Het aantal webwinkels en webwinkelverkopen neemt in Nederland flink toe. Er zijn zelfs meer online winkels dan offline winkels. Webwinkels verzamelen persoonsgegevens van klanten en websitebezoekers. Denk aan namen, e-mailadressen, IP-adressen, maar soms ook betaalgegevens. Partijen die persoonsgegevens verwerken, moeten zich houden aan privacyregels. 

In deze blogserie legt onze partner, adviesbureau ICTRecht, uit hoe webwinkels zich kunnen voorbereiden op de komst van de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), en bespreken we een aantal eisen uit de AVG. Deze strenge privacywet zal vanaf 25 mei 2018 van toepassing worden. In het eerste deel van Privacy is belangrijk, ook voor webwinkels’ zijn de privacyverklaring en het gebruik van cookies behandeld. In deze tweede blog onder meer aandacht voor het sturen van nieuwsbrieven, interne datalekprocedures en beveiligingsmaatregelen voor webwinkels.

blog-privacy.jpg

Nieuwsbrieven versturen onder de AVG: toestemming nodig?
De meeste webwinkels hebben een nieuwsbrief. Deze nieuwsbrief sturen zij het liefst naar zoveel mogelijk ontvangers. Een webwinkel kan daarvoor de klantgegevens gebruiken of kan bijvoorbeeld e-mailadressen van een externe partij kopen. Maar mag dat zomaar? Voor het beantwoorden van deze vraag wordt niet alleen gekeken naar de privacywet, maar ook naar de telecommunicatiewet. 

De hoofdregel is dat vooraf aan de ontvangers toestemming moet worden gevraagd. Dat kan bij een bestelling heel eenvoudig door het actief laten aanvinken van een vakje waarin de klant toestemming geeft om zijn contactgegevens te gebruiken voor de nieuwsbrief. De toestemmingsvraag moet dan wel aan bepaalde vereisten voldoen, zo moet duidelijk blijken waar de toestemming voor gegeven wordt: hoe vaak mag de ontvanger de nieuwsbrief verwachten, en waar zal de nieuwsbrief uit bestaan?

In bepaalde gevallen mag ook een opt-out gehanteerd worden. De klant moet in het bestelproces dan de mogelijkheid krijgen om verzet aan te tekenen. Bijvoorbeeld door een vooraf aangevinkt vakje uit te vinken. Let op: die nieuwsbrief mag vervolgens alleen gestuurd worden als die persoon ook daadwerkelijk klant geworden is. Daarnaast mag de nieuwsbrief alleen betrekking hebben op producten of diensten die soortgelijk zijn aan wat die persoon heeft gekocht toen hij zijn e-mailadres verstrekte. Advies is dan ook om in het algemeen te werken met opt-in.

De nieuwsbrief zelf moet ook aan bepaalde vereisten voldoen. In elke nieuwsbrief moet bijvoorbeeld een directe link worden geplaatst, waarmee de ontvanger zich gemakkelijk kan uitschrijven voor de nieuwsbrief. Daarnaast moet duidelijk blijken van welke partij de nieuwsbrief afkomstig is door minstens de volledige bedrijfsnaam en ondernemingsvorm te vermelden.

Persoonsgegevens bijhouden via een register
Van de verwerkte persoonsgegevens moet intern een register bijgehouden worden. Een webwinkel kan dit eenvoudig doen in een Excel-bestand of via een softwareprogramma. In dit verwerkingsregister moet onder meer worden opgenomen welke (categorieën van) persoonsgegevens worden verwerkt, wie de ontvangers van deze persoonsgegevens zijn en voor welke verwerkingsdoeleinden de gegevens zijn verwerkt. Ook is het belangrijk om in dit register de bewaartermijnen bij te houden. Op deze manier is het gemakkelijk bij te houden welke persoonsgegevens wanneer verwijderd moeten worden. Dit register moet op verzoek van de Autoriteit Persoonsgegevens overhandigd kunnen worden.

