Privacy

AVG voor webshops – de nieuwe privacywetgeving 1 jaar later

Laatst bijgewerkt: 27-09-2023

Het is alweer een jaar geleden dat de AVG, de Algemene Verordening Gegevensbescherming, in werking trad. In dit artikel lees je waar je als webshop allemaal aan moet denken als je wilt voldoen aan de AVG.

Veel mensen dachten dat het niet zo’n vaart zou lopen met de naleving van de AVG. Immers: hoeveel webshops hadden geen cookiemelding en kwamen daar gewoon mee weg? Ik verwachtte dat het met de AVG anders zou zijn. Dat de controles strenger zouden zijn en dat er al snel flinke boetes uitgedeeld zouden worden. Dat blijkt niet het geval. Maar dat is geen reden om de AVG niet serieus te nemen. Uiteindelijk gaat het om een stuk bewustwordeing. Hoe ga je nu eigenlijk met persoonsgegevens van klanten/medewerkers/websitebezoekers om. Het is niet meer dan normaal dat je hier zorgvuldig mee omgaat. Bovendien is het goed je eigen bedrijfsprocessen eens te evalueren en te kijken wat er beter kan. Wel zo overzichtelijk.

Omdat de nieuwe wetgeving heel uitgebreid is denk je al snel: laat maar, daar ga ik me niet in verdiepen, dat is te ingewikkeld. En dat snap ik wel, want als webshopeigenaar heb je wel wat anders aan je hoofd. Maar het is wel ontzettend belangrijk dat je eraan voldoet. Daarom heb ik één en ander voor je uitgezocht en overzichtelijk onder elkaar gezet.

Natuurlijk zullen bepaalde aanpassingen per webshop bekeken moeten worden. Hoe je om moet gaan met de AVG en hoeveel aanpassingen je moet doen om er aan te voldoen hangt helemaal af van hoe je op dit moment persoonsgegevens gebruikt. Maar ik help je graag met advies op maat of door een deel uit handen te nemen. Onderaan dit bericht vind je een lijst met taken die je aan ons kunt uitbesteden om als webshop te voldoen aan de nieuwe privacywetgeving.

(De informatie in dit artikel is geschreven met webshops in het achterhoofd, maar geldt voor 90% ook voor bedrijven met ‘gewone’ websites).

Disclaimer: het betreft hier een ingewikkeld onderwerp. Ik ben geen jurist. Wil je er zeker van zijn dat je geen risico loopt, laat dan één en ander controleren door een jurist of een andere specialist. 

5 vragen over de AVG

Allereerst geef ik je wat meer algemene informatie over de AVG.

Wat houdt de AVG eigenlijk in?

Op 25 mei 2018 trad de nieuwe Europese privacywetgeving in werking: de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) in het Nederlands.

Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

In een notendop houdt de nieuwe wetgeving in dat de privacy van personen beter beschermd wordt en organisaties meer verantwoordelijkheden krijgen om deze privacy te beschermen en hierover te informeren.

Wat is het grootste verschil met de vorige privacywet?

Het grootste verschil is dat je als bedrijf moet kunnen aantonen dat je je aan de wetgeving houdt. Je bent verplicht bij te houden:

  • Wat voor persoonsgegevens van iemand je gebruikt;
  • Voor welk doel;
  • Wat de wettelijke grondslag is.

Daarnaast moeten de mensen waarvan je gegevens bewaart deze zelf in kunnen zien en kunnen wijzigen.

Wanneer mag je persoonlijke gegevens vragen en gebruiken?

  • Als ze noodzakelijk zijn om een overeenkomst uit te voeren. Bijvoorbeeld adresgegevens om een bestelling op te sturen. Let op: geboortedatum is bijvoorbeeld niet noodzakelijk.
  • Als je kunt rechtvaardigen dat je ze voor (marketing)doeleinden nodig hebt en de privacy in acht wordt genomen. Zo mag je via Google Analytics zonder toestemming data verzamelen mits deze geanonimiseerd wordt.
  • Als je ondubbelzinnige toestemming hiervoor hebt gekregen. Bijvoorbeeld via opt-in. Voor deze toestemming geldt dat mensen actief toestemming moeten geven en je moet dit kunnen bewijzen.

