In het Nederlands staat de AVG voor: Algemene verordening gegevensbescherming. De wetgeving is in Europa ook wel bekend als de GDPR-wetgeving: General Data Protection Regulation.
Sinds 25 mei 2018 geldt deze wetgeving voor alle lidstaten van de Europese Unie. Hierdoor zijn 28 wetgevingen omtrent het beschermen van persoonsgegevens vervallen en vervangen door één Europese regelgeving. De wetgeving zorgt ervoor dat de privacy van personen beter beschermd wordt en organisaties meer verantwoordelijkheid krijgen om deze privacy te waarborgen.
Wat betekent de AVG-wetgeving voor jouw webshop?
De AVG-wetgeving betekent voor jou als webshop dat je persoonsgegevens van klanten niet zomaar voor een andere doeleinden mag gebruiken. Sla je bij ontvangst van bestellingen bijvoorbeeld de adresgegevens op van jouw klant, dan mag je deze gegevens niet delen met andere partijen. Daarnaast ben je verplicht klanten de mogelijkheid te geven inzicht te krijgen in welke gegevens er van hen verzameld zijn en deze wanneer gewenst te laten verwijderen.
Er bestaan een aantal aandachtspunten rondom de AVG-/GDPR-wetgeving. De belangrijkste hebben we voor je op een rijtje gezet:
#1 Zorg voor een duidelijke privacyverklaring op jouw website
In deze privacyverklaring leg je duidelijk uit welke gegevens je verzamelt en voor welke doeleinden je deze gebruikt.
#2 Zorg voor een goede en duidelijke cookiemelding
- Als je gebruik maakt van remarketing , bijvoorbeeld via Google AdWords of Facebook.
- Als je gebruik maakt van Hotjar user recordings.
- Als je gebruik maakt van gepersonaliseerde e-mailmarketing waarbij je content laat zien op basis van eerder gekochte of bekeken producten of op basis van kenmerken zoals leeftijd en geslacht etc.
- Als je persoonsgegevens gebruikt om hier doelgroepen van te maken in Facebook of andere social media.
#3 Geef duidelijk aan waarvoor je persoonsgegevens gaat gebruiken
Vraag je om persoonsgegevens als bijvoorbeeld een geboortedatum dan moet je duidelijk laten weten waarom je deze gegevens verzameld. Bij het verzamelen van gegevens moet je altijd verwijzen naar jouw privacy policy.
#4 Persoonsgegevens moeten gewijzigd of verwijderd kunnen worden
Wanneer een klant vraagt om het verwijderen van gegevens dan ben je in een beperkt aantal gevallen verplicht om dit te doen. Het zogenaamde recht om vergeten te worden. Ook ben je als webshop verplicht om persoonsgegevens die je hebt verzameld, over te dragen aan jouw klant of een andere webshop als hij hierom vraagt. Vermeld duidelijk in je privacy statement hoe jouw klanten hun gegevens kunnen wijzigen of verwijderen.
#5 Toon aan dat je e-mailadressen op een wettelijke manier hebt verkregen
Verstuur je ook nieuwsbrieven voor marketingdoeleinden? Dan moet je al je e-mail opt-ins registreren en achteraf kunnen aantonen hoe deze verkregen zijn en waarvoor ze precies toestemming hebben gegeven.
Er moet dus onder andere onderscheid gemaakt worden voor opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die via een pop – up verkregen zijn. Kun je dit niet aantonen voor je huidige klantenbestand, dan zul je deze mensen moeten vragen om een (nieuwe) opt-in. Alleen mensen die zich dan actief aanmelden, mag je blijven mailen. Voor klanten waarmee je een factuurrelatie hebt mag je wel zonder actieve opt-in mailen over soortgelijke producten of diensten. Je dient ook in elke e-mail een opt-out te bieden.
#6 Bescherm jouw klantgegevens
Als webwinkelier ben jij verantwoordelijk voor de gegevens van jouw klant. Zorg ervoor dat de informatiebeveiliging van jouw webshop altijd up-to-date is. Een SSL-certificaat is hierin een must.
#7 Bewaar gegevens niet langer dan toegestaan
Je mag persoonsgegevens in principe niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Zoals aangegeven, dit geldt alleen voor wetenschappelijk onderzoek. Je moet betrokkenen informeren over het bewaarbeleid via de privacyverklaring.
#8 Neem een verwerkingsovereenkomst op met alle partijen die toegang hebben tot je persoonsgegevens
Een verwerkingsovereenkomst zorgt ervoor dat de rechten van personen worden gewaarborgd. Ontstaat er een probleem? Dan kan de verwerker hier aansprakelijk voor zijn.In een verwerkingsovereenkomst dien je het volgende op te nemen:
- Waar persoonsgegevens voor mogen worden gebruikt.
- Welke veiligheidsmaatregelen getroffen moeten worden.
- Waar persoonsgegevens worden opgeslagen.
- Wie waar precies verantwoordelijk voor is.
- Wat er gebeurt bij het einde van een overeenkomst
- Wat voor kosten het met zich meebrengt en wie dit uiteindelijk betaalt.
- Hoe je omgaat met datalekken of eventuele schade bij het niet voldoen aan gemaakte afspraken.
Wat gebeurt er als jij je niet aan de AVG-wetgeving houdt?
Voor het overtreden van de basisbeginselen kan een boete al snel oplopen tot een bedrag van 20 miljoen of 4% van de jaaromzet. Voor minder zware overtredingen spreek je van boetes tot 10 miljoen euro of 2% van de jaaromzet.
Een goede voorbereiding is het halve werk! Bereid je daarom goed voor zodat je niet voor verrassingen komt te staan. Wil je meer weten wat dit voor jouw webshop betekent? Op de site van de autoriteit persoonsgegevens vind je alles wat je hierover weten moet.