Voldoet jouw webshop aan de AVG?
Het is al even weer een paar maanden geleden, maar op 25 mei 2018 is de AVG (afkorting voor Algemene Verordening Persoonsgegevens) van kracht. Deze Europese privacywet geeft aan hoe de partijen die met persoonsgegevens te maken krijgen om moeten gaan met deze informatie.
Hierbij draait het vooral om dat de consument zelf meer regie heeft over wat er met de gegevens gebeurd. Aangezien je als eigenaar ook te maken krijgt met deze gegevens moet jouw webshop sinds 2018 aan alle gestelde voorwaarden voldoen. Doe je dit niet, dan riskeer je een hoge boete (in dit geval gaat het om 2% tot 4% van je omzet, dat risico wil jij echt niet lopen). Daarom bij deze nog even een ‘opfriscursus’. Want voldoet jouw webshop aan de AVG?
Wees altijd transparant
De AVG verplicht jou als eigenaar van een webshop om transparant te zijn over hoe je met de persoonsgegevens omgaat. Hierbij is het belangrijk dat je te allen tijde dus laat weten wat voor gegevens je verzamelt, hoe je dit verzamelt en waarom je deze gegevens verzamelt. Wanneer je online op zoek gaat naar de informatie over de AVG, kan je het gevoel krijgen dat je een beetje verdrinkt in alle informatie en gestelde regels.
Echter is het voor webshops vrij duidelijk wat er allemaal vereist is om te voldoen aan de AVG. Dit begint met een overzichtelijke en goed te begrijpen privacyverklaring voor je bezoekers. In deze privacyverklaring geef je dus aan wat voor persoonsgegevens jij verzamelt en waarom je dit doet, hoe lang je deze gegevens in je bestand laat staan, welke cookies jij gebruikt voor je webshop en waarom, wat je doet om deze gegevens te beveiligen (welke plug-in gebruik je?) en wat je beleid is met betrekking tot aanpassing en verwijderingen van deze gegevens.
Dat is nogal wat, maar de overheid helpt je op weg met de mogelijkheid een gratis privacyverklaring te genereren via veiliginternetten.nl. Pas deze aan naar de situatie van jouw webshop en plaats deze verklaring op een duidelijke plek op jouw webshop.
Maak hier bijvoorbeeld een aparte pagina voor aan en zet deze in de navigatie in het rijtje van je algemene voorwaarden. Controleer ook regelmatig of alle informatie in dit document nog klopt.
Cookies
Een van de gedeeltes die je nog moet aanpassen in je privacyverklaring, is bijvoorbeeld de beschrijving van het gebruik van cookies op je website. Voor de cookies gebruik je ook weer persoonsgegevens (bijvoorbeeld automatisch inloggen door middel van functionele cookies), daarom is het verplicht om aan te geven welke cookies je gebruikt en de bezoeker ook de keuze te geven welke cookies ingeschakeld mogen worden.
Vermelden welke cookies je gebruikt voor je webshop is overigens niet totaal iets nieuws, dit moet al sinds 2012. Echter is deze regelgeving verscherpt sinds de intrede van de AVG.
Pas jij geen cookies toe op je website? Geef dit dan in je privacyverklaring aan.
Verder hoef je niets te doen. Maak jij wel gebruik van cookies? Dan is het nog noodzakelijk om deze in te delen in de juiste categorie. Wat dit betreft is er namelijk sprake van functionele en niet-functionele cookies. Onder de eerste categorie vallen de onderdelen die zorgen voor een optimale werking van de webshop.
Denk hierbij aan de taalinstelling, een goede navigatie en een overzicht welke pagina’s of producten de bezoeker reeds bekeken heeft. Voor deze functionele cookies hoef je geen toestemming te vragen van de persoon aan de andere kant van het scherm.
Maar voor de niet-functionele cookies moet je dus wel toestemming vragen aan de gebruiker. Onder deze noemer vallen de cookies die jij inzet om informatie te verzamelen voor advertenties, social media en Google Analytics. Deze staan beter bekend als de advertentie cookies, social media cookies en analytische cookies.
