Ashley Madison en de privacy-affaire

In juli werd de affairewebsite Ashley Madison gehackt. De hackers claimden onder andere dat de beveiligingsmaatregelen van de website niet goed zouden zijn (wat ook zo blijkt te zijn).

Inmiddels zijn er schadeclaims ingediend tegen Ashley Madison wegens schending van het recht op privacy. Uit deze case blijkt maar weer eens het belang van goede beveiligingsmaatregelen van een website. Dit geldt natuurlijk ook voor webshops: iedere webshop verwerkt persoonsgegevens van zijn klanten en bezoekers. De mode-industrie is de branche bij uitstek waarin webshops zorgen voor een belangrijk deel van de totale verkoop. Wat kunt u doen om uw webshop privacy compliant te maken en schadeclaims of boetes te voorkomen?

Wat speelde er bij Ashley Madison?

De hackers (die zichzelf het ‘Impact Team’ noemen) hebben de gegevens van miljoenen gebruikers gestolen en inmiddels zijn de gegevens van meer dan 37 miljoen gebruikers online gezet. Het Impact Team had verschillende motieven om de hack uit te voeren. Een van die motieven zou zijn dat het Impact Team van mening is dat de beveiligingsmaatregelen van Ashley Madison onvoldoende zouden zijn. Daarnaast zouden de gegevens die door gebruikers ‘verwijderd’ waren, toch nog door Ashley Madison zijn bewaard. Diverse rechtszaken zijn zich aan het ontwikkelen om Ashley Madison aan te klagen wegens schending van het recht op privacy. De schadeclaims lopen op tot honderden miljoenen dollar per geval.

Meldplicht datalek

Niet alleen uw klanten verwachten dat uw webshop privacy compliant is. Ook Europese en Nederlandse wetgeving verplicht u daartoe. In het kader van de Ashley Madison case is het van belang dat de Wet bescherming persoonsgegevens (hierna: de “Wbp”) per 1 januari 2016 wordt uitgebreid met een meldplicht datalekken. Dit betekent dat iedere webshopeigenaar verplicht is een inbreuk op de beveiliging te melden bij de toezichthouder (het CBP), wanneer die inbreuk leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de privacy van betrokkenen. Tevens bent u verplicht de betrokken personen te informeren over het datalek (tenzij u de data versleuteld had opgeslagen). Het niet voldoen aan deze meldplicht, kan leiden tot aanzienlijke boete (tot maximaal 810.000 euro of 10 procent van de jaaromzet).

Ook als de lek plaatsvindt bij een derde partij met wie u samenwerkt en wie ook de persoonsgegevens te zien krijgt (de bewerker), bent u daarvoor verantwoordelijk. Bij een bewerker kunt u denken aan de partij die de webshop voor u bouwt en onderhoudt. Ook wordt een hosting partij of een webwinkelplatform als bewerker gezien. Belangrijk is dat u in een bewerkersovereenkomst de verplichting van het melden van een datalek aan de bewerker oplegt.

Informatieverplichtingen

De Wbp kent naast de ‘meldplicht datalekken’ (per 1 januari 2016) ook diverse informatieverplichtingen. Het komt er kort gezegd op neer dat u richting uw bezoekers transparant moet zijn over (1) de gegevens die van de bezoeker worden verzameld, (2) wat u met deze gegevens doet, en (3) waarom u deze gegevens verwerkt. Deze informatie zet u in een privacy statement.

Toestemming

Naast het verschaffen van informatie aan de bezoeker, moet u voor sommige activiteiten met persoonsgegevens toestemming van de klant of bezoeker vragen. Toestemming is vereist voor het toezenden van nieuwsbrieven, voor het doorverkopen van de persoonsgegevens aan een derde partij en voor doorgifte van de persoonsgegevens naar een locatie buiten de EU. Deze noodzakelijke toestemming kunt u verkrijgen door de klant te vragen akkoord te gaan met uw privacy statement (‘opt-in’). Dit kan via een ‘tick in the box’ gedurende het bestelproces. U geeft aan dat de bezoeker met het plaatsen van de bestelling akkoord dient te gaan met uw privacy statement. U plaatst daarbij een link naar het privacy statement.

Het privacy statement

In een privacy statement deelt u met de bezoeker de volgende informatie: – Uw bedrijfsnaam, adresgegevens en contactgegevens. 

• Welke persoonsgegevens van een klant of bezoeker worden verzameld. Persoonsgegevens zijn alle gegevens die naar een natuurlijk persoon zijn te herleiden. Hier vallen onder andere een naam, adres en telefoonnummer onder. Maar ook een e-mailadres is een persoonsgegeven, net als een IP-adres. U verzamelt bijvoorbeeld persoonsgegevens gedurende het bestelproces, maar wellicht ook op andere pagina’s van de webshop, zoals via het contactformulier. 
• U dient aan te geven met welk doel de persoonsgegevens worden verwerkt. Dat kan zijn ten behoeve van ‘het uitvoeren van de koopovereenkomst’ (bijvoorbeeld de adresgegevens voor het kunnen versturen van een bestelling) of ‘beveiliging en optimalisering van de webwinkel’ (bijvoorbeeld het vastleggen van IP-adressen). 
• Ook geeft u duidelijk aan of – en zo ja: welke – cookies door u worden geplaatst op de local device (het apparaat) van de bezoeker. Daarbij licht u duidelijk toe waarom u dit doet (bijvoorbeeld ten behoeve van het optimaliseren van de website). Vermeld het ook als de clickstream (het klikgedrag) van de bezoeker wordt geanalyseerd.
• U dient de bezoeker ook te informeren over de technische en organisatorische (beveiligings-)maatregelen die u hebt genomen, teneinde te voorkomen dat zijn of haar gegevens op straat komen te liggen. Geef het aan indien u gebruik maakt van een beveiligde SSL-verbinding op de pagina’s waar de gebruiker zijn persoonsgegevens opgeeft (gedurende het bestelproces en in het contactformulier). Ook kunt u aangeven dat de data in de database versleuteld is, zodat bij een eventuele hack de data niet leesbaar is. 
• In het privacy statement kunt u uw bezoekers wijzen op het recht op inzage en/of correctie van zijn persoonsgegevens. 
• Als uw klanten toegevoegd worden aan de adressenlijst voor het toezenden van nieuwsbrieven, dient u de klant daarop te wijzen. In dat geval heeft u ook de expliciete toestemming van uw klant nodig; het enkele informeren daarover is niet voldoende (zie hierboven onder ‘toestemming’). 
• Ook geeft u in een privacy statement aan waar de persoonsgegevens zijn opgeslagen. Staan deze bijvoorbeeld op een (cloud)server in Nederland, elders in de EU of zelfs daarbuiten? In dat laatste geval heeft u toestemming nodig van de bezoeker om zijn persoonsgegevens naar een locatie buiten de EU te vervoeren (zie hierboven onder ‘toestemming’). 
• Ook als u persoonsgegevens doorverkoopt aan derden, dient u dit aan te geven in een privacy statement. In dat geval dient u eveneens toestemming te vragen aan de bezoeker (zie hierboven onder ‘toestemming’).

Tot slot is het aan te raden uw privacy statement eenvoudig vindbaar te laten zijn. Plaats dus een link naar het privacy statement onderaan elke pagina, en vraag de klant gedurende het bestelproces om via een ‘tick in the box’ akkoord te gaan met uw privacy statement.

Iris Tuk is advocaat en privacy-specialist bij Köster Advocaten in Haarlem. Regelmatig behandelt Köster Advocaten hier actuele juridische kwesties.

Bron: FashionUnited