waarvan je je afvraagt hoe ze aan jouw gegevens komen? Zoals jij daar niet blij van wordt, zo zullen jouw webwinkelklanten dat ook niet tof vinden. Vanaf 25 mei 2018 worden de verplichtingen en beveiligingsmaatregelen, om privacy te beschermen, verder uitgebreid omdat de AVG/GDPR dan van toepassing wordt. De belangrijkste maatregelen die je als webwinkel moet treffen, licht ik in dit artikel toe.

Informatieplicht: De nieuwe Privacyverklaring
Een van de speerpunten van zowel het oude als nieuwe privacyrecht is transparantie: mensen moeten weten wat er met hun persoonsgegevens gedaan wordt. Die informatie moet je altijd geven, ook als je denkt dat iets nu eenmaal logisch is. Er moeten meer dan 11 punten in de privacyverklaring worden opgenomen en dat moet je dan zo kort en begrijpelijk mogelijk omschrijven.
Zo moet je bijvoorbeeld vertellen dat er namen en adresgegevens worden verzameld om producten te kunnen versturen en dat betalingsgegevens aan betaaldiensten verstrekt zullen worden om de financiële transactie tot stand te brengen.

Niet meer verzamelen dan nodig
Er zijn een aantal wettelijke grondslagen op basis waarvan de persoonsgegevens verzameld mogen worden. Voor de webwinkel is dat in elk geval de overeenkomst, voor de gegevens die nu eenmaal nodig zijn om een bestelling aan te kunnen nemen en de producten te kunnen verzenden. Wil je ook andere gegevens verzamelen, zoals een geboortedatum, dan heb je daar vaak toestemming voor nodig. Je mag er dus wel om vragen, maar je mag mensen niet verplichten die informatie te verstrekken.
Je mag ook niet meer verzamelen dan nodig is. Dataminimalisatie wordt dat ook wel genoemd. Probeer persoonsgegevens daarom te pseudonimiseren, anonimiseren of te verwijderen, wanneer ze niet meer nodig zijn.

Bewaartermijn
Persoonsgegevens mogen niet langer bewaard worden dan nodig. Tsja, wat is niet langer dan nodig? Daarover is nog geen duidelijkheid. Wat in elk geval niet mag is het oneindig bewaren van gegevens.
Natuurlijk zijn er bepaalde gegevens die je nu eenmaal voor andere instanties moet bewaren, zoals je bijvoorbeeld facturen voor de Belastingdienst moet bewaren. Dan zijn die termijnen uiteraard redelijke termijnen. Is het mogelijk om bij jouw webwinkel een account aan te maken, dan zou je kunnen zeggen dat de gegevens zo lang opgeslagen worden als het account bestaat of X periode na de laatste bestelling zal worden verwijderd. Je wil tenslotte wel dat je klanten van een account gebruik kunnen blijven maken na een bestelling en dat die gegevens niet meteen verwijderd worden. Maar mensen vergeten accounts ook wel eens, dus het account na enkele jaren verwijderen is redelijk.

Verantwoordingsplicht: Intern privacybeleid
Een intern privacybeleid verplicht als het bedrijf >250 medewerkers heeft of wanneer er bijzondere gegevens worden verzameld, zoals portretfoto’s, geloofsovertuiging, seksuele voorkeur of medische gegevens.
Maar: elke partij die persoonsgegevens verzamelt heeft een verantwoordingsplicht. Dat wil zeggen dat je aan de Autoriteit Persoonsgegevens kunt uitleggen hoe er specifiek met persoonsgegevens wordt omgegaan. Waar ze worden opgeslagen, hoe ze worden beveiligd, hoe de dataminimalisatie is geregeld, wat het protocol is bij datalekken en meer van dat soort zaken. Dat kun je het beste, snelste en gemakkelijkst verantwoorden door een privacybeleid op te stellen en dat aan de Autoriteit Persoonsgegevens te laten zien.

Verwerkersovereenkomsten
Natuurlijk doe je als webwinkel niet alles zelf. Er zijn andere partijen die ook persoonsgegevens van jou zullen ontvangen. Bijvoorbeeld omdat alle gegevens van bestellingen ergens op een server van een hostingbedrijf worden opgeslagen, omdat betaalgegevens aan betaaldiensten worden geleverd en omdat het fulfilment bedrijf de verzendingen voor de webwinkel verzorgt. Alle partijen die ook maar enigszins in aanraking komen met de persoonsgegevens, daar zul je een verwerkersovereenkomst mee moeten sluiten. Hoe groter de organisatie, hoe groter de kans dat er al verwerkersovereenkomsten klaarliggen en je ze alleen nog maar hoeft op te vragen, maar met kleinere partijen zul zelf een overeenkomst moeten sluiten die je zelf schrijft of laat schrijven. Het voordeel van zelf die overeenkomst sluiten is natuurlijk wel dat je ook in de hand hebt wat erin staat en hoe bijvoorbeeld de verantwoordelijkheden en risico’s verdeeld zijn.

Plan van aanpak
Het allerbelangrijkste is om eerst te inventariseren welke gegevens verzameld worden, voor welke doeleinden, waar ze opgeslagen worden en hoe ze beveiligd worden. Door dat te inventariseren heb je meteen de meeste informatie al te pakken die je nodig hebt voor een goede privacyverklaring en het privacybeleid. Bovendien weet je met welke partijen je een verwerkersovereenkomst nodig hebt en wat je eventueel nog aan de beveiliging van de persoonsgegevens moet doen om dat te optimaliseren.

Bron: https://www.charlotteslaw.nl/