Wat gebeurt er als je de regels overtreedt?

  • Voor het overtreden van de basisbeginselen: boetes tot 20 miljoen euro of 4% van de omzet
  • Voor minder zware overtredingen: boetes tot 10 miljoen euro of 2% van de omzet

Maar hoe groot is de kans dat dat gebeurt?

De toezichthouder (Autoriteit Persoonsgegevens) is afgelopen jaar verdubbeld wat betreft arbeidsplaatsen en beschikbaar budget. Ze zijn verplicht álle klachten van individuen over privacy in behandeling te nemen. Het is dus niet zo dat ze random bedrijven gaan controleren, maar er hoeft in principe maar één iemand te klagen over jouw organisatie om gecontroleerd te worden.

Waarschijnlijk zal de AP te weinig capaciteit hebben om alle klachten te controleren en zullen ze zich vooral richten op bedrijven waar meerdere klachten over binnenkomen. Maar wil je het risico lopen?

10 zaken die je als webshop op orde moet hebben om te voldoen aan de AVG

In hoeverre voldoe je al aan de nieuwe privacywetgeving of hoeveel moet je aanpassen om er aan te voldoen? Ik geef je een helder overzicht dat je als checklist kunt gebruiken.

1. Een duidelijke privacyverklaring in de footer van je website

Hierin leg je precies uit welke gegevens je verzamelt en bewaart, waarom (met welke toestemming) en hoe je hier verder mee omgaat. Het gaat dan niet alleen om cookiegegevens, maar ook om alle persoonsgegevens. Er zijn verschillende templates / generators beschikbaar die je helpen om zelf een goede privacyverklaring op te stellen. Ik vind deze generator erg handig. Op plaatsen waar je persoonsgegevens vraagt aan personen moet je linken naar deze privacyverklaring, denk aan een aanmeldformulier voor de nieuwsbrief (alleen wanneer je gegevens vraagt omdat je die nodig hebt voor een overeenkomst of op basis van een gerechtvaardigd belang hoeft dit niet per se).

2. Google Analytics geanonimiseerd gebruiken indien je geen goede cookiemelding hebt

Afhankelijk van je instellingen deelt Google Analytics data met Google voor diverse doeleinden. Daarnaast is het mogelijk gebruikers te tracken door middel van een User ID. De oude Universal Analytics werkte bovendien op basis van IP-adressen, die te herleiden zijn naar personen en dus niet geheel anoniem zijn. Gelukkig is de nieuwe Google Analytics 4 standaard privacyvriendelijk doordat er geen IP-adressen worden verzameld en opgeslagen van gebruikers uit de EU.

Verder kun je het verzamelen van Google-signalen en gedetailleerde apparaat- en locatiegegevens uitzetten. Uiteraard kun je in een privacyvriendelijke setting ook geen gebruik maken van doelgroepen, bijvoorbeeld voor remarketingcampagnes. Wil je wel gebruik maken van uitgebreidere gegevens voor bijvoorbeeld remarketing of andere advertentiedoeleinden dan kan dat natuurlijk, maar dan moet je mensen wel vragen om het gebruik van cookies te accepteren.

3. Hotjar recordings geanonimiseerd gebruiken

Ook hiervoor is een handleiding beschikbaar. Deze vind je op de site van Hotjar. Waarschijnlijk zijn hier nog aanvullende technische aanpassingen voor nodig.

