call 0183 74 54 34 support_agent Support

AVG/GDPR: Wat betekent deze wetgeving voor websites en webwinkels

25 mei 2018 treedt de nieuwe Europese wetgeving rondom persoonsgegevens in: de AVG (Algemene verordening gegevensbescherming). Een wet die impact heeft op de omgang met alle informatie over een persoon.

Dit artikel is voor het laatst vernieuwd op 5 maart 2018

Deze privacywetgeving is op 24 mei 2016 al in werking gegaan maar wordt in 2018 gehandhaafd. De AVG voegt niet alleen nieuwe regels toe. Bestaande regels zijn ook flink aangescherpt. In Nederland stond de omgang met persoonsgegevens vastgesteld in de Wet bescherming persoonsgegevens (Wbp), maar een wetgeving voor de gehele Europese Unie bestond niet. Met de AVG, ofwel General Data Protection Regulation (GDPR) wordt de wetgeving in alle landen binnen de EU gelijkgetrokken.

Disclaimer

Met dit artikel geven we je graag inzicht in de nieuwe AVG/GDPR regels met betrekking op je website. Dit artikel is niet bedoeld om juridische beslissingen op te baseren gezien we bij DailyCMS geen advocaten zijn maar een technisch internetbureau.

Wat betekent de AVG voor je website?

In een notendop moet je website of webwinkel van het volgende zijn voorzien:

  • Een privacyverklaring als je persoonsgegevens verzameld. Is dit het geval? Geef dan duidelijk aan in je privacyverklaring hoe iemand een verzoek kan doen om te zien welke informatie over de desbetreffende persoon is verzameld (recht op inzage) met de optie om deze aan te passen of te verwijderen (recht op vergetelheid).
  • Een beveiligde verbinding (SSL-certificaat) als je gegevens verwerkt. Zie de kop “Privacy by design”.
  • Als je om persoonsgegevens vraagt, vraag dan zo min mogelijk gegevens. Geef duidelijk aan met welk doel je persoonsgegevens vraagt. Heb je meerdere doelen? Vraag dan toestemming per doel. Meer hierover is te lezen onder de kop “Privacy by default” en “Waar moeten mijn website formulieren aan voldoen voor de AVG/GDPR”.
  • Maak je gebruik van niet “functionele cookies”. Dan moet je een cookiemelding tonen waarmee je toestemming vraagt. Aanvullend leg je in een cookieverklaring uit waarom je gebruik maakt van cookies en wat je ermee doet.

Lees verder voor nadere uitleg over deze punten met concrete voorbeelden. Tevens geven we als extraatje antwoord op de volgende twee veelgestelde vragen:

  • Mag ik potentiële klanten waarvan ik eerder gegevens heb verzameld benaderen?
  • Hebben mijn eigen klanten automatisch een opt-in?
inzage

Recht op inzage

Iedereen heeft het recht om te vragen welke persoonsgegevens over hem of haar verzamelt zijn. Als dit het geval is kan deze persoon een verzoek doen om de gegevens digitaal op te laten sturen. Hiervoor mogen geen kosten in rekening worden gebracht. Vervolgens kan hij of zij aangeven om de gegevens aan te vullen, te verbeteren of te verwijderen (recht van vergetelheid).

Hoe pas ik dit toe op mijn website?
In je privacyverklaring omschrijf je hoe iemand een verzoek kan doen. Bijvoorbeeld door een brief te schrijven of een e-mail te sturen. Hierbij is het belangrijk om direct het postadres of e-mailadres te tonen zodat het niet onnodig moeilijk voor iemand wordt gemaakt. Een goed voorbeeld van zo’n omschrijving is onderaan de bescherming persoonsgegevens pagina van CoolBlue.

Recht van vergetelheid

Iedereen mag een verzoek indienen om "vergeten” te worden. Dit houdt in dat je als website persoonsgegevens van een betrokkene (zoals een klant, maar ook een voormalig werknemer of sollicitant) in korte tijd moet wissen wanneer deze hierom vraagt.

Waar moet je op letten

  • Een aantekening plaatsen bij de desbetreffende persoon in je systeem van afmelding is niet voldoende, je moet de gegevens volledig verwijderen.
  • Als je persoonsgegevens synchroniseert met andere systemen zoals een nieuwsbrievensysteem moeten ook daar de gegevens verwijderd worden. Dus niet alleen in het systeem van je website.
  • Worden de persoonsgegevens gedeeld met derden? Dan moet je ook deze externe partijen vragen om de persoonsgegevens in kwestie te verwijderen.

