Privacy en AVG

Op deze pagina vind je antwoorden op de belangrijkste vragen rondom privacy en de AVG.

We kunnen ons goed voorstellen dat privacy en de Algemene verordening gegevensbescherming (AVG) vragen oproepen. We hebben hier de belangrijkste voor je verzameld. Daarnaast geeft onze jurist Vincent Romviel in de video hieronder antwoord op een aantal prangende vragen.

Pas je cookie-instellingen aan om deze video te bekijken.

Staat jouw vraag hier niet bij? Neem dan contact met ons op via redactie@thuiswinkel.org, zodat we samen tot een antwoord kunnen komen.

    • De gegevens die een klant opgeeft bij het aanmaken van een account mogen voor een langere termijn worden bewaard. Deze bewaartermijn mag je zelf bepalen, maar je moet hierbij wel duidelijk kunnen aangeven waarom je de data voor deze termijn wilt bewaren. Onder de AVG mogen persoonsgegevens namelijk niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Je moet dus goed kunnen beargumenteren hoelang de gegevens van een klant bewaard worden voor het oorspronkelijke doel. Bij een account zou je de gegevens dus tot opzegging (of een langere periode) kunnen bewaren en een verwijdertermijn bij een periode van inactiviteit kunnen aangeven. Op deze manier kun je aan de vereisten van doelbinding uit de AVG voldoen, zolang de verzamelde gegevens wel noodzakelijk zijn voor een bepaald, uit de wet voortvloeiend doel.

    • Als je als webwinkel andere organisaties inschakelt om persoonsgegevens voor jouw organisatie te verwerken, moet je met deze organisaties een verwerkersovereenkomst afsluiten. Dit is bijvoorbeeld het geval als je als webwinkel een payment service provider inschakelt om de betalingen te verwerken, als een hostingbedrijf jouw website beheert of als de reviews op je producten of diensten mogelijk worden gemaakt door een externe partij. Bij het opstellen van een verwerkersovereenkomst worden de taken en verantwoordelijkheden van de partij die de persoonsgegevens voor jou gaat verwerken vastgelegd en wordt er rekening gehouden met de risico’s van de verwerking voor de privacy van de consument. Volgens de AVG moeten in de overeenkomst verplicht afspraken worden gemaakt over de doelen waarvoor de gegevens worden verwerkt, op welke manier dit (technisch en organisatorisch) gebeurt en welke beveiligingsmaatregelen hierbij worden genomen. Er dienen met (individuele) bedrijven verwerkersovereenkomsten te worden afgesloten als je persoonsgegevens met deze bedrijven deelt.

      Als je overigens via een payment service provider bijvoorbeeld VISA aanbiedt, dan hoef je niet per betaaloptie een verwerkersovereenkomst af te sluiten. De payment service provider die de (betaal)gegevens voor jou verwerkt, zal aangeven dat derde (sub)verwerkers bij de verwerking van deze betaalgegevens zijn toegestaan, omdat zij anders de overeenkomst niet kunnen uitvoeren.

    • Kort gezegd is het antwoord op deze vraag: “Nee”. Als het goed is, heb je deze toestemming namelijk al verkregen. De verplichte toestemming hiervoor is immers geregeld in de Telecommunicatiewet en niet in de AVG. Dit betekent dus dat als je vóór 25 mei 2018 al toestemming hebt verkregen voor het versturen van de nieuwsbrief, je deze toestemming niet opnieuw hoeft te vragen. 

      Bewijslast

      Een nieuwe eis waaraan je als webshop wel moet voldoen onder de AVG, is dat je moet kunnen aantonen dat iemand je die toestemming heeft gegeven. Je hebt hiervoor dus een bewijslast. Zorg er daarom voor dat je het aanvinken van een checkbox logt of dat je op een andere wijze een bevestiging verzamelt van de inschrijving voor de nieuwsbrief. Een eventueel handig handvat hierbij is het gebruikmaken van een dubbele opt-in. De ontvanger meldt zich dan aan en bevestigt vervolgens zijn aanmelding door op een link te klikken in een e-mail die naar hem is toegestuurd.

      Samenvattend, je hoeft onder de AVG dus niet je hele contactbestand nogmaals om toestemming te vragen voor het ontvangen van de nieuwsbrief, zolang je dus maar kunt aantonen dat zij deze toestemming eerder al hebben gegeven. Sterker nog, het is niet zomaar toegestaan om ongevraagd een e-mails te sturen met de vraag of mensen jouw nieuwsbrief willen ontvangen. Voor een dergelijke mail heb je een bestaande klantrelatie of toestemming nodig.

