Wat betekent de nieuwe privacy wetgeving voor je bedrijf?
Wat is de AVG-GDPR?
25 mei 2018, de datum waarop de nieuwe Europese privacy regels ingaan. De zogenaamde Algemene verordening gegevensbescherming of General Data Protection Regulation, afgekort de AVG-GDPR.
De regels gelden voor alle organisaties en bedrijven binnen de Europese Unie, ook voor jou als website- of webshophouder. Het verwerken van persoonsgegevens gebeurt vaak al sneller dan je je realiseert. Soms ligt het meer voor de hand, zoals wanneer er een bestelling wordt geplaatst. Soms wat minder, zoals wanneer iemand contact opneemt via een contactformulier. In dit artikel gaan we in op wat de gevolgen zijn voor jouw website of webshop.
Het naleven van deze nieuwe regels is erg belangrijk, zeker omdat er torenhoge boetes op staan op het niet naleven ervan. Deze kunnen oplopen tot 4% van de jaaromzet, of tot maar liefst 20 miljoen euro.
Het beschermen van gegevens, de checklist
25 mei komst steeds dichterbij, deze checklist helpt je website of webshop AVG-proof te maken.
1. Privacy Policy
De bezoeker van je website heeft het recht te weten hoe zijn gegevens verwerkt worden. Met een privacy policy kan je de bezoekers informeren. In dit document staat onder andere beschreven wat je met de verzamelde gegevens doet en met welk doel je ze verzameld.
2. Cookieverklaring
Net als bij een privacy policy wordt een cookieverklaring gebruikt om te verklaren waarvoor cookies gebruikt worden. Bezoekers moeten vóór het plaatsen van een cookie toestemming geven. Uitzondering hierop zijn functionele cookies: bijvoorbeeld het ingelogd blijven op een website of het onthouden van de inhoud van het winkelmandje.
3. SSL-certificaat
Een SSL-certificaat beveiligt de verbinding tussen de bezoeker en de server waarop de website is gehost. Een SSL-certificaat is herkenbaar aan het groene slotje in de adresbalk. Door de verbinding te versleutelen wordt er voor gezorgd dat informatie, zoals persoonsgegevens, niet in verkeerde handen komen. Omdat je moet kunnen aantonen dat je de beveiliging op orde hebt, is het hebben van een SSL-certificaat belangrijk bij het ingaan van de AVG-GDPR.
Een SSL-certificaat is al beschikbaar vanaf €59,- per jaar, hiervoor kun je uiteraard contact met ons op nemen.
4. Google Analytics
Google Analytics wordt gebruikt om statistieken te verzamelen van bezoekers op een website. Analytics plaatst analytische cookies bij een bezoeker. Voor het plaatsen van een cookie is toestemming nodig van de bezoeker. Wil je geen toestemming vragen maar het enkel melden? Dan moeten de gegevens geanonimiseerd worden. Het nadeel hiervan is, dat de verzamelde data minder nauwkeurig kan zijn.
5. Formulieren
Gebruikers van je website moeten zelf akkoord geven dat hun gegevens gebruikt mogen worden, zoals gedaan wordt bij een bestelling. Bij het bestelproces zal hier dus rekening mee gehouden moeten worden. Dit vinkje mag niet meer vooraf gezet worden, de gebruiker moet dit zelf doen.
6. Webshop
Ook voor webshophouders is het belangrijk dat gegevens van klanten veilig worden opgeslagen. Daarnaast mag je alleen gegevens opslaan die je echt nodig hebt. Voor webwinkels gelden daarom de volgende punten op basis waarvan je gegevens mag verzamelen:
- Verwerken van gegevens voor de uitvoering van de overeenkomst.
- Verwerken van gegevens om aan een wettelijke verplichting te voldoen.
- Verwerken van gegevens vanwege een gerechtvaardigd belang.
- Verwerken van gegevens na toestemming van de klant.
Klanten moeten daarnaast inzage hebben in hun eigen persoonlijke gegevens en ze moeten de mogelijkheid hebben om deze te corrigeren én deze te laten verwijderen.
