De nieuwe wetgeving Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) is sinds 2018 voor iedereen van toepassing.
Deze Europese wetgeving draagt bij aan de bescherming van de persoonsgegevens, online gegevens en RFID tags van burgers. Als bedrijf betekent dit dat je zo min mogelijk persoonsgegevens verwerkt, en alleen persoonsgegevens bewaart welke ook echt noodzakelijk zijn. Daarnaast moet je actief aantonen dat je je als ondernemer aan de nieuwe privacywet houdt. Wij hebben een overzicht gemaakt van een aantal punten die je als webshop eigenaar in orde moet hebben. Let op: dit is de interpretatie van Experius op basis van de beschikbare informatie over het onderwerp. Dit is geen juridisch advies.
Dit is een update van een eerder verschenen artikel.
1. AVG/GDPR verantwoordelijkheden en overeenkomsten
Laten we bij het begin beginnen. De meeste verplichtingen om te voldoen aan de AVG/GDPR liggen bij jou als webshop eigenaar. Experius is de verwerker en jij als webshop eigenaar bent de verwerkingsverantwoordelijke. Tussen de verwerker en de verwerkingsverantwoordelijke moeten afspraken zijn gemaakt in de vorm van een verwerkersovereenkomst. Als klant heb je deze van ons ontvangen. Ook andere leveranciers en externe partijen moeten voldoen aan de nieuwe privacywet. Wanneer je gegevens laat verwerken door een ander, moet je ervoor zorgen dat de verwerking voldoende veiligheidswaarborgen heeft. Afspraken over het verwerken van ‘jouw’ gegevens en zaken als geheimhouding moeten daarom zijn vastgelegd in een verwerkersovereenkomst.
Actie: Ga na met wie je een verwerkersovereenkomst moet afsluiten. Heb je al een bewerkersovereenkomst afgesloten? Check of deze voldoet aan de nieuwe eisen van de AVG/GDPR wetgeving. Tip: Ben je lid van Thuiswinkel.org? Gebruik de Privacytool van Thuiswinkel.org en genereer een verwerkersovereenkomst op maat.
2. PRIVACY VERKLARING
Als webshop eigenaar ben je wettelijk verplicht om jouw klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens je verzamelt en met welk doel. Informeren kan via een (online) privacyverklaring. In deze privacyverklaring moet in elk geval het volgende beschreven zijn:
- Bedrijfsgegevens
- Doeleinden (reden van de verwerking van de persoonsgegevens)
- Persoonsgegevens (welke persoonsgegevens verwerk je)
- De grondslag van de verwerking
- Recht op inzage, aanpassing en verwijdering
- Beveiligingsmaatregelen
- Gebruik van cookies
Actie: Stel een privacy verklaring op die in duidelijke taal geschreven is. Deze moet eenvoudig terug te vinden zijn op je website. Plaats dus bijvoorbeeld een hyperlink naar de privacyverklaring onderaan elke pagina als je statistische gegevens verzamelt over bezoekers, en verwijs naar de privacyverklaring in het bestelproces. Tip: gebruik de Privacy Policy Generator van WebwinkelKeur voor het opstellen van een eigen privacy policy voor jouw webwinkel of website.
Actualiseer privacy awareness ook voor jouw medewerkers door middel van bewustwordingssessies. Breng informatiebeveiliging en privacy regelmatig aan de orde.
3. COOKIEBELEID
De AVG/GDPR heeft gevolgen voor het gebruik van cookies op je website. Heeft je website een mededeling of instellingen menu dat de bezoeker cookies automatisch accepteert bij gebruik van je website? Dan is dat straks niet meer voldoende. De veranderingen die de grootste invloed hebben zit hem in het kunnen voorzien van een kloppend opt-in en opt-out mechanisme én het vastleggen van de toestemming (consent) van de website bezoeker. Jouw website bezoeker heeft toestemming gegeven voor het gebruik van cookies, maar verandert van gedachten. Dan zal je de bezoeker op dezelfde manier in staat moeten stellen om de keuze te veranderen.
