Je weet vast al dat sinds 25 mei 2018 de nieuwe Europese privacywetgeving rechtstreeks van toepassing is in alle lidstaten van de EU. Deze wetgeving, beter bekend als GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming), gaan we voor de webshop van dichterbij bekijken.
Een webshop valt onder dezelfde regels als eender welke andere website. Transparantie en accountability zijn de twee woorden die je in je achterhoofd moet houden wanneer je het gebruik van data gaat onderzoeken van jouw webshop. Je moet open zijn over welke persoonsgegevens je gaat opslaan en waarvoor deze dienen. Ook moet je duidelijk aantonen dat je website voldoende beveiligd is tegen inbraak en verlies van data. Gelukkig gaat de wetgeving er niet van uit dat een datalek 100% te voorkomen is, maar moest het toch gebeuren moet je kunnen aantonen dat je beveiliging en administratie volledig op orde zijn.
Elke website die persoonsgegevens van EU-burgers gaat verwerken is onderhevig aan de GDPR. Natuurlijk is dit dus ook het geval voor webshops. De privacywetgeving is enkel van toepassing op persoonsgegevens. Met andere woorden, alle gegevens die direct herleidbaar zijn naar een bepaalde persoon. Namen, e-mails en fysieke adressen zijn hier voor de hand liggende voorbeelden van, maar denk ook aan IP-adressen, bankgegevens en meer.
Je kan spreken over het verwerken van gegevens wanneer je gegevens gaat verzamelen en opslaan om daarna te raadplegen, gebruiken of wijzigen. Een webwinkel heeft deze gegevens nodig om bestellingen te bekijken, pakketten te verzenden en betalingen te behandelen. Het is dus voor de hand liggend dat een webwinkel vast en zeker GDPR compliant moet zijn.
In principe mag je eender welke gegevens gaan verzamelen en verwerken, zolang je een geldige reden hebt om dit te doen. Voor jouw webshop kan je je baseren op de volgende peilers:
De meeste gegevens die je zal verzamelen als webshop vallen onder noodzakelijk voor de uitvoering van de overeenkomst. Zoals eerder aangehaald zijn naam, adres en betalingsgegevens een vereiste om een bestelling te kunnen leveren. Ook leeftijdscontrole kan een noodzaak zijn, denk maar aan een webshop die alcoholische dranken gaat verkopen.Een andere meer voorkomend aspect van een webwinkel is direct marketing. Dit kan vallen onder gerechtvaardigd belang wanneer je een e-mailadres hebt gekregen uit een bestelling, zolang de klant ook makkelijk deze toestemming kan intrekken. Gegevens die verzameld zijn op basis van toestemming van de persoon mogen enkel worden gebruikt voor het doel waarvoor ze verkregen zijn.
Transparantie en duidelijkheid, zo simpel is het. Je moet je klanten informeren over welke persoonsgegevens je verzamelt en waarom je dit doet. Je doet dit gemakkelijk door een Privacy Policy op je website te plaatsen waarin alles duidelijk en in zijn totaliteit staat uitgelegd. De volgende dingen zet je best in je Privacy Policy:
Vergeet ook niet dat klanten de mogelijkheid moeten hebben om hun gegevens te updaten of verwijderen. Vermeld duidelijk hoe ze dit moeten doen in je Privacy Policy. Je hoeft hiervoor je klanten natuurlijk geen toegang te geven in je systeem, een duidelijke vermelding met contactgegevens van een persoon die ze kunnen contacteren om hun verzoek voor updates of verwijderen in te dienen is voldoende. Ook het opvragen van hun gegevens is een mogelijkheid voor je klanten. Je moet deze verzoeken binnen een maand in een leesbare vorm (pdf, excel, …) kunnen opleveren.Je zal ook voor elke categorie persoonsgegevens een bewaartermijn moeten bepalen. Specifieke termijnen zijn er niet, je mag gegevens bijhouden zolang het nodig is voor het doel waarvoor ze verzameld zijn. Voor een webshop is het duidelijk dat je gegevens bijhoud zolang een klant een account heeft op jouw webshop. Wanneer een klant zijn account verwijderd, moet je ook al zijn gegevens daadwerkelijk gaan verwijderen. Uitzonderingen zijn gegevens die je vanwege wettelijke verplichtingen langer moet bewaren, denk aan facturen of gegevens van werknemers.
