De huidige wetgeving rondom de privacy voor persoonsgegevens gaat veranderen. De Wet bescherming persoonsgegevens (Wbp) gaat vervangen worden door de Algemene Verordening Gegevensbescherming (AVG) ofwel de General Data Protection Regulation (GDPR). Op 25 mei 2018 wordt deze nieuwe privacywet van kracht. Maar wat betekent dat voor jouw website of webshop? Hieronder lees je de elf belangrijkste aandachtspunten. Maar eerst beschrijf ik kort wat de AVG inhoudt.

De Algemene Verordening Gegevensbescherming (AVG)

De AVG gaat gelden voor heel Europa en is van toepassing als de data (bijvoorbeeld personen) of organisatie gevestigd zijn in Europa. Met andere woorden: wanneer een organisatie uit de VS met persoonlijke gegevens van mensen uit Europa actief is, is deze wet ook van toepassing.

De AVG zorgt voor:

  • Transparantie, versterking en uitbreiding van de privacyrechten
  • Meer verantwoordelijkheid bij de organisaties
  • Sterke geformaliseerde bevoegdheden voor alle Europese toezichthouders op privacy

In het artikel van OGD ict-diensten lees je meer over de AVG en wat er in 2018 gaat veranderen.

De elf belangrijkste aandachtspunten voor websites en webshops

1. Data Protection Officer (DPO)

De DPO is verplicht voor organisaties die bij het uitvoeren bij hun kernactiviteiten bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerken. Dus werk je als website of webshop veel met bijzondere persoonsgegevens of ben je belast met gegevensverwerking op grote schaal – waar ook regelmatig observatie van betrokkenen nodig is – dan is een DPO verplicht.

2. Toestemming

Voor een rechtmatige verwerking van persoonsgegevens moet er sprake zijn van een wettelijke basis die deze verwerking rechtvaardigt. Denk aan het verwerken van persoonsgegevens, zodat een pakketje verstuurd kan worden naar een adres. Een ander voorbeeld is de verplichte leeftijdscontrole voor het bezoeken van een bepaalde website. Wanneer er gerechtvaardigd belang is voor de ondernemer om bepaalde persoonsgegevens te verwerken, mag dit gedaan worden. Als website- of webshophouder hoef je in deze gevallen niet de toestemming van de klant te vragen.

Wanneer het verplicht is om toestemming te vragen, is het essentieel dat je altijd kunt aantonen dat je je toestemming hebt gekregen. Kun je dit niet, dan ben je in principe al in overtreding. Daarnaast moet je ervoor zorgen dat consumenten hun toestemming op elk moment kunnen intrekken. Vermeld dit ook duidelijk op je website of webshop. Het intrekken van de toestemming moet net zo eenvoudig zijn als het geven ervan.

3. Recht van bezwaar

Als website- of webshophouder dien je de klant te informeren dat hij of zij bezwaar kan maken tegen het verdere gebruik van zijn of haar gegevens voor marketingdoeleinden. Hier moet je altijd gehoor aan geven, tenzij je gerechtvaardigde argumenten hebt die zwaarder wegen dan die van de klant.

4. Informatieverplichting

Als website- of webshophouder heb je de taak om bij je klanten duidelijk aan te geven wat er met hun gegevens gedaan wordt. De AVG vraagt om een grote hoeveelheid informatie. Echter, het is niet helemaal duidelijk wanneer je deze informatie precies moet verstrekken. Thuiswinkel.org gaat er vooralsnog vanuit dat je voor deze gevallen mag wijzen op je privacyverklaring.

5. Bewaartermijnen

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Zorg ervoor dat je per verwerking weet hoe lang je bepaalde gegevens mag bewaren. Noteer dit ook en plan in wanneer je de gegevens verwijdert. Kijk voor meer informatie op Thuiswinkel.org.