4. Een cookiemelding indien je meer GA4 functionaliteiten of andere niet-functionele cookies gebruikt

Let op: veel cookiemeldingen die afgelopen jaren geïmplementeerd zijn voldoen niet aan de regels. Het betreft hier de melding dat als je de website gebruikt je akkoord gaat met het plaatsen van cookies. In feite worden de cookies hier dan al geplaatst ongeacht of mensen het daar mee eens zijn of niet. Dat is natuurlijk niet helemaal zoals het hoort (maar veel grote websites doen het op deze manier). Om aan de nieuwe wetgeving te voldoen moet de cookiemelding zo worden aangepast dat cookies pas daadwerkelijk geplaatst worden als mensen a) actief aangeven dat ze hiermee akkoord gaan of b) als ze verder navigeren door de website. Dit laatste is overigens al twijfelachtig, maar zo lang mensen voordat we verder navigeren ook eenvoudig kunnen aangeven dat deze cookies niet geplaatst moeten worden lijkt dit binnen de AVG te vallen.

Dit kan betekenen dat je in de toekomst data mist in bijvoorbeeld Google Analytics, maar als je meer data wilt verzamelen dan de standaard anonieme gegevens ontkom je hier niet aan.

Wanneer heb je zo’n cookiemelding nog meer nodig op je site?

  • Als je gebruik maakt van Hotjar user recordings
  • Als je gebruik maakt van remarketing, bijvoorbeeld via AdWords of Facebook
  • Als je gebruik maakt van gepersonaliseerde e-mailmarketing waarbij je content laat zien op basis van eerder aangekochte of bekeken producten of op basis van andere kenmerken van een persoon (bijvoorbeeld leeftijd of geslacht)
  • Als je persoonsgegevens gebruikt om hier doelgroepen van te maken in Facebook of andere social media
  • Als je gebruik maakt van een chatfunctie
  • etc.

Overigens wordt het gebruik van cookies niet specifiek beschreven in de GDPR. Hiervoor is een nieuwe wetgeving in de maak, namelijk de ePrivacy Verordening. Waarschijnlijk gaat deze een einde maken aan de cookiemeldingen en moeten gebruikers zelf via hun instellingen aan gaan passen wat voor cookies geplaatst mogen worden. Tot die tijd adviseren wij wel een goede cookiemelding te plaatsen om aan de GDPR te voldoen. Cookiebot werkt hiervoor perfect. Wij kunnen je ook helpen bij het installeren/inrichten hiervan.

Lees ook: Cookies en de AVG: wanneer is een cookiemelding verplicht?

5. Je moet tijdens het verzamelen van persoonsgegevens duidelijk maken waarvoor je deze gaat gebruiken

Op het moment dat gebruikers persoonsgegevens achterlaten op je website, moet voor deze gegevens duidelijk zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Vraag je om een geboortedatum, dan moet je laten weten waarom. Ook zou zulke data niet verplicht moeten zijn. Je moet bij het verzamelen van gegevens altijd verwijzen naar het privacy statement.

6. Het moet mogelijk zijn persoonsgegevens in te zien, te wijzigen of te verwijderen als een persoon hier om vraagt

Mensen met een account in een website of webshop kunnen waarschijnlijk een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren die gewijzigd kunnen worden binnen programma’s als Mailchimp en Klaviyo. Wel moeten mensen zich ook specifiek kunnen afmelden voor bijvoorbeeld dataprofilering. Voor deze en overige gegevens zou ik adviseren dat mensen een e-mail sturen om wijzigingen door te geven, zodat deze in de backoffice of database aangepast kunnen worden. Hetzelfde geldt voor het verwijderen van gegevens (het recht om vergeten te worden). Vermeld in je privacyverklaring hoe mensen hun gegevens kunnen wijzigen of verwijderen.

7. Je moet altijd kunnen aantonen dat je opt-ins op een wettelijke manier hebt verkregen

Je moet al je e-mail opt-ins registreren en achteraf aan kunnen tonen hoe deze verkregen zijn en waarvoor deze mensen precies toestemming hebben gegeven. Er moet dus onder andere onderscheid gemaakt worden voor opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die via een popup verkregen zijn.

Kun je dit niet aantonen voor je huidige klantenbestand, dan zul je deze mensen moeten vragen om een (nieuwe) opt-in. Alleen mensen die zich dan actief aanmelden zul je mogen blijven mailen. Overigens mag je klanten waarmee je een factuurrelatie hebt wel zonder actieve opt-in mailen over soortgelijke producten of diensten.

