Het aantal webwinkels en webwinkelverkopen neemt in Nederland flink toe. Er zijn zelfs meer online winkels dan offline winkels. Webwinkels verzamelen persoonsgegevens van klanten en websitebezoekers. Denk aan namen, e-mailadressen, IP-adressen, maar soms ook betaalgegevens. Partijen die persoonsgegevens verwerken, moeten zich houden aan privacyregels. 

In deze blogserie legt onze partner, adviesbureau ICTRecht, uit hoe webwinkels zich kunnen voorbereiden op de komst van de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG). Deze strenge privacywet zal vanaf 25 mei 2018 van toepassing worden. In deze blogserie worden een aantal eisen uit de AVG opgesomd, met in deze eerste blog aandacht voor onder andere: dataminimalisatie, de privacyverklaring en het gebruik van cookies.

blog-privacy2.jpg

Dataminimalisatie onder de AVG
Voor webwinkels is het soms gunstig om zoveel mogelijk gegevens over een persoon te verwerken, voor bijvoorbeeld marketingdoeleinden. Persoonsgegevens mogen worden verzameld voor een specifiek doel, maar moeten voor dat doel wel noodzakelijk zijn. Een webwinkel moet dus beoordelen welke gegevens noodzakelijk zijn voor het bereiken van dat doel. Verkoopt de webwinkel alcoholische dranken? Dan is de geboortedatum noodzakelijk. Maar verkoopt de webwinkel boeken? Dan is in de meeste gevallen de geboortedatum niet nodig. Met andere woorden: de webwinkel moet ervoor zorgen dat alleen die gegevens worden verwerkt, die noodzakelijk zijn en niet meer dan dat.

Wettelijke grondslag
Daarnaast moet de webwinkel een gerechtvaardigde grondslag hebben om de persoonsgegevens te verwerken. Deze grondslag kan gelegen zijn in de toestemming die de klant ervoor heeft gegeven (zelf invullen van een e-mailadres in het nieuwsbriefveld), maar kan ook zonder expliciete toestemming - bijvoorbeeld omdat de verwerking noodzakelijk is om de overeenkomst uit te voeren. Denk aan namen en adresgegevens om een bezorging uit te kunnen voeren. Het komt er dan dus op neer dat in een check-out bepaalde gegevens worden verwerkt op basis van de ene grondslag, en andere gegevens weer op basis van toestemming. Maar de eis blijft: verwerking van persoonsgegevens mag alleen als daarvoor een gerechtvaardigde verwerkingsgrondslag aanwezig is.

Privacyverklaring moet eenvoudig vindbaar en duidelijk zijn
Een webwinkel is verplicht klanten en bezoekers te informeren over welke privacygevoelige informatie de winkel verzamelt en met welk doel. Ook als dat doel alleen het verwerken en verzenden van de bestelling is. De informatie moet zo volledig mogelijk zijn. Als een webwinkel van de klant bijvoorbeeld een profiel opbouwt om gedrag of interesses te kunnen voorspellen, dan moet dit ook worden vermeld. Informeren kan via een (online) privacyverklaring. Bezoekers en klanten moeten die eenvoudig kunnen vinden op de website en de informatie in de verklaring moet duidelijk en gemakkelijk leesbaar zijn.

Toestemming nodig voor het gebruik van cookies?
Vrijwel elke webwinkel gebruikt cookies of vergelijkbare technieken. Een aantal van deze cookies zijn noodzakelijk, bijvoorbeeld om de inhoud van het winkelmandje te onthouden. Andere cookies worden gebruikt voor bijvoorbeeld marketing- of social media doeleinden. Ook hierover moet de webwinkel de websitebezoeker informeren. In de privacyverklaring kan een gedeelte over cookies worden opgenomen, waarin staat beschreven voor welke doeleinden de informatie uit de cookies wordt gebruikt. In de meeste gevallen moet zelfs expliciete toestemming worden gegeven voor het gebruik van bepaalde cookies. Dit kan middels een cookiebanner. Geen toestemming is nodig voor cookies die slechts functioneel zijn. Voor sommige analytische cookies (bijvoorbeeld Google Analytics) hoeft onder voorwaarden ook geen expliciete toestemming gevraagd te worden, maar dan moet de software wel zo privacyvriendelijk mogelijk worden ingesteld. De Autoriteit Persoonsgegevens heeft hier een handleiding over geschreven.

Verwerkersovereenkomsten sluiten
Als persoonsgegevens door een webwinkel worden verwerkt, gebeurt dat vaak in de hoedanigheid van ‘verwerkingsverantwoordelijke’. Dit betekent dat de webwinkelier bepaalt welke persoonsgegevens worden verwerkt, voor welk doel en met welke middelen. Een webwinkel heeft daar vaak wel andere partijen bij nodig. Denk aan een externe programmeur voor het onderhouden van een database, of een hostingpartij die de website host. 

Deze partijen, die door de webwinkel worden ingeschakeld, zijn verwerker. De verwerkers hebben toegang tot de persoonsgegevens. De webwinkel en deze verwerker moeten dan een verwerkersovereenkomst sluiten. In een verwerkersovereenkomst moet onder meer worden beschreven wat het doel van de verwerking is, welke beveiligingsmaatregelen moeten worden genomen, hoe met datalekken wordt omgegaan, en of eventuele sub-verwerkers of derde partijen mogen worden ingeschakeld.

Voldoen aan de AVG
Hierboven zijn een eerste aantal eisen vanuit de AVG besproken. Zo hebben we het gehad over privacyverklaringen en het gebruik van cookies. In het volgende deel van deze blogserie ‘Privacy is belangrijk, ook voor webwinkels’ zal dieper in worden gegaan op de regels rondom het versturen van digitale nieuwsbrieven, interne datalekprocedures en beveiligingsmaatregelen voor webwinkels.


Deze blog is geschreven door Demi Grandiek en Tim Wokke, juridisch adviseurs e-commerce bij adviesbureau ICTRecht. ICTRecht levert praktisch juridisch advies op het gebied van ICT, privacy en internet, en helpt webwinkels voldoen aan alle relevante e-commerce regelgeving. 

Meer leren over wat de AVG voor organisaties betekent en wat er precies gaat veranderen onder de nieuwe privacywet? Download dan de ICTRecht factsheet ‘De AVG: Wat verandert er echt?’ of neem contact op