7. Bewaren van gegevens
Webshop of website, in beide gevallen sla je informatie op. In het ene geval zullen dit er meer zijn dan de ander. Het opstellen van een verwerkingsregister zorgt ervoor dat inzichtelijk is wat er met de persoonsgegevens gebeurd. In een verwerkingsregister hou je bij welke gegevens je verwerkt, hoe je aan deze gegevens komt en waarom je ze nodig hebt, maar bijvoorbeeld ook hoe deze gegevens beveiligd zijn. Dit is een belangrijk onderdeel van de nieuwe wetgeving. De AP (Autoriteit Persoonsgegevens) kan deze namelijk opvragen onder de verantwoordingsplicht.
Heb je een datalek? Het is belangrijk deze te documenteren én een procedure te hebben voor het geval er een datalek optreedt. Wanneer er een lek optreedt moet je dit binnen 72 uur melden bij het AP (Autoriteit Persoonsgegevens)
8. Verwerkersovereenkomst
Wanneer je gegevens deelt met derden, bijvoorbeeld doordat een bestelling geleverd wordt door een pakketdienst, moet je volgens de nieuwe wetgeving zorgen dat de gegevens van je klant veilig zijn. Om dit te waarborgen sluit je een verwerkersovereenkomst af. Wanneer je een pakketje moet versturen aan je klant ben jij de “verwerkingsverantwoordelijke”. De pakketdienst is dan de “verwerker” van de gegevens.
Met de bovenstaande checklist ben je al goed op weg om je website of webshop AVG-proof te maken. Hieronder gaan we dieper in op de genoemde punten van de checklist.
Privacy Policy
Een privacy policy of privacyverklaring wordt gebruikt om bezoekers te informeren. Wettelijk ben je verplicht om bezoekers en klanten te informeren welke gegevens verzameld worden en wat het doel hiervan is.
Dit document moet het volgende minimaal bevatten:
Je contactgegevens, KvK nummer, BTW-nummer en algemeen e-mailadres.
Wat het doel is van de verwerkte gegevens, bijvoorbeeld het verzenden van een bestelling.
Uitleg over cookies, wat zijn ze en waarvoor ze worden gebruikt, dit kan ook in een apart document: de cookieverklaring.
Hoe kan iemand zich afmelden voor een nieuwsbrief? Voor het aanmelden ervan moet een bezoeker uiteraard eerst toestemming geven.
Hoe een klant of bezoeker zijn gegevens kan inzien, laten wijzigen of verwijderen.
Welke maatregelen je neemt om de gegevens te beschermen. Bijvoorbeeld het gebruik van sterke wachtwoorden. Ook een SSL-certificaat om de verbinding te beveiligen hoort hierbij.
Voor webshops heeft Webwinkelkeur een voorbeeld beschikbaar gesteld, deze is hier te vinden.
Cookieverklaring
Per 25 mei hoeven gebruikers niet meer op elke website cookies te accepteren. De EU wil dat dit straks in de internetbrowser is in te stellen. Cookie walls die de toegang van de website (deels) ontzeggen zijn ook niet meer toegestaan, volgens de EU moeten gebruikers toegang hebben tot een volledige werkende website. In een cookieverklaring leg je de bezoeker uit welke cookies je website gebruikt en waarvoor. Benieuwd hoe zo’n cookieverklaring eruit ziet? Een voorbeeld kun je hier vinden.
Er zijn 3 verschillende soorten cookies: Functionele cookies, analytische cookies en tracking cookies. Functionele cookies worden ingezet om het gebruik van de website makkelijker te maken, bijvoorbeeld door het onthouden dat je bent ingelogd of het opslaan van de inhoud van je winkelmandje. Voor deze variant heb je geen toestemming nodig, wel moet je de gebruiker informeren over deze cookies.
Analytische cookies worden geplaatst door diensten zoals Google Analytics om de bezoekers van je website te volgen en analyseren. Deze gegevens deel je dan ook met Google. Meer over het gebruik van Google Analytics wordt uitgelegd bij punt 4.
Als laatste hebben we tracking cookies, je bent online aan het zoeken naar een nieuwe fiets. En plots zie je online overal reclame met fiets aanbiedingen. Voor het plaatsen van dit soort cookies is toestemming nodig van de gebruiker maar let op, ze moeten deze toestemming ook net zo makkelijk weer in kunnen trekken.
SSL-certificaat
Een SSL-certificaat wordt verplicht wanneer er op een website of webshop gebruikersgegevens worden verwerkt, zoals bij een contactformulier of het plaatsen van een bestelling. Het groene slotje in de adres geeft aan dat een website “veilig” is. Omdat in een privacyverklaring tekst en uitleg moet worden gegeven over hoe gegevens beschermd worden is het hebben van een SSL-certificaat dus noodzakelijk. Zonder een certificaat zijn vindt er geen versleuteling plaats en ben je in overtreding.
Naast het voorkomen dat je in overtreding bent, heeft een SSL-certificaat meer voordelen. Google gaat je straffen als er geen SSL-certificaat aanwezig is, ze willen zoveel mogelijk veilige websites tonen in de zoekresultaten. Het SSL-certificaat is een kleine investering van €59,- per jaar, maar wel een noodzakelijke om boetes en een penalty van Google buiten de deur te houden.
Google Analytics
Op vrijwel alle websites wordt Google Analytics gebruikt om statistieken over de bezoekersaantallen en populaire pagina’s inzichtelijk te maken. Nu moet Google Analytics hiervoor een analytische cookie plaatsen. Zoals je al bij punt 2 hebt kunnen lezen heb je voor het plaatsen van deze cookie toestemming nodig. Bij Google Analytics is ook een optie om dit zonder toe stemming te doen.
Je hebt geen toestemming nodig wanneer je de gegevens anoniem maakt. Volgens de AVG is een IP-adres ook een persoonsgegeven, het meesturen hiervan is uit te schakelen met een paar simpele stappen. Dit kan met een paar simpele stappen:
Het afsluiten van een verwerkersovereenkomst met Google, dit kan eenvoudig in het Google Analytics dashboard bij de account instellingen.
In hetzelfde scherm moet het delen van statistieken met Google worden uitgeschakeld.
De IP-adressen moeten worden geanonimiseerd, deze hulp pagina van Google legt precies uit hoe het moet: https://support.google.com/analytics/answer/2763052?hl=nl
Formulieren
Bij vrijwel alle formulieren worden gegevens gevraagd van een persoon, dit kan een contactformulier zijn maar ook wanneer een klant gegevens achter moet laten zodat jij een bestelling kan afhandelen.
Bij formulieren is het belangrijk om het ‘privacy by default’ principe aan te houden, een checkbox mag niet meer standaard aangevinkt zijn. Wordt er bij een formulier gegevens opgeslagen? Dan is het belangrijk om deze te versleutelen.
Webshop
Voor webshophouders komt er nog wat extra’s kijken, vooral omdat je ten alle tijden te maken hebt met gegevens die je moet verwerken. Ben je aangesloten bij WebwinkelKeur? Dan kan je gebruiken maken van een GDPR assessment tool. De kosten hiervan bedragen €115.
De gegevens die je opslaat heb je vaak nodig voor het uitvoeren van de bestelling. In de nieuwe wetgeving is hier rekening mee gehouden. Wanneer je gegevens verwerkt moet je je afvragen of ze onder een van deze vier punten vallen:
- Verwerken van gegevens voor de uitvoering van de overeenkomst.
- Een adres heb je bijvoorbeeld nodig om een bestelling te leveren.
- Verwerken van gegevens om aan een wettelijke verplichting te voldoen.
- Je mag bijvoorbeeld geen alcohol aan minderjarige verkopen.
- Verwerken van gegevens vanwege een gerechtvaardigd belang.
- Wanneer je een e-mailadres hebt doordat een klant een bestelling heeft gedaan, mag je deze ook gebruiken om de klant te informeren over andere producten.
- Verwerken van gegevens na toestemming van de klant.