Ga niet uren nadenken over hoe je dit moet vermelden in je privacyverklaring. Wees duidelijk in welke informatie je verzamelt, waarom je dat doet en welke cookies je hiervoor gebruikt. Zorg daarnaast ook voor een cookiemelding op je webshop waarin je een overzicht geeft van de cookies die toegepast kunnen worden en welke functie deze hebben. Maak het jezelf ook in dit geval niet te moeilijk en wees beknopt in de informatie. Maar zet het vooral in begrijpelijke taal neer voor de bezoeker. Dus ook waarom de functionele cookies al aangevinkt zijn en wat deze dan doen.
Vink zelf niets aan
Door de AVG moet je niet alleen transparant zijn over het verzamelen en gebruiken van persoonsgegevens, ook moet de persoon zelf de regie hebben over de gegevens. Een voorbeeld hiervan is dat je zelf niets meer automatisch mag aanvinken als het aankomt op het verzamelen van persoonsgegevens.
Een voorbeeld hiervan zijn de hierboven beschreven niet-functionele cookies. Verder mag je iemand niet automatisch abonneren op je nieuwsbrief. Ook hier moet de betreffende persoon zelf toestemming voor geven.
Een andere vereiste van de AVG is dat deze persoon zich in dit geval dan net weer zo eenvoudig kan afmelden. Hier moet geen ingewikkeld stappenplan aan verbonden zijn.
Persoonsgegevens bewaren
En dan is er nog het gedeelte waarin je verantwoording moet afleggen over het bewaren van de persoonsgegevens. Volgens de AVG mag je de persoonsgegevens niet langer bewaren dan nodig is. In dit geval moet je dus ook weer in je privacyverklaring verantwoording afleggen aan je bezoeker hoe lang je de gegevens bewaart en waarom je dit doet.
Maak jij gebruik van niet-functionele cookies? Dan zijn er dus ook nog andere partijen (zoals Google Analytics en MailChimp, maar ook je hostingbedrijf) betrokken bij het verzamelen van persoonsgegevens. In verband met de verplichte transparantie van de AVG moet je dit ook inzichtelijk maken. Dit wordt vaak gedaan door middel van een Data Processing Agreement. Grote partijen hebben dit document vaak al inzichtelijk gemaakt op hun eigen website, die je zelf dan weer kan toevoegen aan je privacyverklaring.
Hier kan je bijvoorbeeld zien hoe MailChimp dit inzichtelijk heeft gemaakt. De consument heeft trouwens altijd het recht om vergeten te worden. Dus wanneer jij de vraag krijgt om de gegevens direct uit het systeem te verwijderen, moet jij hier direct gehoor aan geven.
Voorwaarde is wel dat deze gegevens dan niet meer noodzakelijk zijn voor bijvoorbeeld het afronden van een lopende bestelling. Maak ook voor de bezoeker weer inzichtelijk via welke weg dit verzoek ingediend kan worden.
Bescherming en datalekken
De AVG verplicht jou niet alleen aan te geven hoe jij persoonsgegevens verzamelt en bewaart, maar ook wat je doet om deze te beveiligen. Mocht het toch onverhoopt voorkomen dat er sprake is van een datalek (bijvoorbeeld een bevestiging van je bestelling naar een totaal verkeerd e-mailadres), dan moet je binnen drie dagen de betreffende persoon hiervan op de hoogte brengen.
Dit is bijvoorbeeld ook het geval wanneer jouw laptop met alle klantgegevens is gestolen tijdens een inbraak. De AVG kan ingewikkeld zijn en het neemt wat tijd in beslag om je helemaal te verdiepen in dit onderwerp.
Heb je meerdere medewerkers in dienst? Dan moet je een persoon benoemen die zorgt dat er volgens de AVG gehandeld wordt. In het geval van een datalek zorgt deze verantwoordelijke ook dat de betreffende persoon geïnformeerd wordt.
Let op: De AVG is sinds 25 mei 2018 al van kracht. Dit betekent dat jouw webshop vanaf deze datum dus al moet voldoen aan bovenstaande punten. Wil je graag informatie over de AVG? Kijk dan op de website van de AVG.
