Nieuwe privacywetgeving: waar moet je op letten?

Gastblog door deJuristen Amsterdam

Wellicht heb je er inmiddels van gehoord. Vanaf 25 mei 2018 is de nieuwe Europese privacywetgeving rechtstreeks van toepassing in alle lidstaten van de Europese Unie. Deze ‘Algemene Verordening Gegevensbescherming’ (AVG) of ‘General Data Protection Regulation’ (GDPR) vervangt de huidige Nederlandse wetgeving.

Wat betekent deze nieuwe wetgeving nu voor webwinkeliers?

Transparantie en verantwoording zijn de twee sleutelwoorden van de nieuwe wetgeving. Als onderneming word je verplicht open te zijn over de persoonsgegevens die je verzamelt en wat je daarmee doet. Daarnaast moet je kunnen aantonen dat jouw beveiligingsmaatregelen op orde zijn. Een datalek is nou eenmaal nooit voor 100% te voorkomen, daar gaat de wetgeving ook niet vanuit. Maar mocht het dan toch gebeuren, dan moet je bij de nationale toezichthouder (de Autoriteit Persoonsgegevens) kunnen aantonen dat jouw beveiliging en gegevensadministratie op orde zijn.

Als webwinkel verwerk je eigenlijk altijd persoonsgegevens. Denk aan naam, adres en de woonplaats van jouw klanten. Daarnaast zijn ook de gegevens van jouw werknemers natuurlijk persoonsgegevens. In deze blog gaan we daarom wat dieper in op de volgende vragen:

  1. Wat voor soort persoonsgegevens mag je verzamelen?
  2. Welke verplichtingen heb je als webwinkel tegenover klanten?
  3. Waar moet een webwinkel nog meer aan voldoen?

1. Wat voor soort persoonsgegevens mag je verzamelen?

Eigenlijk is er geen beperking aan het soort gegevens dat je mag verzamelen. Maar voor elke soort persoonsgegevens die je verzamelt wel een geldige reden hebben. Voor webwinkels zijn er vier wettelijke grondslagen belangrijk op basis waarvan je persoonsgegevens mag verzamelen;

  • Verwerken van gegevens voor de uitvoering van de overeenkomst;
  • Verwerken van gegevens om aan een wettelijke verplichting te voldoen;
  • Verwerken van gegevens vanwege een gerechtvaardigd belang;
  • Verwerken van gegevens na toestemming van de klant.

De meeste gegevens die je als webwinkelier verzamelt en verwerkt zullen ‘noodzakelijk zijn voor de uitvoering van de overeenkomst’. Naam, adres en betalingsgegevens heb je immers nodig om een bestelling te kunnen leveren. Ook het vragen van een leeftijd kan noodzakelijk zijn, omdat je bijvoorbeeld niet aan minderjarigen mag verkopen. Een leeftijdscontrole kan echter ook een wettelijke verplichting zijn (denk aan verkoop van alcoholische dranken).

Een gerechtvaardigd belang is voor een webwinkel bijvoorbeeld direct marketing. Het e-mailadres van een bestaande klant, mag je ook gebruiken om de klant over andere producten te informeren. Het moet voor een klant wel gemakkelijk zijn om zich uit te schrijven van de communicatie.

Verzamel je gegevens op basis van toestemming, dan mag je die gegevens enkel gebruiken voor het doel waarvoor ze gekregen zijn.

2. Welke verplichtingen heb je als webwinkel tegenover klanten?

Transparantie is één van de sleutelwoorden van de nieuwe wetgeving. Informeer je klanten over de persoonsgegevens die je verzamelt en waarom die verzameld worden. De meest gangbare manier om klanten hierover te informeren is via een apart privacybeleid (privacy policy) die via jouw website te raadplegen is. Informeer je klanten in duidelijke, simpele taal over de volgende zaken.

  • Welke persoonsgegevens verzamel je;
  • Waarom deze gegevens worden verzameld;
  • Hoe jouw klanten gegevens kunnen inzien, wijzigen of verwijderen;
  • Hoelang klantgegevens bewaard worden;
  • Eventuele derde partijen (dienstverleners) waar de klantgegevens mee gedeeld worden (zoals een hostingpartij);
  • Contactgegevens van jouw webshop.

