Bereid jouw webshop voor op de nieuwe AVG / GPDR wetgeving die per 25 mei vereist is. Wat voor wet is dit precies en waar moet jij op letten? Je leest er alles over in deze blog.
In het Nederlands staat de AVG voor: Algemene Verordening Gegevensbescherming, maar in Europa ook wel bekend als de GDPR: General Data Protection Regulation.
Vanaf 25 mei 2018 vernieuwd de wetgeving voor de hele Europese Unie. Hierdoor zullen de huidige 28 wetgevingen vervallen en geldt er één Europese regelgeving. Dit houdt in dat de privacy van personen beter beschermd wordt en organisaties meer verantwoordelijkheden krijgen om deze privacy te waarborgen. Zij moeten hun bezoekers tevens hierover informeren.
Wat betekent dit voor jouw webshop?
De nieuwe regelgeving houdt in dat je persoonsgegevens van jouw klanten niet zomaar voor een ander doel mag gebruiken.
Sla je de adresgegevens op van jouw klant dan mag je deze gegevens bijvoorbeeld niet doorgeven aan een derde zoals een adverteerder. Jouw klanten moeten bijvoorbeeld kunnen inzien welke gegevens er van hen verzameld zijn. En zij moeten ook de mogelijkheid hebben om deze weer te laten verwijderen.
Hierdoor zijn er wat aandachtspunten rondom het wijzigen van de wet. De belangrijkste punten en de regels hebben we voor je op een rijtje gezet:
#1 Zorg voor een duidelijke privacyverklaring op jouw website
In deze privacyverklaring leg je duidelijk uit welke gegevens je verzamelt en voor welke doeleinden je deze gebruikt.
#2 Zorg voor een goede en duidelijke cookie melding
- Als je gebruik maakt van remarketing , bijvoorbeeld via Google AdWords of Facebook.
- Als je gebruik maakt van gepersonaliseerde e-mailmarketing waarbij je content laat zien op basis van eerder gekochte of bekeken producten of op basis van kenmerken zoals leeftijd en geslacht etc.
- Als je gebruik maakt van Hotjar user recordings.
- Als je persoonsgegevens gebruikt om hier doelgroepen van te maken in Facebook of andere social media.
#3 Geef duidelijk aan waarvoor je persoonsgegevens gaat gebruiken
Vraag je om persoonsgegevens als bijvoorbeeld een geboortedatum dan moet je duidelijk laten weten waarom je deze gegevens verzameld. Bij het verzamelen van gegevens moet je altijd verwijzen naar jouw privacy policy.
#4 Persoonsgegevens moeten gewijzigd of verwijderd kunnen worden
Wanneer een klant vraagt om het verwijderen van gegevens dan ben je in een beperkt aantal gevallen verplicht om dit te doen. Het zogenaamde recht om vergeten te worden. Ook ben je als webshop verplicht om persoonsgegevens die je hebt verzameld, over te dragen aan jouw klant of een andere webshop als hij hierom vraagt. Vermeld duidelijk in je privacy statement hoe jouw klanten hun gegevens kunnen wijzigen of verwijderen.
#5 Toon aan dat je e-mailadressen op een wettelijke manier hebt verkregen
Verstuur je ook nieuwsbrieven voor marketingdoeleinden? Dan moet je al je e-mail opt-ins registreren en achteraf kunnen aantonen hoe deze verkregen zijn en waarvoor ze precies toestemming hebben gegeven.
Er moet dus onder andere onderscheid gemaakt worden voor opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die via een pop – up verkregen zijn. Kun je dit niet aantonen voor je huidige klantenbestand, dan zul je deze mensen moeten vragen om een (nieuwe) opt-in. Alleen mensen die zich dan actief aanmelden, mag je blijven mailen. Voor klanten waarmee je een factuurrelatie hebt mag je wel zonder actieve opt-in mailen over soortgelijke producten of diensten. Je dient ook in elke e-mail een opt-out te bieden.
#6 Bescherm jouw klantgegevens
Als webwinkelier ben jij verantwoordelijk voor de gegevens van jouw klant. Zorg ervoor dat de informatiebeveiliging van jouw webshop altijd up-to-date is. Een SSL-certificaat is hierin een must.
#7 Bewaar gegevens niet langer dan toegestaan
Je mag persoonsgegevens in principe niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Zoals aangegeven, dit geldt alleen voor wetenschappelijk onderzoek. Je moet betrokkenen informeren over het bewaarbeleid via de privacyverklaring.
#8 Neem een verwerkingsovereenkomst op met alle partijen die toegang hebben tot je persoonsgegevens
Een verwerkingsovereenkomst zorgt ervoor dat de rechten van personen worden gewaarborgd. Ontstaat er een probleem? Dan kan de verwerker hier aansprakelijk voor zijn.
In een verwerkingsovereenkomst dien je het volgende op te nemen:
- Waar persoonsgegevens voor mogen worden gebruikt.
- Welke veiligheidsmaatregelen getroffen moeten worden.
- Waar persoonsgegevens worden opgeslagen.
- Hoe je omgaat met datalekken of eventuele schade bij het niet voldoen aan gemaakte afspraken.
- Wie waar precies verantwoordelijk voor is.
- Wat er gebeurt bij het einde van een overeenkomst
- Wat voor kosten het met zich meebrengt en wie dit uiteindelijk betaalt.
Wat gebeurt er als jij je niet aan de regels houdt?
Voor het overtreden van de basisbeginselen kan een boete al snel oplopen tot een bedrag van 20 miljoen of 4% van de jaaromzet. Voor minder zware overtredingen spreek je van boetes tot 10 miljoen euro of 2% van de jaaromzet.
Een goede voorbereiding is het halve werk! Bereid je daarom goed voor zodat je niet voor verrassingen komt te staan. Wil je meer weten wat dit voor jouw webshop betekent? Op de site van de privacycomissie persoonsgegevens vind je alles wat je hierover weten moet.