Algemene verordening gegevensbescherming

28 maart 2018

Checklist AVG

Op 25 mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) van kracht. In ons eerdere bericht heb je al het één en ander kunnen lezen over de veranderingen die deze nieuwe wet met zich meebrengt. Hieronder staan een aantal maatregelen die je helpen om jouw website of webshop aan de AVG te laten voldoen. Let vooral even op de nieuwe privacywetten, zoals het recht op dataportabiliteit en het recht op vergetelheid.

Wat moet je doen als webshopeigenaar?

De Autoriteit Persoonsgegevens heeft een 10-stappenplan opgesteld om je als organisatie voor te bereiden op de AVG. Handig, maar waar moet je als website of webshopeigenaar nou concreet rekening mee houden.

1. Krijg je data inzichtelijk
De eerste stap in het AVG-proof maken van je website is inzichtelijk krijgen welke data je verzamelt, bewaart, en deelt. De AVG stelt het bedrijven verplicht om aan te kunnen tonen dat ze goed omgaan met de data die ze verwerken. Het bijhouden van een verwerkingsregister is daarbij in veel gevallen verplicht.

Zo een verwerkingsregister bevat onder andere een beschrijving van de soort van data die je verzamelt, het doel waarmee je deze data verzamelt, het moment waarop je de data weer weggooit (mits van toepassing), en de organisaties waar je deze data mee deelt. Denk hierbij niet alleen aan de klantgegevens die je verzamelt om een order te kunnen leveren, maar bijvoorbeeld ook aan gebruiksgegevens die je verzamelt en deelt met Google voor analytische doeleinden, of aan ons; want als ontwikkelpartner hebben ook wij toegang tot jullie data.

Het is hierbij van belang dat de partijen waarmee je data deelt zich zelf ook aan de AVG richtlijnen houden. Zorg ervoor dat je een goede verwerkersovereenkomst sluit met al je partners.

2. Update je privacyverklaring
Zorg ervoor dat je privacyverklaring makkelijk te vinden is op je website en up to date is. De privacyverklaring bevat onder andere informatie over welke gegevens worden verzameld en waarom. Heb je nog geen privacyverklaring die is afgestemd op de AVG? Vraag ons naar een voorbeeld.

3. Vraag toestemming waar van toepassing
Wanneer je data verzamelt of deelt waar toestemming van de klant voor nodig is, is het van belang dat deze toestemming op een heldere manier wordt gevraagd. Je moet kunnen aantonen dat iemand daadwerkelijk toestemming heeft gegeven om die gegevens te verzamelen en dat het duidelijk was voor die persoon dat hij deze toestemming gaf. Een disclaimer onder aan de site met daarin een tekst als; “Door bij ons te bestellen stem je in dat we je data verzamelen” is dus niet voldoende.

Ook Google Analytics valt onder deze plicht om toestemming te ontvangen; dit kan worden gedaan door middel van de bekende cookie melding. Het is toegestaan om Google Analytics te gebruiken wanneer de cookie-melding niet is geaccepteerd, maar dit mag dan alleen geanonimiseerde (en dus minder relevante) data verzamelen. De autoriteit persoonsgegevens heeft hier een handleiding voor geschreven.

4. Verschaf je klanten hun rechten
Binnen de huidige wetgeving hebben gebruikers van je website al een aantal rechten. Met de AVG worden deze rechten verder uitgebreid. De privacy rechten zijn straks als volgt:

  • Het recht op dataportabiliteit: Je klanten hebben het recht om alle gegevens die je van ze hebt, op te vragen in een digitaal en machine-leesbaar formaat. Dit met als doel om het mogelijk te maken deze gegevens over te dragen aan een andere organisatie. Denk hierbij niet alleen aan de NAW-gegevens die je van een klant hebt, maar ook aan de artikelen die een klant in je webshop heeft gekocht of de voorstellingen die een klant heeft bezocht.
  • Het recht op vergetelheid: Je klanten hebben het recht om vergeten te worden. Zij kunnen vragen om de gegevens die je van ze hebt uit je systeem te verwijderen. Dit recht is aan een aantal voorwaarden verbonden. Maar let op! Het recht van vergetelheid geldt ook voor back-ups. Het is dus niet voldoende om een persoon alleen uit je huidige systeem te verwijderen. De persoon moet ook uit al je digitale back-ups verwijderd worden.
  • Het recht op inzage: Dit recht bestaat al langer. Je klanten hebben het recht om alle gegevens die je van deze klant hebt in te zien.
  • Het recht van rectificatie en aanvulling: dit is een verlenging van het recht op inzage. Je klanten hebben het recht om foute of incomplete gegevens aan te vullen of te verbeteren. Wanneer zij dit doen ben je verplicht om de dataverwerking te staken totdat deze rectificatie of aanvulling is doorgevoerd.
  • Het recht van beperking van de verwerking: In bepaalde situaties hebben klanten het recht op beperking van het gebruik van hun gegevens.
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering: Kort gezegd betekent dit dat een persoon het recht heeft op een menselijke blik in een normaal gesproken geautomatiseerd proces. Dit zal op de meeste webshops in mindere mate van toepassing zijn.
  • Het recht van bezwaar: Dit betekent dat mensen bezwaar mogen maken tegen het verwerken van gegevens.

Van bovenstaande rechten zijn het recht op dataportabiliteit en vergetelheid nieuw. Het is belangrijk om na te denken over hoe je er als bedrijf voor gaat zorgen dat iemand al zijn data kan ontvangen of laten verwijderen uit je systemen en back-ups.

5. Beveilig je data
Zorg ervoor dat je systeem goed beveiligd is tegen hackers en datalekken. Dit begint bij het gebruiken van solide en up-to-date software. Maar het is ook van belang om samen te werken met een betrouwbare hosting partij en om ervoor te zorgen dat je website over SSL loopt.

6. Ben transparant over je data
Binnen de AVG is het belangrijk dat je transparant bent richting je klant over de data die je van die klant verzamelt, wat er met die data gebeurt, en waarom je die data nodig hebt. Onderdeel van die transparantie is ook een uitbreiding op de meldplicht voor datalekken. Binnen de nieuwe AVG is het verplicht om zelf een register bij te houden van alle datalekken die zich binnen je organisatie hebben voorgedaan. Deze dient overeen te komen met de meldingen die je hebt gedaan bij de autoriteit persoonsgegevens.

Let op: dit artikel is de interpretatie van Gerrits e-commerce op basis van de beschikbare informatie. Mocht je echter zeker willen weten dat je aan de AVG voldoet dan raden we aan contact op te nemen met een jurist.

Heb je hulp nodig bij het implementeren van de nieuwe AVG of heb je vragen? Neem dan gerust contact met ons op.