Neen, zolang gegevens niet direct kunnen leiden naar bepaalde personen is deze bewaartermijn niet van toepassing. Je hoeft je dus geen zorgen te maken over bezoekersstatistieken en dergelijke.
Wanneer je persoonsgegevens gaat delen met je betalingsprovider of leveringsservice geld dit onder noodzakelijk voor de uitvoering van de overeenkomst. Je hebt hiervoor geen directe toestemming nodig van de klanten, maar dient hen wel te informeren over het feit dat je deze gegevens met je serviceproviders gaat delen. Het is voldoende om de verschillende servicediensten op te noemen, denk eraan dat je zonder expliciete toestemming geen persoonsgegevens mag delen met derden wanneer dit niet noodzakelijk is voor de uitvoering van de overeenkomst. Je mag dus niet zomaar je klantenbestand gaan delen met anderen.Worden de persoonsgegevens verwerkt door jou of een derde partij buiten de EU, dan moet je dit ook melden in je Privacy Policy. Je moet ook bepalen welke maatregelen er in dat geval worden genomen om de gegevens te beschermen.
Omdat webshops vaak samenwerken met externe partijen, deel je misschien ook persoonsgegevens met derde partijen. Je moet deze verwerking van gegevens verplicht vastleggen in een verwerkersovereenkomst. Als webshop sta je in voor het verzamelen van de gegevens en wordt je de verwerkingsverantwoordelijke. De derde partij ontvangt de gegevens van jou voor een bepaald doel en wordt dan aangesteld als verwerker.De verwerkersovereenkomst is een verduidelijking in de verplichtingen en verantwoordelijkheden van beide partijen bij de beveiliging van de gegevens. Volgende topics moeten aangehaald worden in de verwerkersovereenkomst:
Ja, er is nog iets. Naast al deze nieuwe verplichtingen ga je ook nog intern nieuwe procedures moeten invoegen of aanpassen, vooral administratieve lasten dan. Zo zal je als onderneming verplicht zijn duidelijk in kaart te brengen welke stromen van persoonsgegevens er binnenkomen en buitengaan. Deze leg je vast in een verwerkingsregister. Per categorie registreer je het volgende:
We raden ten sterkste aan dat elke onderneming een verwerkingsregister gaat opstellen, ook wanneer je niet de verantwoordelijke maar de verwerker bent.Voor het geval wanneer je het slachtoffer wordt van een datalek moet je hier ook een procedure voor hebben die in werking gesteld wordt. Zorg er als webshop voor dat je een aanspreekpunt hebt binnen je onderneming bij een datalek. Je zal dit lek moeten melden aan de Privacycommissie indien deze een risico inhoudt voor de rechten en vrijheden van de personen. Ga er van uit dat elk lek een risico inhoudt, een naam en e-mail zijn geen banale gegevens.Bij verlies van gevoelige gegevens zoals wachtwoorden, bankrekeningnummers en dergelijke moet je ook de betrokken personen zelf op de hoogte stellen. Een datalek moet binnen 72 uur aan de Privacycommissie gemeld worden. Vraag je als webshop af welke gegevens er echt nodig zijn om een bestelling af te ronden, zo voorkom je dat je onnodig (gevoelige) data gaat bijhouden.Nog twee belangrijke verplichtingen die je als grotere onderneming hebt zijn het aanstellen van een Data Protection Officer en een Privacy Impact Assessment. Een DPO is een persoon die een controlerende rol heeft met betrekking tot de omgang en bescherming van persoonsgegevens. Een PIA is een onderzoek naar de privacyrisico’s bij de bestaande of nieuwe verwerkingen van persoonsgegevens. Deze verplichtingen zijn er vooral voor organisaties die op grote schaal persoonsgegevens verwerken. Een gemiddelde webshop hoeft dus geen DPO aan te stellen of een PIA uit te voeren.
Een hele boterham, deze GDPR. Maar je hoeft je geen zorgen te maken, het gaat hem vooral om het vergroten van de transparantie en de accountability van ondernemingen bij het verzamelen van gegevens. Betere privacy dus, voor iedereen op het web.
Ken je Kevin al?Als Data Protection Officer hier bij Popkorn is hij op de hoogte van de nieuwe GDPR wetgeving. Hij staat steeds klaar om jou verder te helpen.
Meer over Kevin Contacteer ons
