Rechtspraak: waar moet mijn webshop aan voldoen op het gebied van privacy?

0
495

Rechtspraak: waar moet mijn webshop aan voldoen op het gebied van privacy?

ACHTERGROND De Algemene
Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 van kracht. De
AVG schrijft regels voor om de bescherming van privacy te waarborgen en is
ook van toepassing op webshops. In deze Q&A legt Köster Advocaten uit waar
een webshop allemaal aan moet voldoen op het gebied van privacy.

Waarom is de AVG van toepassing op webshops?

De AVG is van toepassing op (de meeste) webshops, omdat webshops
gegevens verzamelen, gebruiken en bewaren van hun klanten. Denk hierbij aan
onder meer: naam, adres, e-mailadres, bestelgegevens en financiële
gegevens. Al deze gegevens worden persoonsgegevens genoemd.

Welke persoonsgegevens mogen webshops verzamelen, gebruiken en bewaren?

De AVG schrijft niet precies voor welke persoonsgegevens webshops mogen
verzamelen, gebruiken en bewaren. Iedere handeling met persoonsgegevens
wordt in de AVG een verwerking genoemd.

Mogen webshops zomaar alle persoonsgegevens verwerken?

Nee. De AVG schrijft voor dat persoonsgegevens alleen mogen worden
verwerkt op basis van een of meerdere wettelijke grondslagen. Er bestaan
zes wettelijke grondslagen. De meest voor de hand liggende grondslagen waar
een webshop zich op kan beroepen zijn: 1) de uitvoering van een
overeenkomst (bijvoorbeeld de verwerking van adresgegevens om het product
te kunnen leveren) en 2) de toestemming (bijvoorbeeld de verwerking van een
telefoonnummer nadat de klant zelf met de klantenservice heeft gebeld).

Iedere verwerking van persoonsgegevens dient een wettelijke grondslag te
hebben. Daarnaast dient iedere verwerking in overeenstemming te zijn met
een of meerdere doelen. Deze doelen zijn niet specifiek in de AVG
opgenomen. De doelen worden door de webshop zelf bepaald.

Een voorbeeld: de webshop verwerkt financiële gegevens van de klant. De
wettelijke grondslag hiervoor is de uitvoering van de overeenkomst.
Financiële gegevens van de klant worden verwerkt met als doel het
aankoopbedrag te kunnen afschrijven en het betalingsgedrag van de klant in
kaart te kunnen brengen.

Er mogen nooit méér persoonsgegevens worden verwerkt dan noodzakelijk is
voor het doel. In het hiervoor beschreven geval is het bijvoorbeeld niet
nodig om persoonsgegevens over iemands geloofsovertuiging te verwerken voor
de genoemde doelen. Die persoonsgegevens (geloofsovertuiging) zijn voor
webshops over het algemeen niet nodig en dienen dus geen doel. Die gegevens
mogen dus ook niet worden verwerkt.

Welke documenten moet ik op mijn webshop plaatsen?

Op grond van de AVG heeft een webshop de verplichting iedere bezoeker of
klant van de webshop te informeren op het moment dat persoonsgegevens over
bezoeker/klant verwerkt worden. Dit is dus niet alleen het geval als een
klant producten bestelt, maar óók als een bezoeker de webshop bekijkt
waardoor cookies worden geplaatst die persoonsgegevens verwerken.

De documenten die op de webshop moeten worden geplaatst, moeten de
bezoeker of klant informeren over de verwerking van persoonsgegevens. In de
praktijk gebeurt dit door middel van een privacy- en/of cookieverklaring.

In een privacyverklaring staat welke persoonsgegevens worden verwerkt,
welke wettelijke grondslagen van toepassing zijn, voor welke doelen de
persoonsgegevens worden verwerkt, welke rechten de persoon van wie de
persoonsgegevens worden verwerkt heeft ten opzichte van zijn
persoonsgegevens, hoe de persoonsgegevens worden beveiligd en of
persoonsgegevens worden doorgegeven aan derde partijen (bijvoorbeeld aan
een dochteronderneming van de webshop). Een webshop mag niet zomaar
persoonsgegevens verkopen aan derden.

In een cookieverklaring staat welke cookies worden gebruikt en welke
cookies daarvan persoonsgegevens verzamelen. Niet alle cookies verzamelen
persoonsgegevens. Voor de cookies die wél persoonsgegevens verzamelen, moet
toestemming worden gevraagd. Meestal gebeurt dat door middel van een
cookiemelding (pop up) in het scherm.

De privacy- en/of cookieverklaring moeten in heldere taal worden
opgesteld en makkelijk (op de website) vindbaar zijn.

Is het hebben van deze documenten voldoende om aan de AVG te
voldoen?

Nee. In de praktijk merken wij dat er wordt gedacht dat het hebben van
een privacy- en/of cookieverklaring voldoende is om te voldoen aan de AVG.
Het is echter van essentieel belang om naast het hebben van de documenten
ook te handelen overeenkomstig deze documenten.

Dit houdt onder meer het volgende in:

  • een webshop moet een verwerkersregister aanleggen
    en bijhouden, waarin alle (categorieën van) verwerkingen van
    persoonsgegevens worden bijgehouden. Uit het verwerkersregister moet ten
    minste blijken 1) welke soort persoonsgegevens worden verwerkt, 2) op basis
    van welke wettelijke grondslag(en), 3) voor welk(e) doel(en) en 4) met
    welke partijen deze persoonsgegevens worden gedeeld;
  • een webshop moet passende organisatorisch en technische
    beveiligsmaatregelen nemen om persoonsgegevens te beveiligen, door er
    bijvoorbeeld voor te zorgen dat persoonsgegevens worden beveiligd met een
    wachtwoord en door gebruik te maken van een SSL verbinding;
  • een webshop moet beschikken over een datalekprotocol waarin staat
    beschreven wat medewerkers van een webshop moeten doen op het moment dat er
    een (mogelijk) datalek wordt geconstateerd en op welke manier dit
    (mogelijke) datalek aan de Autoriteit Persoonsgegevens en eventueel de
    personen om wie het gaat moet worden gemeld;
  • de webshop moet voldoen aan de eisen die gelden voor het versturen van
    nieuwsbrieven. Het belangrijkste vereiste is dat de ontvanger van de
    nieuwsbrief expliciet toestemming heeft gegeven voor het ontvangen daarvan;
    en
  • de webshop moet verwerkersovereenkomsten sluiten met derden die in haar
    opdracht persoonsgegevens verwerken. Denk hierbij aan de externe
    programmeur van de webshop, het reclamebureau dat een marketing campagne
    uitvoert of de externe betaaldienst waar de webshop gebruik van maakt.

Tot slot

Zoals uit deze bijdrage volgt, voldoet een webshop niet aan de AVG door
éénmalig een lijstje met vereisten af te werken. Dit is pas het begin. Om
te blijven voldoen aan de AVG is het belangrijk te beseffen dat het
onderwerp privacy doorlopend een punt van aandacht is en zal moeten
blijven.

Naast de privacyaspecten moet de webshop ook voldoen aan de vereisten
die gelden op het gebied van e-commerce. Deze vereisten werden door Köster Advocaten al eerder op
FashionUnited behandeld.

Geschreven door Nine Bennink, advocaat bij Köster Advocaten in
Haarlem. Regelmatig behandelt Köster Advocaten actuele juridische
kwesties.kadv.nl

Beeld: Aygin Kolaei voor FashionUnited

Bron: Fashion United