      Pas je cookie-instellingen aan om deze video te bekijken.

    • Als het aanmaken van een account optioneel is, dan kiest een klant er zelf voor om een account aan te maken. Hij zegt daarmee eigenlijk tegen de webwinkel: "Ik word graag een geregistreerde klant van uw onderneming. Ik wil graag herkend worden en daarvan het gemak ervaren, omdat ik dan niet iedere keer opnieuw mijn gegevens hoef in te vullen." De grondslag om de account(gegevens) te bewaren is dan ook toestemming.

      Voorwaarde hierbij is wel dat je je klant duidelijk informeert over wat er gebeurt als hij een account aanmaakt. Bijvoorbeeld: "Als u een account aanmaakt, wordt u een geregistreerde klant van onze webshop. Dit betekent dat wij een klantprofiel opstellen, waarin we uw bestelhistorie vastleggen. Wij bewaren uw account en de gegevens totdat u aangeeft dat u deze verwijderd wilt hebben. Na twee jaar van inactiviteit krijgt u van ons een e-mail met de vraag of u nog een geregistreerde klant wilt zijn bij onze webshop."

    • Voordat je gegevens gaat wissen, moet je vaststellen of de persoon wel de persoon is die hij zegt te zijn. Dit kan in veel gevallen eenvoudig door hem naar zijn account te verwijzen. Zorg dat er een afmeldmogelijkheid is in het portaal waar je klant toegang toe krijgt. Als een geregistreerde klant gebruikmaakt van de afmeldmogelijkheid, dien je al zijn gegevens te verwijderen die je niet meer nodig hebt.

      Als je niet werkt met een account, kun je vragen of de persoon zich identificeert door langs te komen op kantoor of door een e-mail te sturen met een kopie van zijn identiteitsbewijs. Natuurlijk mogen alle bijzondere gegevens (zoals BSN) hierbij worden afgeschermd.

    • De AVG geeft geen concrete bewaartermijn waar je je aan moet houden. Er zijn wel een aantal algemene beginselen in de verordening opgenomen en deze gelden voor iedere gegevensverwerking (met een wettelijke grondslag). Hieruit volgt dat je als webwinkelier de verkregen persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Als je de bewaartermijn goed en uitgebreid kunt onderbouwen, is deze in principe toelaatbaar.

      In verschillende wetten zijn wel concrete bewaartermijnen opgenomen waar je je aan dient te houden bij het verwerken van bepaalde persoonsgegevens. Dit worden wettelijke bewaarplichten genoemd en zij beschrijven een minimumbewaartermijn. Gegevens die voortvloeien uit een fiscale bewaarplicht, zoals loonbelastingverklaringen en de debiteuren- en crediteurenadministratie, moet je bijvoorbeeld zeven jaar bewaren. Iedere ondernemer is namelijk wettelijk verplicht zijn administratie voor deze termijn te bewaren. Daarnaast moet je sommige gegevens bewaren om de consument wettelijke garantie te kunnen bieden op de producten die hij via jouw webshop heeft gekocht. Denk hierbij aan gegevens als de naw-gegevens van de klant, gekoppeld aan de aankoopdatum.

    • Binnen (e-commerce)-organisaties worden al snel persoonsgegevens verwerkt door externe partijen. Dit is bijvoorbeeld het geval als je als verwerkingsverantwoordelijke een PSP inschakelt om de betalingen te verwerken, als een hostingbedrijf jouw website beheert of als de reviews op jouw producten of diensten mogelijk worden gemaakt door een externe partij. Het is onder de AVG verplicht om als webwinkel een verwerkersovereenkomst te sluiten met alle derde partijen die persoonsgegevens voor of namens jou verwerken. Deze verwerkersovereenkomst moet aan een aantal eisen voldoen.

      • Heb jij nog geen verwerkersovereenkomst met bedrijven die persoonsgegevens verwerken voor of namens jouw webwinkel? Met de Thuiswinkel Privacytool genereer je, onder het tabblad ‘Documenten’, een verwerkersovereenkomst voor iedere partij op maat.
    • Volgens de Algemene verordening gegevensbescherming (AVG) moet je als verwerkingsverantwoordelijke (dus ook als webshop) een privacy-administratie bijhouden. Zo moet je alle verwerkingsactiviteiten (dus het opslaan, kopiëren, inzien of doorsturen van persoonsgegevens) opslaan in een register. De Autoriteit Persoonsgegevens (AP) moet dit register op verzoek kunnen ingezien.

