Wat houdt de nieuwe Europese privacywetgeving (AVG) in en wat verandert er allemaal door? Lees hier hoe jij je als webshopeigenaar kunt voorbereiden op deze nieuwe privacywetgeving!

Vanaf 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). De AVG vervangt de huidige Wet Bescherming Persoonsgegevens (WBP). De wetgeving geldt voor alle organisaties die zich richten op de Europese markt of persoonsgegevens van Europese burgers verwerken. Het maakt niet uit of deze organisaties binnen of buiten de Europese Unie gevestigd zijn.

 

Wat verandert er door de AVG?

De AVG versterkt de positie van de mensen van wie persoonsgegevens worden verwerkt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en moeten kunnen aantonen dat zij zich aan de wet houden (verantwoordingsplicht en documentatieplicht). Ook gelden er nu flink hogere boetes. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen die kunnen oplopen tot 20 miljoen of 4% van de wereldwijde omzet.

Wat moet je als webshop doen?

• De klant moet controle kunnen uitoefenen over zijn persoonsgegevens
  • Persoonsgegevens
  • Klant ‘in control’
• Er moet een wettelijke basis (grondslag) zijn voor het vastleggen van persoonsgegevens
  • Wettelijke basis
• Alles wat met persoonsgegevens gedaan wordt, moet aantoonbaar vastgelegd zijn. Het kan zijn dat je organisatie verplicht is de volgende zaken te realiseren. Bepaal dit van te voren.
  • Een register met verwerkingen
  • Een Privacybeleid
  • Een functionaris gegevensbescherming
• De informatiebeveiliging moet up-to-date zijn én blijven
  • Je moet van te voren uitzoeken of je verplicht bent een data protection impact assessment (DPIA) uit te voeren
• Alleen gegevens die actief nodig zijn, mogen verwerkt en bewaard worden
  • Privacy by design
  • Privacy by default
• Wanneer externe partijen persoonsgegevens verwerken waar jouw organisatie verantwoordelijk voor is, moet dat worden vastgelegd in een verwerkersovereenkomst
  • Verwerkersovereenkomst

Hulp nodig?

We kunnen ons voorstellen dat je als webshop hulp kunt gebruiken om AVG-proof te worden. Er zijn een aantal instanties die online tools bieden ter ondersteuning. Zowel op de website ondernemersplein.nl als op de website van de Kamer van Koophandel en de website van de Autoriteit Persoonsgegevens vind je een stappenplan dat je langs de belangrijkste aspecten van de AVG leidt. Ook biedt de Autoriteit Persoonsgegevens een beknopte regelhulp en een uitgebreide handleiding waarmee je een beeld krijgt hoe ABP-proof je organisatie is en hoe je organisatie nog verbeteringen kan of moet aanbrengen.

Zoek je meer concrete hulp bij het aanpassen van je webshop? Neem dan contact met ons op. We helpen je graag verder.

Persoonsgegevens

Een persoonsgegeven is informatie waarmee direct of indirect een natuurlijk persoon kan worden geïdentificeerd. Voor een webshop zijn gangbare persoonsgegevens bijvoorbeeld naam, geboortedatum, geslacht, e-mailadres, telefoonnummer, adresgegevens, IP-adressen, (tracking) cookies en mobiele lokatiegegevens.

Daarnaast wordt er in de wetgeving gesproken van bijzondere persoonsgegevens. Dit zijn gevoelige gegevens zoals biometrische gegevens, genetische gegevens, gezondheid, godsdienst, lidmaatschap van een vakvereniging, politieke opvatting, ras, seksuele voorkeur of strafrechtelijk gedrag.

De klant ‘in control’

De klant moet controle kunnen uitoefenen. Daarom heeft de klant volgens  de AVG recht op informatie, recht om vergeten te worden en recht om zijn of haar gegevens in te zien, te wijzigen en over te dragen aan een andere organisatie. Als organisatie ben je er verantwoordelijk voor dat klanten hun rechten eenvoudig kunnen uitoefenen. Bekijk op welke manier jouw organisatie de bovengenoemde rechten van klanten kan waarborgen.