- Na toestemming mag je de gegevens alleen gebruiken voor het doel waarvoor je ze verkregen hebt.
Als webshophouder moet je transparant zijn over de gegevens die je verzameld en met welk doel ze verzameld worden. Ook hier kan een privacy policy bij helpen.
Klanten moeten daarnaast de mogelijkheid hebben om hun eigen gegevens te kunnen opvragen, corrigeren en verwijderen. Wanneer een klant zijn persoonsgegevens opvraagt, ook wel dataportibiliteit genoemd, moeten je deze gegevens binnen één maand opsturen. Een simpel Excel bestand is hierbij al voldoende.
Een webshophouder heeft vaak ook te maken met derde partijen, Mollie voor de betalingen of Sendcloud als pakketservice. Je moet hier wel de persoonsgegevens van jouw klant doorgeven, deze zijn nodig voor de uitvoering van de overeenkomst. Hier heb je geen toestemming voor nodig, wel moet de klant geïnformeerd worden dat zijn gegevens gedeeld worden.
Bewaren van gegevens
Het is belangrijk om inzichtelijk te hebben welke gegevens je allemaal bewaard. Vanaf 25 mei geldt er een verantwoordingsplicht. Je moet kunnen aantonen dat je bedrijf zich aan de nieuwe wet houdt. Om aan te kunnen tonen dat de gegevens die je bewaard voldoende beschermt worden kun je een verwerkingsregister opstellen. In dit register hou je het volgende bij:
- Welke soort persoonsgegevens worden verzameld?
- Wat is het doel van deze persoonsgegevens?
- Welke interne partijen (zoals medewerkers) hebben toegang tot de gegevens?
- Welke externe partijen (zoals de pakketservice) hebben toegang tot de gegevens?
- Waar worden deze gegevens opgeslagen?
- Hoe worden deze gegevens beveiligd?
- Wat zijn de bewaartermijnen van deze persoonsgegevens?
Het opslaan van persoonsgegevens neemt ook een risico met zich mee, er kan een datalek plaatsvinden. Ben je slachtoffer van een datalek? Dan moet je dit binnen 72 melden bij de AP. Als er een lek heeft plaatsgevonden is het verplicht om dit te documenteren. Je moet kunnen uitleggen wat er is gebeurd, hoe het heeft kunnen plaatsvinden en nog belangrijker: Hoe je dit gaat voorkomen in de toekomst. Als je meer wil weten over wat je moet doen bij een lek kun je dit artikel raadplegen: https://www.vijverbergjuristen.nl/juridisch-advies/openbaarheid-en-privacy/datalek-melden-avg
Iets wat snel vergeten wordt zijn e-mails, deze worden gebruikt voor klantencontact, maar kunnen uiteraard ook persoonsgegevens bevatten. Hoe worden e-mails beveiligd en opgeslagen is dus ook zeker iets wat niet vergeten moet worden. Om dit inzichtelijk te maken kan er bijvoorbeeld in Outlook gekozen worden om een bericht te markeren die persoonsgegevens bevat. Zo zijn ze makkelijk terug te vinden wanneer je een verzoek tot verwijdering binnen krijgt.
Verwerkersovereenkomst
Een overeenkomst geeft duidelijkheid over de afspraken en verantwoordelijkheden van de “verwerkingsverantwoordelijke” en de “verwerker”. Deze overeenkomst is een waarborg voor de klantgegevens. Het kan zijn dat deze al in bijvoorbeeld de algemene voorwaarden van een bedrijf zijn opgenomen. Bij twijfel kan je het beste even contact opnemen.
Is er nog geen overeenkomst? Dan moet je deze schriftelijk opstellen samen met de “verwerker”. Wat er minimaal in deze overeenkomst moet komen te staan is hier terug te vinden.
Conclusie
Met dit artikel hopen wij de nieuwe wetgeving een stuk inzichtelijker voor jou te maken. Er zijn tenslotte ook veel zaken waar rekening mee gehouden moet worden. Wil je zeker weten dat alles op orde is? Dan adviseren wij dat je contact opneemt met een jurist.