None

De AVG-privacywetgeving: de invloed op je e-commerce

19-04-2018 Dennis Zuurhout

Vanaf 25 mei 2018 is de AVG van kracht. Maar wat gaat er allemaal precies veranderen en hoe heeft dit impact op jouw organisatie? Wij leggen graag uit wat deze nieuwe wetgeving voor impact heeft op je e-commerce.



De AVG, ook wel bekend als de GDPR (General Data Protection Regulation), is een nieuwe privacywet binnen de Europese Unie waaraan alle organisaties die te maken hebben met persoonsgegevens moeten voldoen. Het is een versterking en uitbreiding van de huidige privacyrechten met als doel om een zo maximaal mogelijke controle voor natuurlijke personen te realiseren ten aanzien van de eigen persoonsgegevens. Vanaf 25 mei 2018 is de AVG van kracht. Maar wat gaat er allemaal precies veranderen en hoe heeft dit impact op jouw organisatie? We leggen het je graag uit.


Wat zijn persoonsgegevens?

De AVG heeft een andere, uitgebreidere betekenis toegekend aan het begrip persoonsgegevens. Niet alleen gegevens als namen, adressen of leeftijd worden onder dit begrip verstaan, maar ook andere gegevens die gekoppeld kunnen worden aan een persoon zoals IP-adressen en cookies. Zelfs als de naam van de persoon achter een cookie niet bekend is, moeten deze gegevens toch als privacygevoelig worden behandeld.


Verwerken van persoonsgegevens

Het verwerken van persoonsgegevens mag onder de AVG niet meer zomaar gebeuren. Er zijn een aantal wettelijke grondslagen die je het recht geven om persoonsgegevens te verzamelen:

  • Er is expliciet toestemming verkregen van de betrokken persoon.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, bijvoorbeeld bij het online verkopen van een product.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. Denk hierbij bijvoorbeeld aan een bevel van de politie om bepaalde gegevens te verstrekken of het verstrekken van gegevens voor de uitvoering van de belastingwet.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. Er is sprake van een vitaal belang als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en die persoon niet om toestemming kan worden gevraagd.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. Dit belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dit is zo wanneer een verwerking aantoonbaar noodzakelijk is om bedrijfsactiviteiten te verrichten. Denk bijvoorbeeld aan de personeelsadministratie.

Een belangrijk aspect van de nieuwe wetgeving is de verantwoordingsplicht. De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat het verwerken van persoonsgegevens binnen jouw organisatie aan de regels van de AVG voldoen. Ook moet je aan kunnen tonen dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen. Maar hoe doe je dit? 


In 10 stappen AVG-proof

Met behulp van onderstaand stappenplan, kun je je als organisatie voorbereiden op de komende veranderingen die de AVG-privacywetgeving met zich meebrengt.

  1. Bewustwording: zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels.
  2. Rechten van betrokkenen: maak de personen waarvan je gegevens verwerkt bewust van hun rechten. Deze rechten zijn onder andere het recht op inzage, correctie en verwijdering, maar ook nieuwe rechten als dataportabiliteit.
  3. Overzicht verwerkingen: breng de gegevensverwerkingen in kaart en documenteer welke persoonsgegevens je verwerkt en met welk doel, waar de gegevens vandaan komen en met wie ze gedeeld worden. Het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak een verplichte maatregel.
  4. Data protection impact assessment (DPIA): de DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico voor de betrokkenen oplevert.
  5. Privacy by design & privacy by default: Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor gezorgd wordt dat persoonsgegevens goed worden beschermd, dat er niet meer gegevens verzameld worden dan noodzakelijk en dat de gegevens niet langer worden bewaard dan nodig. Privacy by default houdt in dat er technische en organisatorische maatregelen genomen worden om ervoor te zorgen dat er standaard alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat je als organisatie wil bereiken.
  6. Functionaris voor de gegevensbescherming: onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Check hier of dit ook voor jouw organisatie geldt.
  7. Meldplicht datalekken: onder de AVG is het verplicht om alle datalekken te melden én te documenteren. Aan de hand van deze documentatie kan de Autoriteit Persoonsgegevens controleren of je aan de meldplicht hebt voldaan.
  8. Verwerkersovereenkomsten: Wanneer je als organisatie het verwerken van bepaalde persoonsgegevens aan een andere partij hebt uitbesteed, ben je wettelijk verplicht een verwerkersovereenkomst op te stellen. De verwerking van persoonsgegevens moet in deze overeenkomst conform de regels van de AVG. Lees hier wat er allemaal in deze overeenkomst moet staan.
  9. Leidende toezichthouder: wanneer jouw organisatie vestigingen in meerdere EU-lidstaten heeft of als de gegevensverwerkingen impact hebben in meerdere lidstaten, moet er een leidende toezichthouder worden aangesteld.
  10. Toestemming: de AVG stelt strenge eisen aan de toestemming van de betrokkenen. Ook moet je kunnen aantonen dat je een geldige toestemming hebt verkregen. Denk hierbij aan een actieve instemming van uw klant bij registratie of bij het checkout proces. 