6. Privacy by design

Neem de nodige beschermingsmaatregelen bij het verwerken van de persoonsgegevens en big data. Ook speelt dit punt al een rol vanaf het moment dat je nieuwe producten of diensten gaat ontwikkelen. Met andere woorden: het is één van de ontwerpeisen. Thuiswinkel.org heeft diverse maatregelen opgesomd om te voldoen aan Privacy by design:

  • Beperk gegevensverwerking
  • Bewaar gegevens gescheiden
  • Bescherm de gegevens die je beheert
  • Informeer de klant in begrijpbare taal
  • Geef controle aan de klant
  • Maak een privacybeleid en toon aan dat je de persoonsgegevens op een privacyvriendelijke manier verwerkt

7. Meldplicht datalekken

Dit punt bestaat al in de Nederlandse wet. Is er een groot datalek ontstaan, dan dien je de toezichthouder binnen 72 uur hiervan in kennis te stellen. Is er een hoog risico voor de personen in kwestie? Stel hen dan ook op de hoogte.

8. Dataportabiliteit

Als website- of webshophouder ben je verplicht om de persoonsgegevens die jij hebt verzameld, over te dragen als de betrokkene daar om vraagt. Om Thuiswinkel.org gaat men verder in op dit punt.

9. Recht om vergeten te worden

Wanneer de consument vraagt om zijn of haar gegevens te verwijderen, dan ben je in een beperkt aantal gevallen verplicht om dit te doen. Hierbij heb je ook soms ook de plicht om hiervan derden op de hoogte te stellen. Dit recht wordt ook wel het recht op gegevenswissing genoemd. Het recht is er, zodra er geen geldige reden meer is om de gegevens te bewaren, te verwerken of als de gegevens onrechtmatig zijn verwerkt.

Het recht geldt niet als de gegevens nodig zijn:

  • Voor het uitoefenen van het recht op vrijheid van meningsuiting
  • Voor het nakomen van een wettelijke verwerkingsverplichting
  • Om redenen die van belang zijn voor de volksgezondheid
  • Voor algemeen belang, historisch of wetenschappelijk onderzoek of statistieken
  • Voor het instellen, onderbouwen of uitoefenen van een rechtsvordering

10. Toezicht en boetes

In de AVG legt men veel nadruk op de verantwoordelijkheid van organisaties zelf om zich aan de regels te houden en aan te kunnen tonen dat dit gebeurt. Neem deze verantwoordelijkheid, voldoe aan je verplichtingen en toon aan dat je dit doet.

11. Profilering / profiling

Het automatisch verwerken van persoonsgegevens is niet toegestaan als daar voor de persoon rechtsgevolgen aan zijn verbonden of het besluit hem of haar in bepaalde mate treft.  Wanneer je toch profilering toepast, moet je bepaalde zekerheden voor je klant inbouwen. Voorzie de klant van specifieke informatie, zoals waarom bepaalde beslissingen op basis van zijn of haar profiel worden genomen. Denk daarbij aan het uitleggen waarom de klant bepaalde advertenties te zien krijgt of bepaalde mailings ontvangt.

Stel een contactpersoon aan, zodat klanten eventueel vragen kunnen stellen of bezwaar kunnen maken tegen een beslissing.

Op het verbod van profilering en profiling zijn wel enkele uitzonderingen. Het automatisch verwerken mag in de volgende gevallen:

  • Wanneer het noodzakelijk is voor het totstandkomen of uitvoeren van een overeenkomst
  • Wanneer de klant uitdrukkelijke toestemming geeft
  • Wanneer dit is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die voorziet in passende maatregelen ter bescherming van de rechten, vrijheden en gerechtvaardigde belangen van de consument

Bron: Thuiswinkel.org.

Ik hoop je in meer inzicht te hebben gegeven in de privacywet 2018 en wat de belangrijkste aandachtspunten zijn voor jou als website- of webshophouder. Bereid jezelf er goed op voor, zodat je straks niet voor verrassingen komt te staan.


Richard van Kampen
Richard van Kampen

Richard van Kampen is mede-eigenaar van Invictus Online Marketing en een ervaren online marketeer. Zijn specialismen zijn o.a. het ontwikkelen van online marketingstrategieën, zoekmachine marketing (SEO en SEA) en conversie optimalisatie.

Leave a Reply

Your email address will not be published.