Is jouw webwinkel klaar voor de nieuwe privacywetgeving?

webwinkel

23 januari 2018, leestijd 10 minuten.

Deze blog schreven wij voor Sendcloud.

Vanaf 25 mei 2018 is de nieuwe Europese privacywetgeving rechtstreeks van toepassing in alle lidstaten van de Europese Unie. Deze ‘Algemene Verordening Gegevensbescherming’ (AVG) wordt ook wel de General Data Protection Regulation (GDPR) genoemd.  De AVG vervangt de huidige Nederlandse wetgeving, de Wet bescherming persoonsgegevens (Wbp).

Met deze Europese regelgeving wordt de privacywetgeving in alle Europese landen nagenoeg gelijk getrokken. Verkoop je regelmatig aan consumenten in andere EU-landen, dan geeft deze wet jou ook een stukje rechtszekerheid. Maar wat voor gevolgen heeft deze nieuwe privacywetgeving nu voor jou als webwinkelier shophouder?

Transparantie en accountability zijn de twee sleutelwoorden van de nieuwe wetgeving. Als onderneming word je verplicht open te zijn over de persoonsgegevens die je verzamelt en wat je daar mee doet. Daarnaast moet je kunnen aantonen dat jouw beveiligingsmaatregelen op orde zijn. Een datalek is nou eenmaal nooit voor 100% te voorkomen, daar gaat de wetgeving ook niet van uit. Maar mocht het dan toch gebeuren, dan moet je bij de nationale toezichthouder (Autoriteit Persoonsgegevens) kunnen aantonen dat jouw beveiliging en gegevensadministratie op orde zijn.

Om organisaties te bewegen tot een transparant en ‘accountable’ privacybeleid, zijn er een aantal nieuwe verplichtingen waar webwinkels rekening mee moeten houden. In deze blog worden de volgende zaken behandeld:

  1. Is de AVG überhaupt op webwinkels van toepassing?
  2. Welke persoonsgegevens mogen webwinkels verzamelen?
  3. Welke verplichtingen heeft een webwinkel tegenover klanten?
  4. Welke verplichtingen heeft een webwinkel tegenover leveranciers?
  5. Waar moet een webwinkel nog meer aan voldoen?

1. Is de AVG überhaupt op webwinkels van toepassing?

Verwerkt mijn webshop persoonsgegevens van EU-burgers’ is de vraag die een webwinkelier zichzelf moet stellen. De privacywetgeving is dus enkel van toepassing op persoonsgegevens. Dit zijn alle gegevens die direct of indirect tot een persoon herleidbaar zijn, denk aan naam, adres en e-mail, maar ook IP-adressen, locatiegegevens of bankgegevens. Bedrijfsgegevens zijn geen persoonsgegevens. Er is sprake van ‘verwerken’ wanneer je gegevens verzamelt, vastlegt, ordent, opslaat, wijzigt, opvraagt, raadpleegt, gebruikt of wist. De gemiddelde webwinkel zal dus inderdaad moeten voldoen aan de nieuwe wetgeving.

 2. Welke persoonsgegevens mogen webwinkels verwerken?

Er is in principe geen beperking aan het soort of aantal persoonsgegevens dat je mag verzamelen of verwerken. Je moet voor de verwerking van iedere soort persoonsgegevens echter wel een geldige reden hebben. Voor webwinkels zijn er vier grondslagen op basis waarvan je persoonsgegevens mag verzamelen;

  • Verwerken van gegevens voor de uitvoering van de overeenkomst;
  • Verwerken van gegevens om aan een wettelijke verplichting te voldoen;
  • Verwerken van gegevens vanwege een gerechtvaardigd belang;
  • Verwerken van gegevens na toestemming van de klant.

De meeste gegevens die je als webwinkelier verzamelt en verwerkt zullen ‘noodzakelijk zijn voor de uitvoering van de overeenkomst’. Naam, adres en betalingsgegevens heb je immers nodig om een bestelling te kunnen leveren. Ook het vragen van een leeftijd kan noodzakelijk zijn, omdat je bijvoorbeeld niet aan minderjarigen mag verkopen. Een leeftijdscontrole kan echter ook een wettelijke verplichting zijn (denk aan verkoop van alcoholische dranken).

Een voorbeeld van een gerechtvaardigd belang is direct marketing. Wanneer je een e-mailadres hebt verkregen vanwege een gedane bestelling, mag je dit mailadres ook gebruiken om een klant over andere producten te informeren. Een klant moet wel  makkelijk bezwaar kunnen maken tegen dit gebruik, bijvoorbeeld door zijn e-mailadres uit te schrijven.

Verzamel je gegevens op basis van toestemming, dan mag je die gegevens enkel gebruiken voor het doel waarvoor ze gekregen zijn.