8. De opslag en verwerking van gegevens moet voldoende versleuteld en beveiligd zijn

Oftewel: een SSL-certificaat is een must en de website of webshop waar de gegevens opgeslagen zijn moet up to date zijn als het gaat om beveiligingsupdates van het betreffende CMS.

9. Je hebt vastgelegd hoe lang je persoonsgegevens bewaart

Je mag persoonsgegevens in principe niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Je moet betrokkenen informeren over het bewaarbeleid via de privacyverklaring.

10. Je hebt verwerkersovereenkomsten met alle partijen die toegang hebben tot je persoonsgegevens

Dit is het meest lastige punt van de AVG, hoewel dit in de huidige wetgeving ook al bestaat. De verwachting is alleen dat hier nu strenger op gecontroleerd gaat worden, en er zijn een aantal verplichte onderwerpen bijgekomen die in deze verwerkersovereenkomst benoemd moeten worden. Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, Mailchimp, je hostingbedrijf, je webbouwer etc. Zo’n overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. In het geval van problemen kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.

In de verwerkersovereenkomst leg je onder andere vast waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden, waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker subverwerkers mag inschakelen voor de verwerking.

Een ander punt dat niet mag ontbreken is hoe partijen omgaan met datalekken of andere schade door het niet nakomen van afspraken. Wie is waarvoor verantwoordelijk? En wat gebeurt er bij het einde van de overeenkomst? Worden de gegevens door de verwerker vernietigd of teruggestuurd? En als dat kosten met zich meebrengt, wie draait daarvoor op? Ook dat moet opgenomen worden in een verwerkersovereenkomst.

Het is je eigen verantwoordelijkheid dat deze overeenkomsten worden gesloten. Wij kunnen je op verzoek wel een modelovereenkomst toesturen.

Wat WebdesignTilburg voor je kan doen

Duizelt het je nog steeds? Geen probleem. Wij kunnen je helpen aan de nieuwe wetgeving te voldoen. Wij kunnen onder andere het volgende voor je verzorgen:

  • Google Analytics privacyvriendelijk instellen (zodat je geen cookiemelding nodig hebt), inclusief verwerkersovereenkomst met Google Analytics;
  • Controleren of de verwerkersovereenkomst met Mailchimp op orde is en of je contacten alle nodige aanpassingen/wijzigingen aan hun gegevens kunnen doorvoeren;
  • Hotjar privacyvriendelijk instellen (let op: je zult dan nog steeds een cookiemelding nodig hebben);
  • Maatwerk analyse en plan van aanpak;
  • Maatwerk privacyverklaring;
  • Bewerkersovereenkomst opstellen op basis van standaard template;
  • Implementeren goede cookiemelding;
  • Overige aanpassingen aan je webshops of website (verduidelijken waarom data wordt gevraagd, wijzigingen in het opslaan van data etc.)

Let op: wij garanderen niet dat als wij helpen met bovenstaande, dat je organisatie helemaal AVG-proof is. Het is altijd verstandig hier een jurist naar te laten kijken.

Niet vergeten

Tot slot: vergeet niet dat bovenstaande over je website of webshop gaat, maar dat de AVG veel verder gaat dan dat. Welke software gebruik je op kantoor? Welke persoonsgegevens worden daar opgeslagen en zijn deze goed beveiligd? Wie heet er toegang toe? Zijn computers goed beveiligd en slingeren laptops niet zomaar rond? Worden wachtwoorden en bestanden met persoonsgegevens (denk aan adresbestanden) niet per e-mail verstuurd? Neem dus heel je organisatie eens onder de loep en leg alles vast in een privacybeleid.

Vragen?

Neem voor meer informatie contact op met Karen op 013 – 580 0559 of stuur een e-mail naar karen@webdesigntilburg.nl.

Geraadpleegde bronnen: