Waarom is privacy belangrijk voor een webwinkel?

Het aantal webwinkels en webwinkelverkopen neemt toe. In Nederland zijn er zelfs meer online winkels dan offline winkels. Al deze online winkels moeten zich voorbereiden op de komst van de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van toepassing wordt. In dit artikel leg ik uit waarom privacy belangrijk is voor een webwinkel en welke documenten of zaken een webwinkel moet opstellen of regelen.

Webwinkels verzamelen veel persoonsgegevens van hun klanten. Denk aan namen, adresgegevens, e-mailadressen, telefoonnummers en bestelgegevens, maar ook financiële gegevens. Deze gegevens worden vaak opgeslagen en bewaard in een klantenbestand. Dit heeft als gevolg dat webwinkels zich moeten houden aan de privacywet. Hieronder zijn een aantal van de eisen uit deze wet opgesomd. Bij het niet voldoen aan deze eisen zal in de toekomst hogere boetes uitgedeeld kunnen worden door de autoriteiten.

Privacy- en cookieverklaring

Een webwinkel is verplicht klanten en bezoekers te informeren over welke privacygevoelige informatie de winkel verzamelt en met welk doel. Ook als dat doel alleen maar is het vastleggen van hun gegevens in een klantenbestand. Wanneer een webwinkel van de klant een profiel opbouwt om gedrag of interesses te kunnen voorspellen, moet zij de klant hierover duidelijk informeren. Informeren kan via een (online) privacyverklaring. Bezoekers en klanten moeten die eenvoudig kunnen vinden op de website en de informatie in de verklaring moet duidelijk en gemakkelijk leesbaar zijn. Als de webwinkel ook cookies plaatst of laat plaatsen, moet zij haar bezoekers ook informeren over deze cookies. In de meeste gevallen moet zelfs voordat cookies mogen worden geplaatst, door een bezoeker toestemming worden gegeven.

Verwerkersovereenkomst

Wordt bijvoorbeeld de database van de webwinkel onderhouden door een externe programmeur, de website gehost door een hostingpartij, de nieuwsbrieven verstuurd door een externe partij of zet een marketingbureau een campagne voor je uit? In die gevallen hebben deze derde partijen (verwerkers) toegang tot de persoonsgegevens en moet de webwinkel een verwerkersovereenkomst met hen sluiten. In een verwerkersovereenkomst moet onder meer aandacht worden geschonken aan het doel van de verwerking, beveiligingsmaatregelen, het melden van datalekken, het recht op een audit en eventuele sub-verwerkers of derde partijen.

Nieuwsbrief

Alle klanten een nieuwsbrief sturen met daarin een aanbieding voor het nieuwste product? Een digitale nieuwsbrief versturen is de gemakkelijkste manier om contact te onderhouden met klanten. Aan het versturen van nieuwsbrieven zijn wel bepaalde eisen verbonden. De hoofdregel is dat vooraf af aan de klanten toestemming moet worden gevraagd. Dat kan heel eenvoudig door het aanvinken van een vakje waarin de klant toestemming geeft om zijn contactgegevens te gebruiken voor de nieuwsbrief. Hebben al uw klanten toestemming gegeven voordat de nieuwsbrief de deur uitgaat?

Verwerkingsregister

Vanaf 25 mei 2018 moet een webwinkel een intern register bijhouden van alle verwerkingen van persoonsgegevens. Een webwinkel kan dit eenvoudig doen in een Excel-bestand of via een softwareprogramma. In dit verwerkingsregister moet onder meer worden opgenomen welke (categorieën van) persoonsgegevens worden verwerkt, de ontvangers van deze persoonsgegevens en de verwerkingsdoeleinden.

Interne datalekprocedure

Wanneer er een inbreuk plaatsvindt in verband met persoonsgegevens die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang (een datalek) moet de webwinkel in veel gevallen een melding doen bij de Autoriteit Persoonsgegevens (AP) en in sommige gevallen ook aan de klant(en). Een voorbeeld van een datalek is wanneer een hacker toegang krijgt tot de webserver waarop de webwinkel draait en daarbij daadwerkelijk persoonsgegevens verloren zijn gegaan. Ieder datalek moet worden bijgehouden, ongeacht of het gemeld moet worden aan de AP of niet.

Ook de gevolgen en de genomen maatregelen om een datalek in de toekomst te voorkomen, moeten worden gedocumenteerd. De AP kan toegang verlangen tot deze documentatie. Een interne datalek-procedure is dus onmisbaar voor een webwinkel. Hierin staat aan wie binnen de organisatie een datalek moet worden gemeld en hoe de verdere afhandeling plaatsvindt.

Beveiligingsmaatregelen voor webwinkels

Een webwinkel moet volgens de AVG “passende technische en organisatorische beveiligingsmaatregelen” nemen om misbruik en ongeautoriseerde toegang tot deze gegevens tegen te gaan. Een webwinkel moet onder andere nadenken over de vraag hoe ze wachtwoorden opslaan en wie toegang heeft tot die gegevens. Daarnaast is een SSL(TLS)-verbinding voor een webwinkel verplicht.

Bent u al klaar voor de nieuwe privacywet?

Op 25 mei 2018 gaat de nieuwe privacywet gelden, dus u heeft nog pakweg 250 dagen om bovenstaande en andere zaken goed na te lopen. Heeft u daarbij hulp nodig? Wij staan voor u klaar. Neem contact met ons op of vraag een juridische webwinkel scan aan.

Terug naar overzicht