Waar moet mijn webshop aan voldoen op het gebied van privacy?

16 juli 2020 | Nine Bennink

Waar moet mijn webshop aan voldoen op het gebied van privacy?

De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 van kracht. De AVG schrijft regels voor om de bescherming van privacy te waarborgen en is ook van toepassing op webshops. In deze Q&A leg ik uit waar een webshop allemaal aan moet voldoen op het gebied van privacy.”

Waarom is de AVG van toepassing op webshops?

De AVG is van toepassing op (de meeste) webshops, omdat webshops gegevens verzamelen, gebruiken en bewaren van hun klanten. Denk hierbij aan onder meer: naam, adres, e-mailadres, bestelgegevens en financiële gegevens. Al deze gegevens worden persoonsgegevens genoemd.

Welke persoonsgegevens mogen webshops verzamelen, gebruiken en bewaren?

De AVG schrijft niet precies voor welke persoonsgegevens webshops mogen verzamelen, gebruiken en bewaren. Iedere handeling met persoonsgegevens wordt in de AVG een verwerking genoemd.

Mogen webshops zomaar alle persoonsgegevens verwerken?

Nee. De AVG schrijft voor dat persoonsgegevens alleen mogen worden verwerkt op basis van een of meerdere wettelijke grondslagen. Er bestaan zes wettelijke grondslagen. De meest voor de hand liggende grondslagen waar een webshop zich op kan beroepen zijn: 1) de uitvoering van een overeenkomst (bijvoorbeeld de verwerking van adresgegevens om het product te kunnen leveren) en 2) de toestemming (bijvoorbeeld de verwerking van een telefoonnummer nadat de klant zelf met de klantenservice heeft gebeld).

Iedere verwerking van persoonsgegevens dient een wettelijke grondslag te hebben. Daarnaast dient iedere verwerking in overeenstemming te zijn met een of meerdere doelen. Deze doelen zijn niet specifiek in de AVG opgenomen. De doelen worden door de webshop zelf bepaald.

Een voorbeeld: de webshop verwerkt financiële gegevens van de klant. De wettelijke grondslag hiervoor is de uitvoering van de overeenkomst. Financiële gegevens van de klant worden verwerkt met als doel het aankoopbedrag te kunnen afschrijven en het betalingsgedrag van de klant in kaart te kunnen brengen.

Er mogen nooit méér persoonsgegevens worden verwerkt dan noodzakelijk is voor het doel. In het hiervoor beschreven geval is het bijvoorbeeld niet nodig om persoonsgegevens over iemands geloofsovertuiging te verwerken voor de genoemde doelen. Die persoonsgegevens (geloofsovertuiging) zijn voor webshops over het algemeen niet nodig en dienen dus geen doel. Die gegevens mogen dus ook niet worden verwerkt.

Welke documenten moet ik op mijn webshop plaatsen?

Op grond van de AVG heeft een webshop de verplichting iedere bezoeker of klant van de webshop te informeren op het moment dat persoonsgegevens over bezoeker/klant verwerkt worden. Dit is dus niet alleen het geval als een klant producten bestelt, maar óók als een bezoeker de webshop bekijkt waardoor cookies worden geplaatst die persoonsgegevens verwerken.

De documenten die op de webshop moeten worden geplaatst, moeten de bezoeker of klant informeren over de verwerking van persoonsgegevens. In de praktijk gebeurt dit door middel van een privacy- en/of cookieverklaring.

In een privacyverklaring staat welke persoonsgegevens worden verwerkt, welke wettelijke grondslagen van toepassing zijn, voor welke doelen de persoonsgegevens worden verwerkt, welke rechten de persoon van wie de persoonsgegevens worden verwerkt heeft ten opzichte van zijn persoonsgegevens, hoe de persoonsgegevens worden beveiligd en of persoonsgegevens worden doorgegeven aan derde partijen (bijvoorbeeld aan een dochteronderneming van de webshop). Een webshop mag niet zomaar persoonsgegevens verkopen aan derden.

In een cookieverklaring staat welke cookies worden gebruikt en welke cookies daarvan persoonsgegevens verzamelen. Niet alle cookies verzamelen persoonsgegevens. Voor de cookies die wél persoonsgegevens verzamelen, moet toestemming worden gevraagd. Meestal gebeurt dat door middel van een cookiemelding (pop up) in het scherm.

De privacy- en/of cookieverklaring moeten in heldere taal worden opgesteld en makkelijk (op de website) vindbaar zijn.

Is het hebben van deze documenten voldoende om aan de AVG te voldoen?

Nee. In de praktijk merken wij dat er wordt gedacht dat het hebben van een privacy- en/of cookieverklaring voldoende is om te voldoen aan de AVG. Het is echter van essentieel belang om naast het hebben van de documenten ook te handelen overeenkomstig deze documenten.

Dit houdt onder meer het volgende in:

  • een webshop moet een verwerkersregister aanleggen en bijhouden, waarin alle (categorieën van) verwerkingen van persoonsgegevens worden bijgehouden. Uit het verwerkersregister moet ten minste blijken 1) welke soort persoonsgegevens worden verwerkt, 2) op basis van welke wettelijke grondslag(en), 3) voor welk(e) doel(en) en 4) met welke partijen deze persoonsgegevens worden gedeeld;
  • een webshop moet passende organisatorisch en technische beveiligingsmaatregelen nemen om persoonsgegevens te beveiligen, door er bijvoorbeeld voor te zorgen dat persoonsgegevens worden beveiligd met een wachtwoord en door gebruik te maken van een SSL verbinding;
  • een webshop moet beschikken over een datalekprotocol waarin staat beschreven wat medewerkers van een webshop moeten doen op het moment dat er een (mogelijk) datalek wordt geconstateerd en op welke manier dit (mogelijke) datalek aan de Autoriteit Persoonsgegevens en eventueel de personen om wie het gaat moet worden gemeld;
  • de webshop moet voldoen aan de eisen die gelden voor het versturen van nieuwsbrieven. Het belangrijkste vereiste is dat de ontvanger van de nieuwsbrief expliciet toestemming heeft gegeven voor het ontvangen daarvan; en
  • de webshop moet verwerkersovereenkomsten sluiten met derden die in haar opdracht persoonsgegevens verwerken. Denk hierbij aan de externe programmeur van de webshop, het reclamebureau dat een marketing campagne uitvoert of de externe betaaldienst waar de webshop gebruik van maakt.

Tot slot

Zoals uit deze bijdrage volgt, voldoet een webshop niet aan de AVG door éénmalig een lijstje met vereisten af te werken. Dit is pas het begin. Om te blijven voldoen aan de AVG is het belangrijk te beseffen dat het onderwerp privacy doorlopend een punt van aandacht is en zal moeten blijven.

Naast de privacyaspecten moet de webshop ook voldoen aan de vereisten die gelden op het gebied van e-commerce. Ik schreef hier al eerder over.

Team ICT & Privacy
Nine Bennink