Als je een webshop hebt, verwerk je automatisch persoonsgegevens van klanten. Denk bijvoorbeeld aan hun naam en adres, maar ook aan een mailadres of telefoonnummer. Deze gegevens sla je natuurlijk ook op in een klantenbestand. Handig, want zo moet de klant niet elke keer opnieuw de klantgegevens invullen en kan jij die gegevens ook gebruiken voor marketingdoeleinden. Het gevolg is wel dat je als webshop ook met de AVG (Algemene Verordening Gegevensbescherming) te maken krijgt. En dus is er veel waar je op moet letten.
Klanten en websitebezoekers informeren
Eerst en vooral heb je een informatieverplichting. Daarom moet je klanten informeren over welke privacygevoelige informatie je verzamelt en met welk doel je dat doet. Het vastleggen in het klantenbestand is een voorbeeld van zo’n doel, maar als je bepaalde gegevens ook voor pakweg marketingdoeleinden gebruikt moet je dat eveneens aangeven. Via een privacyverklaring voldoe je aan deze verplichting.
Vaak zal je ook cookies op je website plaatsen, waardoor ook de privacy van bezoekers, ongeacht of ze iets kopen, in het gedrang komt. Ook hier moet je voldoende informeren en gebruik je een cookieverklaring. Bovendien ben je verplicht om voor sommige cookies de uitdrukkelijke en voorafgaande toestemming te verkrijgen.
Verwerkersovereenkomst
Veel kleine webshops voeren niet alle taken intern uit en maken daarvoor gebruik van externe partijen, zoals een marketingbureau of een hostingpartij. In deze gevallen hebben derde partijen toegang tot persoonsgegevens. In je privacyverklaring moet je daar voldoende aandacht aan schenken, maar bovendien moet je ook een verwerkersovereenkomst sluiten met de derde partijen. In de verwerkersovereenkomst leg je duidelijk vast voor welke doeleinden derden de persoonsgegevens mogen verwerken en welke beveiligingsmaatregelen ze dienen te treffen.
Verwerkingsregister
In de AVG is er een verantwoordingsplicht opgenomen. Hierdoor moet je kunnen bewijzen dat je aan de privacyregels voldoet. Als webshop zal je vrijwel altijd een verwerkingsregister moeten bijhouden. In het verwerkingsregister neem je onder andere een beschrijving op van de categorieën persoonsgegevens, de doeleinden, de betrokkenen, de bewaartermijnen, de ontvangers en de getroffen beveiligingsmaatregelen. Wanneer je gegevens deelt met organisaties buiten de Europese Unie moet dit concreet worden aangegeven. Let in dat geval wel op, want vaak gelden er bijzondere regels. In de Verenigde Staten bestaat er bijvoorbeeld geen algemene wetgeving ter bescherming van persoonsgegevens en moet je extra maatregelen treffen. Daarom zal de ontvangende partij zich moeten certificeren via het EU-VS-privacyschild.
Intern datalekprocedure
Datalekken kunnen op verschillende manieren plaatsvinden. Het gaat van een gestolen laptop tot een kwaadwillige inbreuk op privacy. Bij sommige datalekken ben je verplicht om melding te maken bij de Autoriteit Persoonsgegevens of zelfs bij de klanten. Hoe dan ook ben je verplicht om altijd, ook als er geen meldingsplicht is, een overzicht bij te houden van alle datalekken. Daarnaast moet je de gevolgen van het datalek noteren en aangeven wat je doet om dergelijke datalekken in de toekomst te voorkomen.
Beveiligingsmaatregelen treffen
Je bent verplicht om technische en organisatorische beveiligingsmaatregelen te treffen om de persoonsgegevens te beschermen. Een SSL(TLS)-verbinding is bijvoorbeeld verplicht, maar denk ook aan het tijdig updaten van software en het uitvoeren van veiligheidsaudits. Hoe ver het gaat, verschilt van situatie tot situatie. De AVG geeft enkel aan dat deze maatregelen “passend” moet zijn. Een grote webshop die veel persoonsgegevens verwerkt zal met andere woorden meer maatregelen moeten treffen.
Ontdek het AVG-pakket van MKBrecht.nl
De privacywetgeving maakt het voor webshops extra ingewikkeld. Er is duidelijk veel waar je aan moet denken, het is belangrijk dat je het goed doet en door de hoge boetes zit je al snel in de piepzak. Daarom helpen wij van MKBrecht.nl je graag verder. Dankzij ons voordelige AVG-pakket doen we meteen alles om je webshop AVG-proof te maken. Lees nu meer over het AVG-pakket van MKBrecht.nl.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44
