De AVG-privacywetgeving: de invloed op je e-commerce

Vanaf 25 mei 2018 is de AVG van kracht. Maar wat gaat er allemaal precies veranderen en hoe heeft dit impact op jouw organisatie? Wij leggen graag uit wat deze nieuwe wetgeving voor impact heeft op je e-commerce.

De AVG, ook wel bekend als de GDPR (General Data Protection Regulation), is een nieuwe privacywet binnen de Europese Unie waaraan alle organisaties die te maken hebben met persoonsgegevens moeten voldoen. Het is een versterking en uitbreiding van de huidige privacyrechten met als doel om een zo maximaal mogelijke controle voor natuurlijke personen te realiseren ten aanzien van de eigen persoonsgegevens. Vanaf 25 mei 2018 is de AVG van kracht. Maar wat gaat er allemaal precies veranderen en hoe heeft dit impact op jouw organisatie? We leggen het je graag uit.

Wat zijn persoonsgegevens?

De AVG heeft een andere, uitgebreidere betekenis toegekend aan het begrip persoonsgegevens. Niet alleen gegevens als namen, adressen of leeftijd worden onder dit begrip verstaan, maar ook andere gegevens die gekoppeld kunnen worden aan een persoon zoals IP-adressen en cookies. Zelfs als de naam van de persoon achter een cookie niet bekend is, moeten deze gegevens toch als privacygevoelig worden behandeld.

Verwerken van persoonsgegevens

Het verwerken van persoonsgegevens mag onder de AVG niet meer zomaar gebeuren. Er zijn een aantal wettelijke grondslagen die je het recht geven om persoonsgegevens te verzamelen:

• Er is expliciet toestemming verkregen van de betrokken persoon.
• De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, bijvoorbeeld bij het online verkopen van een product.
• De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. Denk hierbij bijvoorbeeld aan een bevel van de politie om bepaalde gegevens te verstrekken of het verstrekken van gegevens voor de uitvoering van de belastingwet.
• De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. Er is sprake van een vitaal belang als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en die persoon niet om toestemming kan worden gevraagd.
• De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
• De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. Dit belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dit is zo wanneer een verwerking aantoonbaar noodzakelijk is om bedrijfsactiviteiten te verrichten. Denk bijvoorbeeld aan de personeelsadministratie.

Een belangrijk aspect van de nieuwe wetgeving is de verantwoordingsplicht. De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat het verwerken van persoonsgegevens binnen jouw organisatie aan de regels van de AVG voldoen. Ook moet je aan kunnen tonen dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen. Maar hoe doe je dit? 

In 10 stappen AVG-proof

Met behulp van onderstaand stappenplan, kun je je als organisatie voorbereiden op de komende veranderingen die de AVG-privacywetgeving met zich meebrengt.

1. Bewustwording: zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels.
2. Rechten van betrokkenen: maak de personen waarvan je gegevens verwerkt bewust van hun rechten. Deze rechten zijn onder andere het recht op inzage, correctie en verwijdering, maar ook nieuwe rechten als dataportabiliteit.
3. Overzicht verwerkingen: breng de gegevensverwerkingen in kaart en documenteer welke persoonsgegevens je verwerkt en met welk doel, waar de gegevens vandaan komen en met wie ze gedeeld worden. Het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak een verplichte maatregel.
4. Data protection impact assessment (DPIA): de DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico voor de betrokkenen oplevert.
5. Privacy by design & privacy by default: Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor gezorgd wordt dat persoonsgegevens goed worden beschermd, dat er niet meer gegevens verzameld worden dan noodzakelijk en dat de gegevens niet langer worden bewaard dan nodig. Privacy by default houdt in dat er technische en organisatorische maatregelen genomen worden om ervoor te zorgen dat er standaard alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat je als organisatie wil bereiken.
6. Functionaris voor de gegevensbescherming: onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Check hier of dit ook voor jouw organisatie geldt.
7. Meldplicht datalekken: onder de AVG is het verplicht om alle datalekken te melden én te documenteren. Aan de hand van deze documentatie kan de Autoriteit Persoonsgegevens controleren of je aan de meldplicht hebt voldaan.
8. Verwerkersovereenkomsten: Wanneer je als organisatie het verwerken van bepaalde persoonsgegevens aan een andere partij hebt uitbesteed, ben je wettelijk verplicht een verwerkersovereenkomst op te stellen. De verwerking van persoonsgegevens moet in deze overeenkomst conform de regels van de AVG. Lees hier wat er allemaal in deze overeenkomst moet staan.
9. Leidende toezichthouder: wanneer jouw organisatie vestigingen in meerdere EU-lidstaten heeft of als de gegevensverwerkingen impact hebben in meerdere lidstaten, moet er een leidende toezichthouder worden aangesteld.
10. Toestemming: de AVG stelt strenge eisen aan de toestemming van de betrokkenen. Ook moet je kunnen aantonen dat je een geldige toestemming hebt verkregen. Denk hierbij aan een actieve instemming van uw klant bij registratie of bij het checkout proces.