      In het register houd je bij welke categorieën persoonsgegevens je verwerkt (bijvoorbeeld NAW of BSN), van wie je deze gegevens verwerkt (klanten of medewerkers) en met welk doel je deze verwerking uitvoert (zoals het afhandelen van een bestelling). Deze plicht geldt niet alleen voor grote organisaties (met meer dan 250 medewerkers); kleinere organisaties moeten dit register bijhouden wanneer zij bijzondere persoonsgegevens (zoals medische gegevens) verwerken, wanneer zij risicovolle verwerkingen uitvoeren of wanneer structureel persoonsgegevens worden verwerkt. Wanneer je (ook als kleine webshop) klantprofielen opstelt of grote hoeveelheden gegevens verwerkt, is het bijhouden van een register ook voor jouw organisatie verplicht. 

      • De Thuiswinkel Privacytool helpt bij het opzetten en bijhouden van dit register. Gebruik de vragenlijst voor dataverwerkingen en houd al je verwerkingsactiviteiten zorgvuldig bij. 
    • Als webwinkelier verwerk je regelmatig persoonsgegevens (denk maar aan het opslaan, kopiëren, inzien of doorsturen van personeels- of klantgegevens). Dit mag volgens de wet alleen op een ‘rechtmatige, behoorlijke en transparante’ manier gebeuren. De verantwoordelijkheid hiervoor ligt bij de verwerker van de persoonsgegevens, dus bij jou of bij externe partijen die voor jou de gegevens verwerken.

      Je voldoet aan het transparantiebeginsel wanneer je de consument in duidelijke en eenvoudige taal – in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm – informeert over zijn rechten en de verwerking van zijn persoonsgegevens. Via een privacy policy of privacyverklaring kun je aan deze informatieplicht voldoen.

      • Met de Thuiswinkel Privacytool maakt je gemakkelijk een privacyverklaring voor jouw organisatie op maat. Ga naar het tabblad ‘documenten’, vul de vragenlijst in en genereer een privacyverklaring voor je website. 
    • Webwinkels met minder dan 250 werknemers (dus geen 250 fte) zijn niet verplicht om een register bij te houden, tenzij de verwerkingen structureel zijn of een hoog risico vormen. Daarnaast ben je als webwinkel altijd verplicht om een register bij te houden als je bijzondere persoonsgegevens (zoals seksuele en politieke voorkeur) verwerkt.

    • Wie een nieuwsbrief heeft met daarin alléén informatie over zijn producten en diensten, mag zijn klanten daarop abonneren zonder apart te vragen of zij dat wel willen. Wel moet er bij het bestellen op worden gewezen dat dit gaat gebeuren en moet hij ook dan gelegenheid krijgen dit te weigeren.

      De handigste manier om dit te realiseren is de optie van de nieuwsbrief op te nemen bij het bestelformulier en dan deze optie alvast aan te vinken. Zo weten mensen dat ze de nieuwsbrief gaan krijgen én kunnen ze door het vinkje weg te halen de toezending weigeren.

      Klanten aanbiedingen sturen van producten die zij eerder bij je hebben aangeschaft, is toegestaan met een opt-out.

      Wordt in de nieuwsbrief ook reclame gemaakt voor andere partijen of hele andere producten, dan is een opt-in verplicht. Hierbij moet de klant expliciet aangeven dat hij deze nieuwsbrief wil ontvangen.

      Pas je cookie-instellingen aan om deze video te bekijken.

    • Het bedrijf kan in dit geval persoonsgegevens raadplegen/inzien en is daardoor al een verwerker in de zin van de AVG. In een contract met deze partij moet daarom ergens worden vastgelegd wat de externe medewerker met de persoonsgegevens mag doen. Dit kan in de algemene voorwaarde van je bedrijf worden vastgelegd.

      De externe medewerker mag vervolgens de gegevens inzien voor zover nodig voor de uitvoering van zijn taak. Alle gegevens moeten vertrouwelijk worden behandeld en mogen op geen enkele wijze worden gedeeld met derden, op straffe van een boete.