Concrete aandachtspunten voor de e-commerce

Bovenstaande stappen zijn algemene stappen waarmee iedere organisatie zou moeten starten. Als ondernemer in commerce branche, zijn er nog een aantal andere concrete aandachtspunten:
  • Vernieuw je privacy statement en zorg dat deze duidelijk zichtbaar op je site aanwezig is. Heb je nog geen privacy statement? Zorg dan dat deze zo snel mogelijk opgesteld wordt. Lees hier wat er allemaal in een privacy statement moet staan.
  • Anonimiseer Google Analytics. Google Analytics verzamelt allerlei gegevens die kunnen leiden tot een persoon, wat dus niet meer zomaar mag. Wanneer je kiest voor het anonimiseren, heb je geen inzicht meer in deze gegevens. Lees hier hoe je Google Analytics kan anonimiseren. Wil je deze gegevens wel blijven inzien? Plaats dan een duidelijke cookiemelding op je site. In de cookiemelding moet dan te lezen zijn dat cookies pas geplaatst worden als mensen actief aangeven dat ze hiermee akkoord gaan, of als ze verder navigeren door de website.
  • Zorg voor een goede beveiliging van de opslag en beveiliging van gegevens, bijvoorbeeld via een SSL-certificaat.
  • Communiceer expliciet welke gegevens je verzamelt, met welke reden, hoe deze gegevens gebruikt worden en hoe lang deze bewaard zullen worden. Verwijs ook altijd terug naar het privacy statement. Daarnaast moet je altijd aan kunnen tonen dat je de gegevens op een legale manier hebt verkregen.
  • Persoonsgegevens moeten gemakkelijk in te zien, te wijzigen of te verwijderen zijn als hierom gevraagd wordt door uw klant.
  • Sluit verwerkersovereenkomsten af met alle partijen die toegang hebben tot je persoonsgegevens.
  • Een ‘noreply@’-e-mailadres mag onder de nieuwe privacywetgeving niet meer. Pas dit aan naar een adres waar de ontvanger wel naar kan mailen.


Hoe nu verder?

De AVG-privacywet komt steeds dichterbij. Heb je nog geen voorzorgsmaatregelen genomen? Neem bovenstaande stappen dan goed door en bekijk hoe je deze kan implementeren binnen jouw organisatie. 

Ook kan je je kennis alvast testen en kijken hoe jouw organisatie ervoor staat met behulp van de de GDPR quiz. Kijk voor meer informatie en het laatste nieuws op de site van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl


De komende periode zullen wij het dossier AVG verder aanvullen. In een reeks artikelen zullen we verder ingaan op welke, met name technische, maatregelen genomen kunnen worden op het gebied van databeveiliging om compliant te worden voor de AVG. Ook zullen we verdere toelichting geven over onze rol en de afspraken die gemaakt dienen te worden in de nieuwe verwerkersovereenkomsten. CloudSuite komt binnen afzienbare tijd met een standaard verwerkersovereenkomst voor al haar klanten aangezien we jouw gegevens verwerken.


Note: Dit artikel beschrijft een aantal belangrijke veranderingen en aandachtspunten die deze nieuwe wetgeving met zich meebrengt. Voor meer informatie en de interpretatie voor jouw organisatie, raden wij aan contact op te nemen met een juridisch expert. 


Bronnen

AVG - nieuwe Europese privacywetgeving - Autoriteitspersoonsgegevens.nl

Stoom je webshop klaar voor de AVG/GDPR - Frankwatching.nl

GDPR voor webshops - alles over de nieuwe privacywetgeving - Webdesigntilburg.nl