3. Welke verplichtingen heeft een webwinkel tegenover klanten?

Zoals eerder aangehaald, moet je als webwinkelier richting je klanten vooral transparant zijn over de persoonsgegevens die je verzamelt en waarom die verzameld worden. De meest gangbare manier om klanten hierover te informeren is via een apart privacybeleid (privacy policy) die via jouw website te raadplegen is. In jouw privacybeleid moeten in ieder geval de volgende zaken in duidelijke taal worden benoemd (geen ellenlang juridisch jargon dus):

  • Welke persoonsgegevens van klanten verzameld worden;
  • Het doel waarvoor de persoonsgegevens verzameld worden;
  • Informatie over de wijze van inzage, correctie of verwijdering van persoonsgegevens;
  • De bewaartermijn van gegevens;
  • Categorie van derde partijen waar persoonsgegevens mee worden gedeeld;
  • Contactgegevens van jouw webshop.

Correctie, verwijdering en opvragen van gegevens

Klanten moeten de mogelijkheid hebben om hun eigen persoonsgegevens te corrigeren en te verwijderen. In jouw privacybeleid moet duidelijk staan hoe klanten dit kunnen doen. Je kunt dit automatiseren, maar duidelijke contactgegevens (e-mail) waar zo’n verzoek naartoe gestuurd kan worden volstaat ook. Daarnaast moeten klanten ook de mogelijkheid hebben om hun data op te vragen, ook wel dataportabiliteit genoemd. Wanneer je zo’n verzoek krijgt, moet je de persoonsgegevens binnen een maand in een gangbare vorm opsturen. Dit kan bijvoorbeeld een Excelbestand zijn.

Bewaartermijnen

Voor iedere categorie persoonsgegevens moeten ook bewaartermijnen worden bepaald. De AVG zegt niets over harde termijnen. Sterker nog, de AVG zegt alleen dat gegevens bewaard mogen worden, ‘zolang dat nodig is voor het doel waarvoor ze verzameld zijn’. Bij een webwinkel is dit relatief makkelijk in te kleden. Zolang een klant een account heeft blijven de gegevens bewaard. Verwijdert een klant zijn account? Dan zal je binnen een redelijke termijn ook de gegevens daadwerkelijk moeten verwijderen.

Dit geldt natuurlijk niet voor gegevens die je vanwege een wettelijke verplichting langer dient te bewaren. Denk bijvoorbeeld aan facturen of gegevens van werknemers. Overigens gelden er geen bewaartermijnen bij geanonimiseerde klantengegevens. Wanneer je bepaalde klantendata wil bijhouden (wat is de gemiddelde klantleeftijd, gemiddelde uitgaveprijs) dien je deze dus te anonimiseren.

Contactgegevens van derde partijen

Als webshop deel je de klantgegevens ook met jouw servicediensten zoals een betalingsprovider of pakketservice. Die doorgifte van persoonsgegevens is nou eenmaal ‘noodzakelijk voor de uitvoering van de overeenkomst’. Daarvoor heb je geen toestemming nodig van de klant. Je moet de klant wél informeren over het feit dat de gegevens gedeeld worden. Het is voldoende wanneer je de verschillende categorieën servicediensten noemt. Het is overigens niet toegestaan om zonder expliciete toestemming persoonsgegevens door te geven aan derden indien dat niet noodzakelijk is voor de uitvoering van de overeenkomst. Denk bijvoorbeeld aan doorverkopen van e-mailadressen aan derde partijen voor marketingdoeleinden.

Verwerkt jouw webshop of een derde partij de persoonsgegevens (ook) buiten de EU, dan moet je dit ook melden in je privacybeleid. Je moet jouw klanten informeren welke waarborgen er in dat geval genomen worden om de gegevens te beschermen.

 4. Welke verplichtingen heeft een webwinkel tegenover leveranciers?

Verwerkersovereenkomst
Webwinkels werken vaak samen met externe partijen. Jouw webshop heeft wellicht Sendcloud als verzendservice. Je deelt dan persoonsgegevens met Sendcloud, als derde partij. Afspraken over die verwerking van gegevens moeten verplicht vastgelegd worden in een zogenaamde ‘verwerkersovereenkomst’. Als webshop verzamel je de gegevens en word je aangemerkt als ‘verwerkingsverantwoordelijke’. De derde partij ontvangt de gegevens van jou voor een bepaald doel en wordt aangemerkt als ‘verwerker’

De verwerkersovereenkomst geeft inzicht in de verplichtingen en verantwoordelijkheden van beide partijen. Het doel van een verwerkersovereenkomst is dan ook om ervoor te zorgen dat verwerkers ook de nodige beveiligingsmaatregelen nemen. De onderstaande zaken moeten in ieder geval in een verwerkersovereenkomst opgenomen zijn:

  • De duur, beschrijving en doeleinden van de gegevensverwerking;
  • Beveiligingsmaatregelen en audits;
  • Waarborging van betrouwbaarheid van personeel;
  • Melding van een datalek aan verwerkingsverantwoordelijke;
  • Medewerkings- en inlichtingenplicht;
  • Toestemming voor inschakelen subverwerkers;
  • Waarborgen bij gegevensverkeer buiten de EU;
  • Retour of vernietiging van gegevens bij einde van de dienstverlening.