Interne datalekprocedure is onmisbaar
Als persoonsgegevens ongepland en ongewenst worden vernietigd of gewijzigd, of ongeoorloofd toegang tot de gegevens wordt verkregen, kan sprake zijn van een datalek. In geval van een datalek moet in sommige gevallen een melding bij de Autoriteit Persoonsgegevens worden gedaan. Is de inbreuk zeer nadelig voor degenen op wie de persoonsgegevens betrekking hebben? Dan moet de datalek ook aan betreffende personen worden gemeld. 

Een voorbeeld van een datalek is wanneer een hacker toegang krijgt tot de webserver waarop de webwinkel draait en daarbij persoonsgegevens verloren zijn gegaan. Over ieder datalek moet intern bepaalde documentatie worden bijgehouden, ongeacht of het gemeld moet worden aan de AP of niet. Een interne datalekprocedure is eigenlijk onmisbaar voor elke webwinkel. Hierin is beschreven aan wie een datalek moet worden gemeld en hoe de verdere afhandeling plaatsvindt.

Beveiligingsmaatregelen voor webwinkels
Daarnaast moet een webwinkel “passende technische en organisatorische beveiligingsmaatregelen” nemen om misbruik en ongeautoriseerde toegang tot persoonsgegevens tegen te gaan. Een webwinkel moet onder andere zorgen dat wachtwoorden gehasht worden opgeslagen en moet toegang tot de gegevens zoveel mogelijk logisch en fysiek beperken. Verder is een TLS-verbinding voor in ieder geval het checkout gedeelte van een webwinkel verplicht.

Voldoen aan de rechten van de betrokkene
Elke persoon van wie persoonsgegevens worden verwerkt door de webwinkel heeft bepaalde rechten. De persoon kan bijvoorbeeld bezwaar maken tegen de verwerking en mag inzage in zijn gegevens verlangen. Een webwinkel moet vervolgens de gegevens verstrekken in gestructureerde vorm. De persoon mag verder verzoeken om rectificatie, wissen van gegevens of beperking van de verwerking. De webwinkel moet dan altijd een belangenafweging maken en betreffende persoon informeren over het al dan niet wijzigen of verwijderen van deze gegevens. Een webwinkel maakt het zichzelf het gemakkelijkst als deze mogelijkheden worden ingebouwd in het account van de betrokkene. Zo kan de webwinkel, zonder al te veel administratieve lasten, voldoen aan verzoeken van betrokkenen.

Magento webshops: denk aan privacy
Ben je van plan een webwinkel te starten en wil je daarvoor gebruik maken van Magento? Zorg er dan voor dat vanaf de start van de ontwikkeling van de webwinkel, goed is nagedacht over privacy (ook wel: privacy by design). Zorg dat de systemen en databases zo worden ingericht, dat de privacy gewaarborgd is. Wordt het mogelijk voor klanten om een account aan te maken? Zorg dan dat de instellingen standaard zo privacy-proof mogelijk staan (ook wel: privacy by default) en niet meer gegevens worden gevraagd dan strikt noodzakelijk.

Webwinkels zullen vanaf 25 mei 2018 moeten voldoen aan de nieuwe, strenge privacywet: de Algemene Verordening Gegevensbescherming (AVG). In deze blogserie ‘Privacy is belangrijk, ook voor webwinkels’ zijn een aantal van de eisen vanuit de AVG besproken om webwinkels op weg te helpen te voldoen aan de AVG.


Deze blog is geschreven door Demi Grandiek en Tim Wokke, juridisch adviseurs e-commerce bij adviesbureau ICTRecht. ICTRecht levert praktisch juridisch advies op het gebied van ICT, privacy en internet, en helpt webwinkels voldoen aan alle relevante e-commerce regelgeving. 

Meer leren over wat de AVG voor organisaties betekent en wat er precies gaat veranderen onder de nieuwe privacywet? Download dan de ICTRecht factsheet ‘De AVG: Wat verandert er echt?’ of neem contact op