Het recht op informatie vertaalt zich in een (online) privacyverklaring. Op de website van de AP staat een overzicht aan welke eisen een privacyverklaring in ieder geval moet bevatten.

De nieuwe wetgeving stelt daarnaast ook strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Zo moet de klant actief toestemming geven en ook kunnen weigeren. Voor elk doel apart, er dient dus per doel een opt-in te zijn. Toestemming intrekken moet ook (eenvoudig) mogelijk zijn. Verder moet de klant informatie krijgen over waar hij toestemming voor geeft. De AVG geeft aan welke informatie minimaal gegeven moet worden. Daarnaast moet de informatie goed te onderscheiden zijn van andere informatie en mag bijvoorbeeld niet opgenomen zijn in de algemene voorwaarden.

Voldoet de toestemming niet aan de eisen? Dan is de toestemming niet geldig. De persoonsgegevens mogen dan niet verwerkt worden.

Wettelijke basis

Als organisatie moet je voor het verwerken van elk soort persoonsgegeven een wettelijke basis hebben. Dit wordt een grondslag genoemd. Grondslagen kunnen zijn

• de actieve en ondubbelzinnige toestemming van de klant,
• de noodzaak voor de totstandkoming of uitvoering van een overeenkomst, zoals het gebruiken van een adres voor het versturen van een pakket,
• wettelijke verplichting, zoals het gebruiken van iemands leeftijd voor het uitvoeren van een leeftijdscontrole,
• gerechtvaardigd belang,
• algemeen belang en
• vitale belangen.

Als geen van deze grondslagen geldt, mag je het persoonsgegeven niet verwerken.

Je mag persoonsgegevens niet voor een ander doel gebruiken. Als je bijvoorbeeld een adres opslaat om daar een pakketje naartoe te sturen, dan mag je dat adres niet zomaar doorgeven aan een adverteerder. Voor dit tweede doel moet je ook een grondslag hebben, bijvoorbeeld toestemming van de klant.

Register met verwerkingen

In een register leg je onder andere vast welke persoonsgegevens worden gebruikt, met welk doel, op basis van welke grondslag, waar ze worden opgeslagen, wat er mee gedaan wordt en wie er toegang tot de gegevens hebben. Afhankelijk van wat jouw organisatie met persoonsgegevens doet, moet je bepaalde informatie opnemen in het register. Op de website van de AP vindt je welke informatie dit is.

Je bent verplicht een register op te stellen als je organisatie meer dan 250 medewerkers telt of als je bedrijf persoonsgegevens verwerkt

• waarvan de verwerking niet incidenteel is,
• die een hoog risico inhouden voor de rechten en vrijheden van de betreffende personen en
• die vallen onder de categorie bijzondere persoonsgegevens.

Voor een webshop is een register dus naar alle waarschijnlijkheid altijd verplicht, omdat bij elke verkoop persoonsgegevens van de klant worden verwerkt (zoals de naam van de persoon en adresgegevens). Verwerking van persoonsgegevens is dan niet meer incidenteel. je moet dit register kunnen verstrekken als de AP daar om vraagt. Het register kan daarnaast een hulpmiddel zijn bij het ontwerpen en inrichten van de technische en organisatorische maatregelen van je bedrijf.

Privacybeleid

Of je verplicht bent om een gegevensbeschermingsbeleid, ook wel privacybeleid op te stellen, hangt af van de concrete omstandigheden. Zoals de aard, de omvang, de context en het doel van de gegevensverwerking. Ook als jouw bedrijf niet verplicht is een privacybeleid op te stellen kan het handig zijn dit wel te doen. Je kunt hier namelijk mee aantonen dat je bedrijf aan de AVG voldoet.