Actie: Zorg ervoor dat gebruikers expliciet toestemming geven door middel van een duidelijke actieve handeling. Dit betekent dat een “opt-out” optie (bijvoorbeeld een al ingevuld vinkje in een check box) geen geldige manier zal zijn om toestemming te verkrijgen. Als verschillende cookies of cookies voor meerdere doeleinden worden gebruikt, moet voor iedere cookie/doeleinde apart toestemming worden gegeven. Bovendien geldt dat de toestemming te allen tijde ook aangepast of ingetrokken moet kunnen worden. Jouw website moet daarnaast toegankelijk blijven en geen cookies plaatsen, totdat de gebruiker zijn voorkeuren en toestemming heeft gegeven.
Bron: www.cookieinfo.net
4. BEVEILIGINGSMAATREGELEN
Je moet kunnen aantonen dat jouw beveiligingsmaatregelen op orde zijn. Bijvoorbeeld: waar worden de wachtwoorden opgeslagen? Wie heeft er toegang toe? Neem ook passende technische maatregelen om persoonsgegevens juist te verwerken. Experius is als verwerker ook verantwoordelijk voor de beveiliging van de persoonsgegevens welke wij verwerken in opdracht van onze klanten. In onze verwerkersovereenkomst staan de beveiligingsmaatregelen welke wij treffen.
Actie: Stel een beveiligingsbeleid op met preventieve, detectieve en reactieve maatregelen. Neem ook technische beschermingsmaatregelen zoals het regelmatig updaten van je software. Heb je nog geen SSL-certificaat? Vraag dit direct aan bij je domeinhost of programmeur.
5. RECHTEN VAN BETROKKENEN
Betrokkenen hebben het recht hun persoonsgegevens (bijvoorbeeld accounts en profielen) in te zien, aan te passen en te verwijderen. Een klant moet te allen tijde kunnen aangeven dat zijn/haar gegevens niet meer gebruikt mogen worden. Andere rechten van betrokkenen zijn:
- Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen
- Het recht om ‘vergeten’ te worden
- Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die je van hen verwerkt in te zien.
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die je verwerkt te wijzigen.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken tegen de gegevensverwerking.
Actie: Pas het privacy statement van jouw organisatie aan en bedenk welke processen binnen jouw organisatie moeten worden aangepast om de rechten van betrokkenen te waarborgen. Belangrijk om te weten: in Magento is het mogelijk om een klant volledig te verwijderen, het is niet mogelijk om bestelinformatie te verwijderen.
6. GOOGLE ANALYTICS GEANONIMISEERD GEBRUIKEN
Gebruik je Google Analytics? Dan verwerk je met analytische cookies persoonsgegevens van bezoekers. De nieuwe wetgeving heeft impact op het verzamelen en verwerken van deze data. Het is daarom belangrijk om een verwerkersovereenkomst met Google Analytics af te sluiten, het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.
Actie: Sluit een verwerkersovereenkomst met Google Analytics af en pas je instellingen aan.
7. DATALEKKEN
Wees niet alleen glashelder met hoe je persoonsgegevens verzamelt en verwerkt, maar ook in het geval van een inbreuk of datalek. Ieder datalek moet worden bijgehouden. In veel gevallen moet er een melding worden gedaan aan de toezichthoudende autoriteit. In sommige gevallen moet dit ook worden vermeld aan de betrokkene(n).
Ook de gevolgen en de genomen maatregelen om een datalek in de toekomst te voorkomen, moeten worden gedocumenteerd. De Autoriteit Persoonsgegevens (AP) kan vragen naar deze documentatie. Een interne datalek-procedure is daarom onmisbaar voor een webwinkel.
Actie: Stel een protocol datalekken op om de privacyrisico’s van een gegevensverwerking in kaart te brengen. Omschrijf de afwegingskaders bij een vermoeden van een datalek en specificeer de nodige acties. Documenteer datalekken bij zowel interne als externe meldingen en meld een datalek aan de toezichthouder en betrokkenen.
8. FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING
Een Functionaris voor de Gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de AVG/GDPR. Een aantal organisaties zijn verplicht een functionaris aan te stellen:
- Rijksoverheid
- Gemeenten
- Provincies
- Zorg- en onderwijsinstellingen
- Organisaties die vanuit kernactiviteiten op grote schaal individuen volgen