Het is overigens niet toegestaan om zonder expliciete toestemming persoonsgegevens door te geven aan derden indien dat niet noodzakelijk is voor de uitvoering van de overeenkomst. Denk bijvoorbeeld aan doorverkopen van e-mailadressen aan derde partijen voor marketingdoeleinden.

Verwerkt jouw webshop of een derde partij de persoonsgegevens (ook) buiten de EU, dan moet je dit ook melden in je privacybeleid. Je moet jouw klanten informeren welke waarborgen er in dat geval genomen worden om de gegevens te beschermen.

3. Waar moet een webwinkel nog meer aan voldoen?

Verwerkersovereenkomst

Als webwinkel werk je vaak samen met externe partijen. Jouw hostingpartij kan bijvoorbeeld toegang hebben tot persoonsgegevens van jouw klanten. Afspraken over die verwerking van gegevens moeten ook vastgelegd worden, bijvoorbeeld in een zogenaamde ‘verwerkersovereenkomst’. Als webshop verzamel je de gegevens en word je aangemerkt als ‘verwerkingsverantwoordelijke’. De derde partij ontvangt de gegevens van jou voor een bepaald doel en wordt aangemerkt als ‘verwerker’

De verwerkersovereenkomst geeft inzicht in de verplichtingen en verantwoordelijkheden van beide partijen. Het doel van een verwerkersovereenkomst is dan ook om ervoor te zorgen dat verwerkers ook de nodige beveiligingsmaatregelen nemen.

Verwerkingsregister en data(lek)beleid

De AVG verplicht ondernemingen die structureel persoonsgegevens verwerken (zoals webwinkels) om duidelijk in kaart te brengen welke soort persoonsgegevens er binnenkomen en welke eruit gaan, waar deze gegevens vastgelegd zijn, wie er toegang tot heeft et cetera. Dit dient vastgelegd te worden in een zogenaamd ‘verwerkingsregister’. Het opstellen van zo’n register hoeft niet ingewikkeld te zijn en kan bijvoorbeeld in Microsoft Excel. Ook worden er inmiddels veel softwaretools aangeboden voor registratie van dataverwerking.

Per categorie persoonsgegevens die je verzamelt moet het volgende geregistreerd worden:

  • Wat voor soort persoonsgegevens worden er verzameld?
  • Wat is het doel van de gegevensverzameling?
  • Welke interne partijen (medewerkers) hebben toegang tot de gegevens?
  • Welke externe partijen hebben toegang tot de gegevens?
  • Waar worden de gegevens opgeslagen?
  • Wat zijn de (voorgenomen) bewaartermijnen?
  • Welke beveiligingsmaatregelen worden er genomen?

Naast een verwerkingsregister zijn ondernemingen verplicht om een duidelijke procedure te hebben die in werking wordt gesteld in het geval van een datalek. De kans dat er een datalek ontstaat, blijft namelijk altijd aanwezig. Weet wanneer je een lek verplicht bent om te melden en zorg er als webwinkel voor dat je een vast aanspreekpunt hebt in jouw organisatie.

Je mag er vanuit gaan dat een verlies van onversleutelde ‘normale’ persoonsgegevens, zoals namen en e-mail, altijd verplicht bent te melden aan de toezichthouder.

Nieuwe cookiewetgeving (E-privacy verordening)

Naast de AVG, moet in mei ook de nieuwe E-privacy verordening in werking treden (maar deze loopt waarschijnlijk vertraging op). De wetgeving is voor webwinkeliers van belang, nu de E-privacy verordening de cookiewetgeving aanpast.

Zoals ook nu al het geval is, hoeft geen toestemming gevraagd te worden voor het plaatsen van ‘privacy-vriendelijke’ cookies. Dit zijn cookies die enkel de internet-ervaring van consumenten verbeteren, zoals het onthouden van een winkelmandje of het bijhouden van het aantal bezoekers.