Uit het privacybeleid moet blijken hoe je bedrijf voldoet aan de AVG. Er wordt niet concreet gemaakt hoe je dat moet doen. Maar denk bijvoorbeeld aan de volgende informatie:

• Hoe wordt er voldaan aan de beginselen van verwerking van persoonsgegevens? Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk.
• Hoe kunnen klanten bij jouw webshop hun privacyrechten uitoefenen? Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens.
• Welke organisatorische en technische maatregelen zijn genomen om de persoonsgegevens te beveiligen? Denk bijvoorbeeld aan autorisatiebeheer voor de toegang tot persoonsgegevens inrichten of het automatisch verwijderen van verouderde gegevens of het versleutelen van gegevens. Overigens, in de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren.

Ook kan het register met verwerkingen opgenomen worden in het privacybeleid om aan te tonen dat er voldaan wordt aan de AVG.

Functionaris gegevensbescherming

De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Inventariseer of dat voor jouw organisatie van toepassing is en stel indien nodig een FG aan.

Voor webshops kan dit verplicht zijn in de volgende gevallen:

• Wanneer er bijzondere persoonsgegevens verwerkt worden.
• Wanneer het profilen van mensen (mensen in groepen indelen of het gedrag van mensen voorspellen) een kerntaak van de organisatie is en dit op grote schaal gebeurd. Denk hierbij aan e-mailretargeting, loyaliteitsprogramma’s en het profilen van mensen om gerichte advertenties te kunnen tonen.

Ook als je organisatie niet verplicht is een FG aan te stellen, kan het handig zijn om dit wel te doen. Bijvoorbeeld om controles van de toezichthouder te voorkomen. Een FG mag binnen of buiten de organisatie aangesteld worden. Je hoeft als organisatie niet zelf een FG in dienst te nemen, je mag in plaats daarvan een externe FG aanstellen op basis van een servicecontract.

 

Data protection impact assessment

De AVG verplicht een Data protection impact assessment (DPIA) uit te voeren als de manier waarop persoonsgegevens worden verwerkt een hoog privacyrisico met zich meebrengt. Het kan gaan om risico’s door vernietiging, verlies, wijziging of ongeoorloofde verwerking van persoonsgegevens. Of er sprake is van een hoog privacyrisico, moet je als organisatie zelf bepalen. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast publiceert de AP op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is.

Privacy by design en privacy by default

De AVG stelt privacy by design en privacy by default verplicht.

Privacy by design
Houd bij het ontwerpen van nieuwe producten en diensten rekening met de bescherming van privacygevoelige informatie. Verzamel niet meer persoonsgegevens dan noodzakelijk. Bewaar de gegevens ook niet langer dan nodig voor het doel waarvoor ze zijn verzameld, want dit is niet toegestaan.

Als bijvoorbeeld een order geleverd is en de herroepingstermijn is verstreken, kan het zijn dat het niet meer nodig is de adresgegevens te bewaren. Zorg dus dat per verwerking duidelijk is hoelang bepaalde gegevens bewaard mogen worden. Neem dit op in het register met verwerkingen. En zorg er in het proces voor dat de gegevens op tijd verwijderd worden.

Privacy by default
Neem technische en organisatorische maatregelen om ervoor te zorgen dat standaard alléén persoonsgegevens gevraagd of verwerkt worden die noodzakelijk zijn. Denk aan:

• op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan vinken,
• als iemand zich op de nieuwsbrief wil abonneren niet meer gegevens vragen dan nodig is of
• niet automatisch een IP-adres van een klant opslaan wanneer deze iets heeft besteld, maar eerst toestemming vragen of dit mag en het mogelijk maken om geen toestemming te geven.

Verwerkersovereenkomst

Zorg voor een verwerkersovereenkomst met iedere organisatie die persoonsgegevens voor jouw organisatie verwerkt. Daarin dient onder andere te worden vastgelegd wie eindverantwoordelijk is en wie verwerker, welke gegevens worden verwerkt, met welk doel, hoe de beveiliging is geregeld en wat er na afloop gebeurt met de gegevens. Controleer of bestaande overeenkomsten voldoen aan de AVG.