      Met andere woorden, als een externe medewerker/partij toegang heeft tot persoonsgegevens die onder jullie verantwoordelijkheid vallen, is hij een verwerker.

    • Een Data Protection Officer (DPO) is een onafhankelijk persoon binnen een organisatie die adviseert, informeert en rapporteert over de bescherming van persoonsgegevens. Hij of zij biedt organisaties ondersteuning bij belangrijke verplichtingen uit de AVG en zorgt ervoor dat de bepalingen uit deze verordening worden nageleefd.

    • Onder de AVG (en ook al de oude Wbp) moet je kunnen aantonen dat je toestemming hebt gekregen van de betrokkenen personen. Als je niet kunt aantonen dat je toestemming van je klanten hebt gekregen om hun persoonsgegevens al jarenlang te bewaren, moet je deze gegevens wissen. Er is namelijk geen andere grondslag om de gegevens zo lang te bewaren.

      Om de gegevens van je klanten te bewaren heb je een grondslag nodig. De uitvoering van een overeenkomst is bijvoorbeeld zo’n grondslag. Jarenlang gegevens bewaren kan echter alleen met de expliciete toestemming van de betrokkene. Het informeren in de privacyverklaring is daarom onvoldoende.

      Je hebt een wettelijke fiscale bewaartermijn van zeven jaar. Als je de gegevens voor je klant alleen bewaart voor deze wettelijke plicht, mogen de gegevens van de betrokkene alleen nog maar in het boekhoudsysteem staan, waarvoor je apart moet inloggen en waartoe alleen de directeur en de financiële afdeling toegang hebben. Na zeven jaar is er geen grondslag meer om deze gegevens te bewaren en moet je ze verwijderen.

    • Hiervoor is geen toestemming nodig want het versturen van een dergelijke e-mail doet men voor het uitvoeren van de overeenkomst. Dit is bijvoorbeeld hetzelfde als het versturen van een orderbevestiging, een verzendbevestiging en een track-en-trace-code.

      Het is overigens wel netjes om op je informatiepagina’s te vermelden dat je reviewe-mails verstuurt na een aankoop. Daarnaast is het wel noodzakelijk om (onder andere in je privacystatement) duidelijk te maken wat je met de persoonsgegevens van de reviewer doet.

      Hiervoor kun je bijvoorbeeld onderstaande tekst gebruiken. Deze tekst wordt automatisch voor je gegenereerd in onze Thuiswinkel Privacytool.

      "Bij gebruik van onze reviewsysteem worden de volgende gegevens gepubliceerd zodat ze op internet zichtbaar zijn voor iedereen, met uitzondering van zoekmachines.

      U kiest echter zelf welke informatie u publiceert. Het is mogelijk dat u hiermee te achterhalen bent. Op verzoek anonimiseren wij informatie die gepubliceerd is."

    • De hoofdregels voor het plaatsen van cookies staan in de Telecommunicatiewet (Tw). Op grond van artikel 11.7a van de Tw moet je de bezoekers van je website informeren over het plaatsen en/of uitlezen van cookies op hun apparaat (zoals hun computer, laptop of smartphone). Vervolgens moet je de bezoekers daarvoor in veel gevallen om toestemming vragen.

      Functionele cookies

      Er zijn uitzonderingen op het toestemmingsvereiste. Bijvoorbeeld als de cookies technisch noodzakelijk zijn om de website goed te laten werken. Denk hierbij aan het gebruik van een cookie om de inhoud van een winkelwagentje te onthouden. Dit noemen we functionele cookies.

      Analytische cookies

      Ook is er een uitzondering voor bepaalde analytische cookies. Je hebt geen toestemming nodig voor het plaatsen van analytische cookies, mits je die cookies alleen gebruikt om bezoekers te tellen. Met analytische cookies krijg je beter inzicht in het functioneren van je website.

      Kun je de analytische cookies niet gebruiken om mensen anders te behandelen? Dan hebben ze nauwelijks gevolgen voor de privacy van de bezoekers van je website en hoef je er geen toestemming voor te vragen. Maar let op: je moet je websitebezoekers nog steeds informeren over het plaatsen van deze cookies.

      Meer informatie

      Bron: ACM

    • Jawel. Ook al heb je zelf geen naam en adres van je websitebezoekers, je verwerkt doorgaans toch hun persoonsgegevens met tracking cookies. Bij het plaatsen en uitlezen van tracking cookies worden namelijk altijd andere gegevens verzameld, zoals IP-adressen, gegevens over eerder bezochte websites en soms gegevens waarmee de randapparatuur uniek kan worden herkend op internet.