Facturen voor garantie en de belastingdienst
Het recht om vergeten te worden is een goede stap om websitebezoekers meer controle te geven over hun persoonsgegevens, al zit hier wel een hiaat in. Als webwinkel eigenaar is het belangrijk om oude orders te bewaren vanwege het afhandelen van garantie. Je moet kunnen nagaan wanneer en door wie iets is gekocht. Voor facturen geldt hetzelfde. Daar komt bij dat je deze zeven jaar moet bewaren voor de Belastingdienst, inclusief de bijkomstige administratie om te bewijzen dat de factuur echt is en daarmee te koppelen aan een persoon. Met de kennis van nu is dit een uitzondering op de regel. Daarbij is het wel belangrijk dat deze gegevens uitsluitend worden bewaard met als doel het verstrekken van garantie of het weerleggen van omzet aan de belastingdienst.

Hoe pas ik dit toe op mijn website?
Hetzelfde verhaal als bij recht op inzage. In de privacyverklaring omschrijf je hoe iemand een verzoek kan doen om alle persoonsgegevens over een persoon te verwijderen. Een ander mooi voorbeeld daarvan is de privacy- en cookieverklaring van ICTRecht.

Privacy by design en dataminimalisatie

Tijdens het ontwikkelen van een website moet er aandacht worden besteed aan privacyverhogende maatregelen. Denk hier aan het toepassen van een beveiligde verbinding door middel van een SSL certificaat (https). Of stel jezelf de vraag of het écht nodig is om persoonsgegevens te verwerken of dat er bijvoorbeeld ook gewerkt kan worden met volledig geanonimiseerde gegevens. Privacy by design is voornamelijk van toepassing op het ontwikkelen van een (nieuwe) website of webwinkel.

Vraag tevens zo min mogelijk persoonsgegevens (dataminimalisatie). Vraag alleen gegevens die noodzakelijk zijn voor het beoogde doel. Denk bijvoorbeeld aan:

  • Het inrichten van een bestelproces voor een webwinkel. Het vragen naar het adres zal noodzakelijk zijn om een product te kunnen afleveren. Een geboortedatum daarentegen is (met uitzondering) niet noodzakelijk.
  • Het vragen van gegevens voor een nieuwsbrief. Een e-mailadres is noodzakelijk, maar het verplicht stellen van een naam is niet. Natuurlijk kan je wel optioneel om een naam vragen.

Privacy by default

Privacy by default kan gezien worden als een onderdeel van privacy by design. Het verplicht je om gebruikers die persoonsgegevens kunnen sturen of delen via je website, standaard (by default) zo goed mogelijk beschermt en voorlicht. Kortom, het moet zo privacyvriendelijk mogelijk zijn. Dit houdt in dat je duidelijk beschrijft per doel waarvoor je de gevraagde gegevens gaat gebruiken en waar nodig toestemming voor vraagt.

Omdat het verwerken van gegevens via een website voornamelijk via formulieren verloopt geven we uitleg en diverse voorbeelden om het helder te krijgen waaraan je website formulieren moeten voldoen. We hebben gemerkt dat hier een hoop spookverhalen over bestaan die je eerder bang maken dan een helder antwoord geven.

Waar moeten mijn website formulieren aan voldoen voor de AVG/GDPR

Geef duidelijk op de pagina aan wat het doel is van het formulier. Doe dit met een duidelijk koptekst. Voorbeelden van een koptekst zijn: account aanmaken, offerte aanvragen, solliciteer nu of aanmelden nieuwsbrief. De kopteksten geven duidelijk aan de aard van het formulier aan. Als je formulier dus één helder doel heeft waarvoor je de persoonsgegevens gebruikt is het niet nodig om apart toestemming te vragen om deze gegevens te mogen verwerken met behulp van een vakje (checkbox) die je aan moet vinken. Hetzelfde geldt voor het accepteren van de privacyverklaring, dit is nooit nodig. Vooral hierover is veel onduidelijkheid. Gelukkig heeft internetjurist Arnoud Engelfriet hier ons uitsluitsel over gegeven via de onderstaande tweets.

Screen Shot 2018-03-06 at 08.03.56
Screen Shot 2018-03-06 at 08.04.10

Wat je wel moet doen is duidelijk in de privacyverklaring vermelden wat je met deze gegevens gaat doen en hoe lang het bewaard wordt. Meer hierover is te lezen via de volgende bronnen:

Wat wel zo privacyvriendelijk is om te doen betreft het plaatsen van een link naar de privacyvoorwaarden zodat een bezoeker niet ergens onderaan de pagina (footer) moet gaan zoeken. Een mooi voorbeeld hiervan is de volgende tekst die ICTRecht plaats bij het inschrijven van de nieuwsbrief: “Uw adres wordt alleen gebruikt voor onze maandelijkse nieuwsbrief. Lees ook onze privacyverklaring.” Waarbij het woord privacyverklaring is gelinkt. Het mooie hieraan is dat de tekst ook van te voren aangeeft hoe vaak je de nieuwsbrief kan verwachten.

