AVG / GDPR checklist voor webshops

De Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) is sinds 2018 voor iedereen van toepassing.

Deze Europese wetgeving draagt bij aan de bescherming van de persoonsgegevens van burgers. Als bedrijf betekent dit dat je alleen de persoonsgegevens verwerkt die ook echt noodzakelijk zijn. Daarnaast moet je actief aantonen dat je je als ondernemer aan de privacywet houdt. Wij hebben een overzicht gemaakt van een aantal punten die je als webshop eigenaar in orde moet hebben.

Let op: dit is de interpretatie van Happy Horizon op basis van de beschikbare informatie over het onderwerp. Dit is geen juridisch advies.

Dit is een update van een eerder verschenen artikel.

1. AVG verantwoordelijkheden en overeenkomsten

Laten we bij het begin beginnen. Een onderneming heeft volgens de AVG verschillende verplichtingen. Ben je klant van ons? Dan is Happy Horizon de verwerker en jij als webshop eigenaar de verwerkingsverantwoordelijke. Tussen de verwerker en de verwerkingsverantwoordelijke moeten afspraken zijn gemaakt in de vorm van een verwerkersovereenkomst. Ook andere leveranciers en externe partijen moeten voldoen aan de AVG. Wanneer je persoonsgegevens laat verwerken door een ander, moet je ervoor zorgen dat de verwerking voldoende veiligheidswaarborgen heeft. Afspraken over het verwerken van ‘jouw’ persoonsgegevens en zaken als geheimhouding moeten daarom zijn vastgelegd in een verwerkersovereenkomst.

2. Privacy verklaring

Als webshop eigenaar ben je wettelijk verplicht om jouw klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens je verzamelt en met welk doel. Informeren kan via een privacyverklaring. De Autoriteit Persoonsgegevens stelt dat de onderstaande punten in een privacyverklaring moeten staan:

Contactgegevens van het bedrijf
Voor welk doel het bedrijf persoonsgegevens verzamelt
Of het bedrijf gegevens doorgeeft aan andere bedrijven
Wat bewaartermijnen het bedrijf hanteert
De privacyrechten van de betrokkenen
Hoe een persoon zijn toestemming kan intrekken
Hoe een persoon een klacht kan indienen bij de Autoriteit
Persoonsgegevens

Bron: https://www.autoriteitpersoonsgegevens.nl/jij-en-jouw-online-gegevens/jouw-privacyrechten/deze-info-moeten-bedrijven-jou-geven

Actie: Stel een privacyverklaring op die in duidelijke taal geschreven is. Deze moet eenvoudig terug te vinden zijn op je website. Plaats dus bijvoorbeeld een hyperlink naar de privacyverklaring onderaan elke pagina als je statistische gegevens verzamelt over bezoekers, en verwijs naar de privacyverklaring in het bestelproces.

3. Cookiebeleid

De AVG/GDPR heeft gevolgen voor het gebruik van cookies op je website. Heeft je website een mededeling of instellingen menu dat de bezoeker cookies automatisch accepteert bij gebruik van je website? Dan is dat niet voldoende. De veranderingen die de grootste invloed hebben zit hem in het kunnen voorzien van een kloppend opt-in en opt-out mechanisme én het vastleggen van de toestemming (consent) van de website bezoeker. Jouw website bezoeker heeft toestemming gegeven voor het gebruik van cookies, maar verandert van gedachten. Dan zal je de bezoeker op dezelfde manier in staat moeten stellen om de keuze te veranderen.

Actie: Zorg ervoor dat gebruikers expliciet toestemming geven door middel van een duidelijke actieve handeling. Dit betekent dat een “opt-out” optie (bijvoorbeeld een al ingevuld vinkje in een check box) geen geldige manier zal zijn om toestemming te verkrijgen. Als verschillende cookies of cookies voor meerdere doeleinden worden gebruikt, moet voor iedere cookie/doeleinde apart toestemming worden gegeven. Bovendien geldt dat de toestemming te allen tijde ook aangepast of ingetrokken moet kunnen worden. Jouw website moet daarnaast toegankelijk blijven en geen cookies plaatsen, totdat de gebruiker zijn voorkeuren en toestemming heeft gegeven.

4. Beveiligingsmaatregelen

Je moet kunnen aantonen dat jouw beveiligingsmaatregelen op orde zijn. Bijvoorbeeld: waar worden de wachtwoorden opgeslagen? Wie heeft er toegang toe? Neem ook passende technische maatregelen om persoonsgegevens juist te verwerken. Happy Horizon is als verwerker ook verantwoordelijk voor de beveiliging van de persoonsgegevens welke wij verwerken in opdracht van onze klanten.

