Nieuwe privacywetgeving, waar moet je op letten?

door | 17 jan 2018

Misschien heb je er inmiddels van gehoord. Vanaf 25 mei 2018 is de nieuwe Europese privacywetgeving rechtstreeks van toepassing in alle lidstaten van de Europese Unie. Deze ‘Algemene Verordening Gegevensbescherming’ (AVG) of ‘General Data Protection Regulation (GDPR) vervangt de huidige Nederlandse wetgeving.

Maar wat betekent deze nieuwe wetgeving nu voor webwinkeliers?

Transparantie en verantwoording zijn de twee sleutelwoorden van de nieuwe privacywetgeving. Als onderneming word je verplicht open te zijn over de persoonsgegevens die je verzamelt en wat je daar mee doet. Daarnaast moet je kunnen aantonen dat jouw beveiligingsmaatregelen op orde zijn. Een datalek is nou eenmaal nooit voor 100% te voorkomen, daar gaat de wetgeving ook niet van uit. Maar mocht het dan toch gebeuren, dan moet je bij de nationale toezichthouder (Autoriteit Persoonsgegevens) kunnen aantonen dat jouw beveiliging en gegevensadministratie op orde zijn.

Als webwinkel verwerk je eigenlijk altijd persoonsgegevens. Denk aan naam, adres en de woonplaats van jouw klanten. Daarnaast zijn ook de gegevens van jouw werknemers natuurlijk persoonsgegevens. In deze blog gaan we daarom wat dieper in op de volgende vragen:

  1. Wat voor soort persoonsgegevens mag je verzamelen?
  2. Welke verplichtingen heb je als webwinkel tegenover klanten?
  3. Welke verplichtingen heb je als webwinkel tegenover leveranciers?
  4. Waar moet een webwinkel nog meer aan voldoen?

1. Wat voor soort persoonsgegevens mag je verzamelen?

 Eigenlijk is er geen beperking aan het soort gegevens dat je mag verzamelen. Maar voor elke soort persoonsgegevens die je verzamelt wel een geldige reden hebben. Voor webwinkels zijn er vier wettelijke grondslagen belangrijk op basis waarvan je persoonsgegevens mag verzamelen;

  • Verwerken van gegevens voor de uitvoering van de overeenkomst;
  • Verwerken van gegevens om aan een wettelijke verplichting te voldoen;
  • Verwerken van gegevens vanwege een gerechtvaardigd belang;
  • Verwerken van gegevens na toestemming van de klant.

De meeste gegevens die je als webwinkelier verzamelt en verwerkt zullen ‘noodzakelijk zijn voor de uitvoering van de overeenkomst’. Naam, adres en betalingsgegevens heb je immers nodig om een bestelling te kunnen leveren. Ook het vragen van een leeftijd kan noodzakelijk zijn, omdat je bijvoorbeeld niet aan minderjarigen mag verkopen. Een leeftijdscontrole kan echter ook een wettelijke verplichting zijn (denk aan verkoop van alcoholische dranken).

Een gerechtvaardigd belang is voor een webwinkel bijvoorbeeld direct marketing. Het e-mailadres van een klant, mag je ook gebruiken om de klant over andere producten te informeren. Het moet voor een klant wel gemakkelijk zijn om zich uit te schrijven van de communicatie.

Verzamel je gegevens op basis van toestemming, dan mag je die gegevens enkel gebruiken voor het doel waarvoor ze gekregen zijn.

Welke verplichtingen heb je als webwinkel tegenover klanten?

Transparantie is één van de sleutelwoorden van de nieuwe privacywetgeving. Informeer je klanten over de persoonsgegevens die je verzamelt en waarom die verzameld worden. De meest gangbare manier om klanten hierover te informeren is via een apart privacybeleid (privacy policy) die via jouw website te raadplegen is. Informeer je klanten in duidelijke, simpele taal over de volgende zaken.

  • Welke persoonsgegevens verzamel je;
  • Waarom je deze gegevens verzameld;
  • Hoe jouw klanten gegevens kunnen inzien, wijzigen of verwijderen;
  • De bewaartermijn van gegevens;
  • Eventuele derde partijen (dienstverleners) waar de klantgegevens mee gedeeld worden (denk aan een pakketservice);
  • Contactgegevens van jouw webshop.