Heb je meerdere doelen?
Stel je hebt een pagina met de koptekst “offerte aanvragen” waar je een e-mailadres en naam vraagt. Dan mag je deze gegevens niet gebruiken om vervolgens ook een nieuwsbrief naar te sturen. Dit is namelijk een ander doel dan de koptekst “offerte aanvragen” suggereert. Je moet dan via een vakje (checkbox) toestemming vragen (vinkje) om het e-mailadres en de naam ook te mogen gebruiken voor het tweede doel, namelijk het versturen van nieuwsbrieven.

Voorbeelden van website formulieren met meerdere doelen is het aanmaken van een account bij Brandfield en het solliciteren bij de belastingdienst. Brandfield vraagt toestemming om een nieuwsbrief te mogen versturen. De belastingdienst vraagt om akkoord te gaan met het privacystatement en of alles naar waarheid is ingevuld. Deze vakjes (checkboxen) zijn niet voor de AVG wetgeving verplicht. Ze vragen wel terecht om toestemming of de gegevens gebruikt mogen worden voor onderzoeksdoeleinden.

Screen Shot 2018-03-05 at 23.42.43
Screen Shot 2018-03-05 at 23.46.20

Wat mag je beslist niet mag doen

  • Geen toestemming vragen voor een extra doel via een vakje (checkbox), maar onder of boven een formulier tekstueel vermelden dat je door het formulier in te vullen toestemming geeft om de nieuwsbrief te ontvangen of een ander doel die je niet duidelijk vermeld. De kans is groot dat een bezoeker hier overheen leest. Hetzelfde verhaal geldt voor een verwijzing naar de privacyverklaring waarin je vermeldt dat je toestemming geeft om de gegevens voor andere doeleinden te gebruiken als je een bepaald formulier invult en verstuurd.
  • Het is uit den boze om bij het vragen van toestemming voor een extra doel om het vinkje bij een vakje (checkbox) van te voren in te vullen. Het moet een vrije, ongedwongen keuze zijn.

Recht van dataportabiliteit

Wanneer je via de website persoonsgegevens verwerkt, mag een persoon deze opvragen zodat ze overgedragen kunnen worden aan andere partijen. Het idee achter dataportabiliteit is het vergroten van de controle op je persoonsgegevens met mogelijk de big data ontwikkelingen in het achterhoofd. Het recht op dataportabiliteit moet het bijvoorbeeld gemakkelijker maken om over te stappen naar een andere dienst. Op verzoek moet bijvoorbeeld een webwinkel de persoonsgegevens in gestructureerde en machineleesbare vorm kunnen verplaatsen, kopiëren en versturen. Dit geldt alleen wanneer gegevens automatisch worden verwerkt op basis van toestemming of een overeenkomst. Of dit ook geldt voor gegevens die in eerste instantie geautomatiseerd zijn verwerkt, maar in een later stadium aan menselijk handelen worden toevertrouwd zal de toekomst leren.

tekst

Datalek

Het is onder de AVG niet meer nodig om iedere datalek te melden bij de Autoriteit Persoonsgegevens. Als organisatie dien je wel ieder datalek incident op een gestructureerde manier te registreren en de risico’s voor betrokkenen te bepalen.

Goed om te weten

Naast iemands naam, adres, woonplaats, e-mailadres, telefoonnummer en dergelijke vallen nu ook gegevens als IP-adressen, MAC- adressen, cookies onder de wet AVG. Gegevens die je absoluut niet mag vragen en extra beschermd zijn qua wetgeving zijn iemands gezondheid, godsdienst of ras.

One more thing

Als extraatje geven we antwoord op de volgende veelvoorkomende vragen.

Mag ik potentiële klanten waarvan ik eerder gegevens heb verzameld benaderen?
Veel ondernemingen hebben al lijsten of databases opgebouwd met (persoons)gegevens van potentiële klanten. Ook al zijn deze gegevens eerder verkregen, ze vallen nu ook onder de AVG regelgeving. Of je deze potentiële klanten nog mag benaderen is afhankelijk van de toestemming (opt-in) die je hiervoor eerder wel of niet hebt ontvangen. Neem bijvoorbeeld je mailinglijst. Heb je voor iedereen een opt-in ontvangen om informatie te mogen sturen? Kun je dit niet aantonen of is het onduidelijk hoe je aan de gegevens komt? Dan mag je dit contact geen e-mails sturen.

Hebben mijn eigen klanten automatisch een opt-in?
Je verwacht het niet. Maar de AVG beschrijft geen richtlijn voor die aangeeft dat klanten een opt-in moeten hebben. Met klanten bedoelen we mensen die producten of diensten afnemen waarvoor ze een factuur ontvangen. Bij zo’n factuurrelatie kun je spreken over een opt-in. Zolang er altijd een opt-out mogelijkheid is mag je commerciële berichten versturen.

Bronnen