      Indirect herleidbaar

      Deze gegevens zijn persoonsgegevens, los of in combinatie met elkaar. Ook als je als websitehouder er zelf geen naam of adres aan vast kunt plakken. Bij de definitie van persoonsgegevens gaat het namelijk niet alleen om gegevens die je zelf kunt gebruiken om iemand te identificeren, maar ook om gegevens die een ander kan gebruiken om iemand te identificeren (indirecte herleidbaarheid).

      Los daarvan is het doeleinde van tracking cookies juist om het gedrag van een specifieke persoon op internet te volgen en diegene op basis van de informatie over zijn of haar internetgedrag anders te kunnen behandelen.

      Het feit dat je, of het advertentienetwerk dat via jouw website tracking cookies plaatst, de naam van de websitebezoeker niet kent, laat onverlet dat je (en het advertentienetwerk) informatie kunt combineren over het surfgedrag van één specifieke persoon en die persoon (via advertenties) ook gericht kunt benaderen.

      Anonimiseren

      Het anonimiseren van persoonsgegevens is een verwerking van persoonsgegevens. Ook als je de gegevens meteen anonimiseert, moet je dus bij het verzamelen nog toestemming vragen op basis van adequate informatie.

      Daadwerkelijk onomkeerbaar anonimiseren is overigens niet eenvoudig. In veel gevallen is in de praktijk sprake van pseudonimisering. Dat kan een goede maatregel zijn om bijvoorbeeld beveiligingsrisico's te verkleinen. Maar ook pseudoniemen (versleutelde gegevens) blijven doorgaans persoonsgegevens, onder meer omdat deze nog steeds herleidbaar zijn tot personen.

      Zie voor meer informatie de opinie van de Artikel 29-werkgroep over anonimisering.

      Bron: ACM

    • De Thuiswinkel Privacytool is gratis te gebruiken door leden van Thuiswinkel.org.

      Geen lid? Neem dan contact op met onze juridische afdeling voor meer informatie.

    • De Thuiswinkel Privacytool is gratis te gebruiken door leden van Thuiswinkel.org.

      Geen lid? Neem dan contact op met onze juridische afdeling voor meer informatie.

    • Nee. De Thuiswinkel Privacytool is alleen een handig hulpmiddel waarmee je inzicht krijgt in je huidige situatie en in de stappen die je moet nemen om daadwerkelijk te voldoen aan de nieuwe privacywet. Je blijft zelf verantwoordelijk voor het daadwerkelijk voldoen aan de Algemene verordening gegevensbescherming (AVG).

    • Volgens een nieuwe uitzondering hoef je voor het plaatsen en uitlezen van analytische cookies geen toestemming meer te vragen aan je klant en hem hierover ook niet meer te informeren. Deze uitzondering geldt alléén wanneer de analytische cookies géén of maar weinig gevolgen hebben voor de privacy van de klant. Het gebruik van Google Analytics wordt door de toezichthouder Autoriteit Persoonsgegevens niet zomaar privacyvriendelijk gevonden.

      Dus, let op: alleen na het volgen van het beschreven stappenplan hoef je géén toestemming aan je klant te vragen voor het gebruik van Google Analytics.   

      Stap 1:   Sluit een bewerkersovereenkomst af met Google

      Dit doe je door het ‘Amendement gegevensverwerking’ te accepteren via de instellingen in je account.

      Stap 2:   Voorkom dat Google volledige IP-adressen verwerkt (Anonymize ID)

      Voeg een regel tekst toe aan het Javascript van Google op je webserver. Daarmee verwijder je het laatste octet van een IP-adres. (Het IP-adres bestaat normaal gesproken uit vier octetten van drie cijfers). Het CBP raadt daarbij aan om het gebruik van SSL te forceren voor de Google Analytic-cookies.

      Stap 3:   Zet het delen van gegevens met Google uit

      Vink alle vier de opties onder ‘Instellingen voor gegevens delen’ uit in je account.

      Stap 4:   Informeer de bezoekers over Google Analytics

      Informeer je klant in je cookie- of privacy statement dat je gebruik maakt van Google Analytics. Vermeld daarnaast dat je een bewerkersovereenkomst met Google hebt gesloten, de IP-adressen anonimiseert en geen gegevens met Google deelt.