Het is overigens niet toegestaan om zonder expliciete toestemming persoonsgegevens door te geven aan derden indien dat niet noodzakelijk is voor de uitvoering van de overeenkomst. Denk bijvoorbeeld aan doorverkopen van e-mailadressen aan derde partijen voor marketingdoeleinden.

Verwerkt jouw webshop of een derde partij de persoonsgegevens (ook) buiten de EU, dan moet je dit ook melden in je privacybeleid. Je moet jouw klanten informeren welke waarborgen er in dat geval genomen worden om de gegevens te beschermen. 

Nieuwe privacywetgeving, waar moet je op letten_ _ GDPR _ deJuristen _ Boost je webshop Live event _ gastblog

Welke verplichtingen heb je als webwinkel tegenover leveranciers?


Als webwinkel werk je vaak samen met externe partijen. Je deelt bijvoorbeeld persoonsgegevens een pakketservice of betalingsdienst. Afspraken over die verwerking van gegevens moeten verplicht vastgelegd worden in een zogenaamde ‘verwerkersovereenkomst’. Als webshop verzamel je de gegevens en word je aangemerkt als ‘verwerkingsverantwoordelijke’. De derde partij ontvangt de gegevens van jou voor een bepaald doel en wordt aangemerkt als ‘verwerker’.

De verwerkersovereenkomst geeft inzicht in de verplichtingen en verantwoordelijkheden van beide partijen. Het doel van een verwerkersovereenkomst is dan ook om ervoor te zorgen dat verwerkers ook de nodige beveiligingsmaatregelen nemen. De onderstaande zaken moeten in ieder geval in een verwerkersovereenkomst opgenomen zijn:

  • De duur, beschrijving en doeleinden van de gegevensverwerking;
  • Beveiligingsmaatregelen en audits;
  • Waarborging van betrouwbaarheid van personeel;
  • Melding van een datalek aan verwerkingsverantwoordelijke;
  • Medewerkings- en inlichtingenplicht;
  • Toestemming voor inschakelen subverwerkers;
  • Waarborgen bij gegevensverkeer buiten de EU;
  • Retour of vernietiging van gegevens bij einde van de dienstverlening. 

Waar moet een webwinkel nog meer aan voldoen?

Naast de nieuwe verplichtingen tegenover klanten en leveranciers, zal je als webwinkelier ook intern nieuwe procedures moeten instellen of aanpassen. De AVG verplicht ondernemingen die structureel persoonsgegevens verwerken (zoals webwinkels) namelijk om duidelijk in kaart te brengen welke soort persoonsgegevens er binnenkomen en welke eruit gaan. Die stromen moeten vastgelegd worden in een zogenaamd ‘verwerkingsregister’. Het opstellen van zo’n register is geen hogere wiskunde. Kleine ondernemingen kunnen zo’n register gerust in bijvoorbeeld Microsoft Excel opstellen.

Per categorie persoonsgegevens die je verzamelt moet het volgende geregistreerd worden:

  • Wat voor soort persoonsgegevens worden er verzameld?
  • Wat is het doel van de gegevensverzameling?
  • Welke interne partijen (medewerkers) hebben toegang tot de gegevens?
  • Welke externe partijen hebben toegang tot de gegevens?
  • Waar worden de gegevens opgeslagen?
  • Wat zijn de (voorgenomen) bewaartermijnen?
  • Welke beveiligingsmaatregelen worden er genomen?

Naast een verwerkingsregister zijn ondernemingen verplicht om een duidelijke procedure te hebben die in werking wordt gesteld in het geval van een datalek. De kans dat er een datalek ontstaat, blijft namelijk altijd aanwezig. Weet wanneer je een lek verplicht bent om te melden en zorg er als webwinkel voor dat je een vast aanspreekpunt hebt in jouw organisatie.

Je mag er vanuit gaan dat een verlies van onversleutelde ‘normale’ persoonsgegevens, zoals namen en e-mail, altijd verplicht bent te melden aan de AP.

Werk aan de winkel!

Elke webwinkel, groot of klein, krijgt dus te maken met de AVG. Het is echter niet nodig om hier van te schrikken. Veel maatregelen zijn namelijk vooral van administratieve aard, maar moeten nu eenmaal wel genomen worden. Mochten bepaalde verplichtingen niet duidelijk zijn of wil je graag wat meer uitleg of hulp, dan helpt deJuristen je graag verder. Stuur gerust een e-mail naar contact@dejuristen.legal of neem telefonisch contact op via (+31) 085 888 3900.

Dit blog werd geschreven door deJuristen.