 5. Waar moet een webwinkel nog meer aan voldoen?

Naast de nieuwe verplichtingen tegenover klanten en leveranciers, zal je als webwinkelier ook intern nieuwe procedures moeten instellen of aanpassen. Met de nieuwe privacywetgeving komen er bijvoorbeeld wat administratieve lasten bij.

Verwerkingsregister

De AVG verplicht ondernemingen die structureel persoonsgegevens verwerken (zoals webwinkels) namelijk om duidelijk in kaart te brengen welke stromen van persoonsgegevens er binnenkomen en welke eruit gaan. Die stromen moeten vastgelegd worden in een zogenaamd verwerkingsregister. Het opstellen van zo’n register is geen hogere wiskunde, met Excel kom je een heel eind.

Per categorie persoonsgegevens die je verzamelt moet het volgende geregistreerd worden:

  • Wat voor soort persoonsgegevens worden er verzameld?
  • Wat is het doel van de gegevensverzameling?
  • Welke interne partijen (medewerkers) hebben toegang tot de gegevens?
  • Welke externe partijen hebben toegang tot de gegevens?
  • Waar worden de gegevens opgeslagen?
  • Wat zijn de (voorgenomen) bewaartermijnen?
  • Welke beveiligingsmaatregelen worden er genomen?

Wij raden alle ondernemingen aan om een verwerkingsregister op te stellen. Ook indien een onderneming niet de verwerkingsverantwoordelijke, maar enkel de verwerker van persoonsgegevens is.

Datalek; procedure en meldingsplicht

Naast een verwerkingsregister zijn ondernemingen verplicht om een duidelijke procedure te hebben die in werking wordt gesteld in het geval van een datalek. De kans dat er een datalek ontstaat, blijft namelijk altijd aanwezig. Zorg er als webwinkel voor dat je een vast aanspreekpunt hebt in jouw organisatie.

Heeft er een datalek plaatsgevonden, dan zal je dit in sommige gevallen moeten melden aan de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP). Of je een datalek moet melden of niet, hangt af van het soort persoonsgegevens die gelekt zijn. Je bent een datalek verplicht te melden indien ‘de inbreuk een risico inhoudt voor de rechten en vrijheden van de personen’. Dit is nou niet direct een hele duidelijke omschrijving. Je mag er vanuit gaan dat een verlies van onversleutelde ‘normale’ persoonsgegevens, zoals namen en e-mail, altijd verplicht bent te melden aan de AP.

Verlies van gevoelige gegevens moet altijd gemeld worden aan de AP en aan de betrokken personen zelf. Je moet dan denken aan gegevens over gezondheid, ras of geloof. Ook bankrekeningnummers of een BSN-nummer zijn gevoelige gegevens. Ook het verlies van wachtwoorden dient aan de AP en aan betrokken personen gemeld te worden, aangezien mensen vaak dezelfde wachtwoorden voor verschillende accounts hebben. Een lek dient binnen 72 uur aan de AP gemeld te worden.

Privacy ‘awareness’

De AVG introduceert ook twee nieuwe termen, namelijk ‘Privacy by design’ en ‘Privacy by default’. Deze nieuwe wetgeving moet ervoor zorgen dat ondernemingen al in ontwikkelprocessen rekening houden met gegevensbeveiliging en privacy-instellingen. Een voorbeeld is het direct versleutelen of pseudonimiseren van klantgegevens. Een ander voorbeeld is het minimaliseren van gegevensverwerking. Vraag je als webshop af welke gegevens je nou écht nodig hebt van klanten.

En die DPO en PIA dan?

Twee andere belangrijke verplichtingen voor organisaties zijn het instellen van een ‘Data Protection Officer’ (DPO) en ‘Privacy Impact Assessment’ (PIA).

Een DPO, in gewoon Nederlands ook wel de Functionaris Gegevensbescherming, is een onafhankelijk persoon die binnen een organisatie een controlerende rol heeft met betrekking tot de omgang en bescherming van persoonsgegevens. Een PIA is een onderzoek naar de privacyrisico’s bij de bestaande of nieuwe verwerkingen van persoonsgegevens. De gemiddelde webshop zal geen DPO aan hoeven te stellen of een PIA hoeven uit te voeren. Deze verplichtingen zijn er vooral voor organisaties die op grote schaal gevoelige persoonsgegevens verwerken of op grote schaal het gedrag van consumenten monitoren (profilering).

Aan de slag!

De nieuwe wetgeving legt heel wat nieuwe verplichtingen op aan webwinkeliers. Het is echter niet nodig om hier van te schrikken. Het betreft namelijk vooral het vergroten van de transparantie en accountability van bedrijven en je kunt hier zelf dan ook al veel maatregelen voor treffen. Mochten bepaalde verplichtingen niet duidelijk zijn of je mocht je hier vragen of hulp bij nodig hebben, dan helpt deJuristen je graag verder.