Actie: Stel een beveiligingsbeleid op met preventieve, detectieve en reactieve maatregelen. Neem ook technische beschermingsmaatregelen zoals het regelmatig updaten van je software. Heb je nog geen SSL-certificaat? Vraag dit direct aan bij je domeinhost of programmeur.

5. Rechten van betrokkenen

Betrokkenen hebben het recht hun persoonsgegevens (bijvoorbeeld accounts en profielen) in te zien, aan te passen en te verwijderen. Een klant moet te allen tijde kunnen aangeven dat zijn/haar gegevens niet meer gebruikt mogen worden. Andere rechten van betrokkenen zijn:

Het recht op dataportabiliteit
Het recht om persoonsgegevens over te dragen
Het recht om ‘vergeten’ te worden
Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die je van hen verwerkt in te zien.
Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die je verwerkt te wijzigen.
Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
Het recht om bezwaar te maken tegen de gegevensverwerking.

Bron: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg

Actie: Pas de privacyverklaring van jouw organisatie aan en bedenk welke processen binnen jouw organisatie moeten worden aangepast om de rechten van betrokkenen te waarborgen. Belangrijk om te weten: in Magento is het mogelijk om een klant volledig te verwijderen, het is niet mogelijk om bestelinformatie te verwijderen.

6. Google Analytics geanonimiseerd gebruiken

Gebruik je Google Analytics? Dan verwerk je met analytische cookies persoonsgegevens van bezoekers. De privacywetgeving heeft impact op het verzamelen en verwerken van deze data. Het is daarom belangrijk om een verwerkersovereenkomst met Google af te sluiten, het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.

Actie: Sluit een verwerkersovereenkomst met Google af en pas je instellingen aan.

7. Datalekken

Wees niet alleen glashelder met hoe je persoonsgegevens verzamelt en verwerkt, maar ook in het geval van een inbreuk of datalek. Ieder datalek moet worden bijgehouden. In veel gevallen moet er een melding worden gedaan aan de toezichthoudende autoriteit. In sommige gevallen moet dit ook worden vermeld aan de betrokkene(n).

Ook de gevolgen en de genomen maatregelen om een datalek in de toekomst te voorkomen, moeten worden gedocumenteerd. De Autoriteit Persoonsgegevens kan vragen naar deze documentatie. Een interne datalek-procedure is daarom onmisbaar voor een webwinkel.

Actie: Stel een protocol datalekken op om de privacyrisico’s van een gegevensverwerking in kaart te brengen. Omschrijf de afwegingskaders bij een vermoeden van een datalek en specificeer de nodige acties. Documenteer datalekken bij zowel interne als externe meldingen en meld een datalek aan de toezichthouder en betrokkenen.

8. Functionaris voor de gegevensbescherming

Een Functionaris Gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de AVG/GDPR. Een aantal organisaties zijn verplicht een FG aan te stellen, zoals overheidsinstanties en publieke organisaties.

Is het niet zeker of uw organisatie verplicht is een FG aan te stellen? Raadpleeg dan de website van de Autoriteit Persoonsgegevens.

Bron: https://www.autoriteitpersoonsgegevens.nl/fg-informatie/de-fg-in-uw-organisatie

Daag ons uit

Ben jij klaar om jouw webshop AVG-proof te maken? Daag ons uit! We helpen je niet alleen met het naleven van de privacywetgeving, maar zorgen ervoor dat jouw website optimaal beveiligd is én dat je klanten vertrouwen hebben in hoe jij met hun gegevens omgaat. Of je nu hulp nodig hebt bij het opstellen van je privacyverklaring, het implementeren van cookies of het opzetten van een datalekprotocol – wij zijn er om je te ondersteunen. Neem contact met ons op.

Zin in nog meer inspiratie?

Schrijf je in voor onze nieuwsbrief en blijf op de hoogte van de laatste trends en inzichten in de wereld van marketing!

Casper Verhorst

Development & Technology

Schrijf je in voor onze nieuwsbrief

en wordt die 'ene collega' die alles weet van digital en marketing

Relevante blogs

Blog omslag met tekst: Headless CMS. Kies voor een volwaardig alternatief en stap over naar de toekomst van flexibele websites

Development & Technology

AVG / GDPR checklist voor webshops

1. AVG verantwoordelijkheden en overeenkomsten

2. Privacy verklaring

3. Cookiebeleid

4. Beveiligingsmaatregelen

5. Rechten van betrokkenen

6. Google Analytics geanonimiseerd gebruiken

7. Datalekken

8. Functionaris voor de gegevensbescherming

Daag ons uit

Zin in nog meer inspiratie?

Casper Verhorst

Development & Technology

Schrijf je in voor onze nieuwsbrief

Relevante blogs

Headless CMS: de toekomst van flexibele websites

B2B versus B2C in e-commerce: de klant

10 tips om klanten te verleiden tot een aankoop