Op 25 mei 2018 is de nieuwe "Algemene verordening gegevensbescherming" (AVG) ingegaan. Deze privacywetgeving geldt voor de hele Europese Unie. De Engelse naam voor deze wetgeving is "General Data Protection Regulation" (GDPR). Het doel van de nieuwe verordening is om EU-burgers meer controle te geven over hun privégegevens.
Waar gaat het over
Burgers van de Europese Unie moeten meer informatie hebben over de manier waarop hun gegevens worden verzameld, verwerkt en gedeeld, en meer macht over wat er met die gegevens gebeurd.
Dit betekent dat alle webshops die producten verkopen aan burgers van de EU en hun gegevens verzamelen, de belangrijkste regels moeten kennen die ervoor zorgen dat deze klantgegevens veilig zijn en veilig worden behandeld.
De belangrijkste impact van de GDPR zal van invloed zijn op de manier waarop bedrijven (groot of klein) omgaan met de persoonlijke gegevens van hun bezoekers en klanten
GDPR-sancties
Als je webshop gegevens van een Europese burger verwerkt, zou het volgen van de nieuwe GDPR-richtlijnen een maximale prioriteit moeten zijn vanwege de zware boetes die verband houden met de verordening. Ze zijn opgelegd door het internationaal recht. Er zijn twee categorieën overtredingen:
- Overtredingen die zien op fundamentele verplichtingen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet;
- Overtredingen die voornamelijk zien op meer administratief georiënteerde verplichtingen is dit maximaal € 10.000.000,- of 2% van de wereldwijde omzet.
Als het percentage van de wereldwijde omzet hoger is dan de genoemde maximale geldboete, dan geldt dat als maximum. Hiervoor is gekozen om ook multinationals aan te sporen de GDPR na te leven.
Deze bedragen kunnen verwoestend zijn voor een bedrijf en kan er mogelijk toe leiden dat het wordt gesloten, dus in feite is naleving van GDPR niet alleen een optie. Het is een must.
GDPR-compliancevereisten
Er zijn een paar stappen nodig om je webshop GDPR-compatibel te maken.
Privacybeleid Updates
Je kunt beginnen met het herschrijven van je privacybeleid.
Communiceer de informatie op een duidelijke manier door:
- volledige transparantie over de methoden voor het verzamelen, verwerken en delen van gegevens te geven;
- het beknopt en kort te houden;
- de informatie gemakkelijk bereikbaar te maken via een link op alle pagina’s;
- eenvoudig te begrijpen bewoording.
Inhoud privacybeleid
Je nieuwe privacybeleid moet het volgende bevatten:
- Het type persoonlijke gegevens dat je verzamelt (e-mailadres, naam, adres, telefoonnummer, creditcard- / betaalpasinformatie, enz.).
- Waarom heb je het nodig en hoe je het verzamelt.
- Hoe gebruik je het?
- Welke beveiligingsmaatregelen je neemt voor de privégegevens van je gebruiker.
- Maak een lijst van de services van derden die toegang hebben tot de gegevens van je gebruiker en waarom.
- Let op of je cookies gebruikt en hoe.
- Laat bezoekers weten hoe zij hun privégegevens in kunnen zien en beheren.
Extra belangrijke details:
- Naam van je bedrijf.
- Contactgegevens van de verantwoordelijke (je e-mailadres of telefoonnummer).
- Doe je klantprofilering met behulp van de persoonlijke gegevens?
- Breng je klantgegevens over naar diensten van derden of internationaal? Bijvoorbeeld het verzendbedrijf dat je pakjes bezorgt bij je klanten.
- Informeer de klant over zijn rechten op zijn persoonlijke gegevens die door je bedrijf zijn verzameld.
Recht op inzage gegevens
Bezoekers en klanten van je webshop hebben recht op inzage van hun persoonsgegevens. Ze mogen je dus vragen of je gegevens van hen hebt vastgelegd en zo ja, welke. Die gegevens hoor je hen te verstrekken binnen een redelijke termijn. Wel mag je van tevoren iemands identiteit controleren door te vragen naar een kopie van een geldig identiteitsbewijs. Gelukkig kunnen gegevens ook automatisch worden opgevraagd door klanten van een door ons gemaakte webshop. Klanten kunnen dan zelf een verzoek doen en hun gegevens automatisch toegestuurd krijgen.
Waarschuwen voor cookies
Ook met cookies verzamel je klantgegevens en volgens de AVG moet je bezoekers van je webshop hier ook op wijzen. Totdat de bezoekers akkoord gaan met het verzamelen van hun gegevens mag je GEEN gegevens verzamelen, dus ook geen cookies plaatsen. Er zijn echter uitzonderingen.
Bij het gebruiken van "Functionele cookies" is geen toestemming nodig. Voorbeelden hiervan zijn de winkelwagencookie en de logincookie. Voor het gebruiken van "Analytische cookies" is het sinds februari 2015 ook niet meer verplicht om bezoekers akkoord te laten gaan met het plaatsen van cookies wanneer je cookies gebruikt voor statistiek systemen zoals Google Analytics. Je moet echter wel wat maatregelen treffen om te voorkomen dat je via deze cookies bezoekers kan traceren. Dit doe je door IP adressen te anonimiseren en in te stellen dat Google geen gegevens deelt met derden.
Plaats je echter bijvoorbeeld YouTube filmpjes of deel je de inhoud van je Facebook stream dan weet je niet welke data er wordt opgeslagen van je bezoekers en moet je volgens de GDPR akkoord vragen voor het plaatsen van deze cookies. De bezoeker moet dan ook de mogelijkheid krijgen om deze specifieke cookies te weigeren. De consequentie hiervan kan zijn dat er geen filmpje vertoond wordt.
Technisch is het tegenhouden van cookies best lastig. Vandaar dat veel websites die tracking cookies plaatsen overgaan tot het plaatsen van een cookiewall. Je kunt dan de website niet zien totdat je akkoord gaat met het plaatsen van cookies.
Toestemming van de gebruiker verkrijgen
Je moet een duidelijke bevestiging krijgen van bezoekers dat zij akkoord gaan met je privacy- en cookiebeleid voordat je gegevens verzamelt. Voordat je toestemming krijgt, kun je GEEN persoonlijke informatie verzamelen.
De manier waarop dit gebeurt, is door gebruik te maken van privacykennisgevingen, bijvoorbeeld via een Cookie waarschuwingsbalk of popup. Hierin staat ook een link naar je privacybeleid en totdat de klant akkoord gaat met dit privacybeleid blijft deze waarschuwing verschijnen.
Ook na het verkrijgen van de toestemming moet je kunnen bewijzen dat je toestemming hebt verkregen; in principe nog tot 5 jaar! na het plaatsen van een cookie.