Toestemming voor andere soorten cookies moeten consumenten straks via hun webbrowser kunnen aan- en uitzetten. Daar moeten websites zich vervolgens aan houden. Zo hoopt men het aantal cookiebanners te verminderen. Voor tracking cookies (profilering) blijft geïnformeerde toestemming vragen noodzakelijk.

Wat betekent dit en wat zijn de gevolgen voor jouw webshop?

Wat zijn cookies?

Een cookiebestand wordt gebruikt om een bezoeker te herkennen wanneer die een website bezoekt. Het bevat een persoonlijk ID nummer waarmee opgeslagen gegevens over een persoon opgehaald kunnen worden. Deze gegevens worden opgeslagen op een server zodat bezoekers ook te herkennen zijn als ze inloggen met een ander apparaat. Er zijn verschillende soorten cookies die geplaatst kunnen worden:

  • Functionele cookies
    Functionele cookies zijn nodig om je website te laten functioneren. Denk bijvoorbeeld aan het opslaan van producten in je winkelmandje en ingelogd blijven op een webshop. Hier hoeven websites geen toestemming voor te vragen.
  • Analytische cookies
    Door analytische cookies kun je inzicht krijgen in het gedrag van de websitebezoekers. Met deze inzichten kun je jouw website optimaliseren wat resulteert in betere gebruikerservaringen. De bezoekers moeten wel geïnformeerd worden over deze cookies in een cookie- of privacyverklaring, maar hoeven geen toestemming te geven.
  • Tracking cookies
    Deze cookies worden ook wel advertentie cookies genoemd. Dit zijn de cookies die ervoor zorgen dat je bijvoorbeeld een advertentie ziet op je Facebook tijdlijn van een product die je zojuist op een webshop hebt bekeken. Voor deze cookies is toestemming nodig van de gebruiker.

De grootste veranderingen door de cookiewet

Met de invoering van de nieuwe cookiewet kunnen functionele cookies nog gewoon gebruikt worden. De grootste veranderingen gelden voor de analytische cookies en tracking cookies.

Gebruik je Google Analytics? Om gebruik te blijven maken van Google Analytics is het van belang om een bewerkingsovereenkomst met Google Analytics af te sluiten, het IP-adres anoniem te maken en het delen van statistieken met Google uit te zetten.

Maak je gebruik van Google Adwords of andere manieren van adverteren? Als een gebruiker in de browser heeft aangegeven geen tracking cooking te accepteren, zal je deze persoon niet meer met advertenties kunnen re-targetten. Een “cookiemuur” die de website afschermt als de gebruiker geen toestemming geeft voor tracking cookies mag niet meer na de invoering van de nieuwe cookiewet. Een website moet volgens de EU namelijk volledig toegankelijk zijn voor iedereen. Wel is er een mogelijkheid om bijvoorbeeld een melding weer te geven dat de tracking-cookies uitstaan om gebruikers vervolgens te ‘verleiden’ deze alsnog toe te staan.

Gebruik je op dit moment een cookie-melding op jouw one-stop-webshop webwinkel? Die is te zijner tijd niet meer nodig en kan dan weggehaald worden.

Wil je eens sparren hoe jij het beste met deze nieuwe cookiewet kunt omgaan of weten wat de implicaties zijn voor jouw webshop? Neem dan contact op met Angelique via mail of bel naar 010 30 73 678.

Werk aan de (web)winkel!

Ook webwinkels, groot of klein, krijgen dus te maken met de AVG. Het is echter niet nodig om hier van te schrikken. Veel maatregelen zijn namelijk vooral van administratieve aard, maar moeten nu eenmaal wel genomen worden. Mochten bepaalde verplichtingen niet duidelijk zijn of wil je graag wat meer uitleg of hulp, dan helpt deJuristen je graag verder.

Stuur een e-mail naar contact@dejuristen.legal of neem telefonisch contact op via (+31) 085 888 3900. Andere vragen? Je kunt uiteraard ook contact met ons opnemen via het contactformulier.