EastEnd-Arts
print

7 aandachtspunten in jouw webshop om te voldoen aan de nieuwe privacywet

Het aantal webwinkels en webwinkelverkopen neemt toe. In Nederland zijn er zelfs meer online winkels dan offline winkels. Al deze online winkels moeten zich voorbereiden op de komst van de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van toepassing wordt.

Webwinkels verzamelen veel persoonsgegevens van hun klanten. Denk aan namen, adresgegevens, e-mailadressen, telefoonnummers en bestelgegevens, maar ook financiële gegevens. Deze gegevens worden vaak opgeslagen en bewaard in een klantenbestand. Dit heeft als gevolg dat webwinkels zich moeten houden aan de privacywet. Hieronder zijn een aantal van de eisen uit deze wet opgesomd. Bij het niet voldoen aan deze eisen zal in de toekomst hogere boetes uitgedeeld kunnen worden door de autoriteiten.

Privacy- en cookieverklaring

Een webwinkel is verplicht klanten en bezoekers te informeren over welke privacygevoelige informatie de winkel verzamelt en met welk doel. Ook als dat doel alleen maar is het vastleggen van hun gegevens in een klantenbestand. Wanneer een webwinkel van de klant een profiel opbouwt om gedrag of interesses te kunnen voorspellen, moet zij de klant hierover duidelijk informeren. Informeren kan via een (online) privacyverklaring. Bezoekers en klanten moeten die eenvoudig kunnen vinden op de website en de informatie in de verklaring moet duidelijk en gemakkelijk leesbaar zijn. Als de webwinkel ook cookies plaatst of laat plaatsen, moet zij haar bezoekers ook informeren over deze cookies. In de meeste gevallen moet zelfs voordat cookies mogen worden geplaatst, door een bezoeker toestemming worden gegeven.

Verwerkersovereenkomst

Wordt bijvoorbeeld de database van de webwinkel onderhouden door een externe programmeur, de betalingen gefaciliteerd door een payment service provider, de website gehost door een hostingpartij, de nieuwsbrieven verstuurd door een externe partij of zet een marketingbureau een campagne voor je uit? In die gevallen hebben deze derde partijen (verwerkers) toegang tot de persoonsgegevens en moet de webwinkel een verwerkersovereenkomst met hen sluiten. In een verwerkersovereenkomst moet onder meer aandacht worden geschonken aan het doel van de verwerking, beveiligingsmaatregelen, het melden van datalekken, het recht op een audit en eventuele sub-verwerkers of derde partijen.

Nieuwsbrief

Alle klanten een nieuwsbrief sturen met daarin een aanbieding voor het nieuwste product? Een digitale nieuwsbrief versturen is de gemakkelijkste manier om contact te onderhouden met klanten. Aan het versturen van nieuwsbrieven zijn wel bepaalde eisen verbonden. De hoofdregel is dat vooraf af aan de klanten toestemming moet worden gevraagd. Dat kan heel eenvoudig door het aanvinken van een vakje waarin de klant toestemming geeft om zijn contactgegevens te gebruiken voor de nieuwsbrief. Hebben al uw klanten toestemming gegeven voordat de nieuwsbrief de deur uitgaat?

Verwerkingsregister

Vanaf 25 mei 2018 moet een webwinkel een intern register bijhouden van alle verwerkingen van persoonsgegevens. Een webwinkel kan dit eenvoudig doen in een Excel-bestand of via een softwareprogramma. In dit verwerkingsregister moet onder meer worden opgenomen welke (categorieën van) persoonsgegevens worden verwerkt, de ontvangers van deze persoonsgegevens en de verwerkingsdoeleinden.

Interne datalekprocedure

Wanneer er een inbreuk plaatsvindt in verband met persoonsgegevens die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang (een datalek) moet de webwinkel in veel gevallen een melding doen bij de Autoriteit Persoonsgegevens (AP) en in sommige gevallen ook aan de klant(en). Een voorbeeld van een datalek is wanneer een hacker toegang krijgt tot de webserver waarop de webwinkel draait en daarbij daadwerkelijk persoonsgegevens verloren zijn gegaan. Ieder datalek moet worden bijgehouden, ongeacht of het gemeld moet worden aan de AP of niet.

Ook de gevolgen en de genomen maatregelen om een datalek in de toekomst te voorkomen, moeten worden gedocumenteerd. De AP kan toegang verlangen tot deze documentatie. Een interne datalek-procedure is dus onmisbaar voor een webwinkel. Hierin staat aan wie binnen de organisatie een datalek moet worden gemeld en hoe de verdere afhandeling plaatsvindt.

Beveiligingsmaatregelen voor webwinkels

Een webwinkel moet volgens de AVG “passende technische en organisatorische beveiligingsmaatregelen” nemen om misbruik en ongeautoriseerde toegang tot deze gegevens tegen te gaan. Een webwinkel moet onder andere nadenken over de vraag hoe ze wachtwoorden opslaan en wie toegang heeft tot die gegevens. Daarnaast is een SSL(TLS)-verbinding voor een webwinkel verplicht.

bron: uitgelicht



Artikelen laatste nieuwsbrief

Privacy statement volgens de AVG »
Is je website klaar voor de AVG? »
Google gaat HTTP markeren als onveilig »
Wie ervaart meeste social media stress? »
5 tips om je LinkedIn-profiel te verbeteren »

De wet AVG

EastEnd-Arts is geen juridisch bureau. We hebben ons verdiept in de gevolgen en op basis daarvan hebben we enkele artikelen geplaatst om onze klanten op weg te helpen met deze wetgeving. Vraag voor zekerheid advies van een specialist.

Meer over AVG in ons NIEUWS »

Onze Nieuwsbrief

Via onze nieuwsbrief houden wij u regelmatig op de hoogte van de nieuwste ontwikkelingen bij EastEnd-Arts en de voor u rele­vante informatie op het gebied van internet.

Eastend nieuwsbrief