Waarom goede privacybescherming en transparantie essentieel zijn

Sinds de inwerkingtreding van de AVG hebben veel webshops flinke stappen gezet om de privacy van hun klanten beter te waarborgen. Dat is uiteraard noodzakelijk en belangrijk voor het vertrouwen van de consument in jouw webshop. Want vertrouwen is niet vrijblijvend: mensen willen weten wat er gebeurt met de gegevens die ze met je delen.

Als webshop kun je aan je klanten aan de voorkant aantonen dat je privacy serieus neemt, en dat je bent ingericht op AVG-compliance, door twee basisvoorzieningen:

• Een cookietoestemmingsvraag die aan de wettelijke eisen voldoet.
• Een privacyverklaring die helder, volledig en actueel is.

Heb je die ooit opgezet — bijvoorbeeld vijf jaar geleden — dan is dat goed. Maar: privacy is geen “set & forget”-verhaal. Wettelijke en toezichthoudende inzichten veranderen, en je verwerking, partners of doeleinden kunnen wijzigen. Gegevensbescherming zou onderdeel moeten zijn van de daily business en niet een eenmalig project.

Waarom “oude” privacyverklaringen vaak niet meer volstaan

Een, sprekende uitspraak van de toezichthouder Autoriteit Persoonsgegevens (AP) illustreert waarom. De streamingdienst Netflix kreeg op 18 december 2024 een boete van € 4.750.000 omdat de privacyverklaring en informatievoorziening niet voldoende transparant waren.

De kernpunten van het oordeel van de AP:

• De privacyverklaring linkte niet duidelijk welke persoonsgegevens voor welke verwerkingsdoeleinden werden gebruikt.
• Behouds- of bewaartermijnen werden niet concreet vermeld — alleen vage bewoordingen als “zolang noodzakelijk” of “zoals toegestaan door wet- en regelgeving”. Dat is volgens de AP niet voldoende.
• Netflix deelde niet expliciet naam of categorieën van alle ontvangers van persoonsgegevens, terwijl het bedrijf die informatie wel kon geven. Volgens de AP had deze informatie in de verklaring moeten staan.
• Netflix gaf ook onvoldoende informatie over internationale doorgifte van persoonsgegevens — naar landen buiten de EER — en over de waarborgen die dan gelden.

Aandachtspunten in je privacyverklaring

Op basis van de regels én jurisprudentie / boetebesluiten, zijn dit belangrijke aandachtspunten bij het inrichten (of herzien) van je privacy-verklaring en cookietoestemming:

• Bewaartermijnen: Benoem concrete bewaartermijnen voor elke categorie persoonsgegevens (of — als dat niet haalbaar is — de criteria waarmee je bewaartermijnen bepaalt). Vage bewoordingen volstaan niet.
• Internationale doorgifte: Als je persoonsgegevens doorgeeft aan landen buiten de EER (of daar gegevens laten verwerken), vermeld welke landen dat zijn of — als dat te veel is — op zijn minst de categorie landen én de waarborgen die je toepast (bijv. standaardcontracten, privacy-verklaardocumenten). Informeer ook over de rechten van betrokkenen bij dergelijke doorgifte.
• Benoem ontvangers: Benoem met wie je persoonsgegevens deelt — denk aan hosting-providers, logistieke partners, marketingplatforms, advertentienetwerken etc. Als je de namen kent en beperkt zijn, vermeld dan de namen. Zoniet: geef in elk geval de categorie, sector/branche en type dienstverlener.
• Duidelijkheid & leesbaarheid: Vermijd juridisch jargon waar mogelijk; de informatie moet begrijpelijk, transparant en makkelijk toegankelijk zijn — voor elke klant. Dat hoort bij het transparantiebeginsel van de AVG.
• Toestemming via cookies/tracking: Zorg dat je cookietoestemming conform de wettelijke eisen is. Wil je weten wat deze zijn? Lees dan dit artikel van de AP: vuistregels van de AP

Conclusie & advies aan webshops

Met het boetebesluit tegen Netflix is duidelijk geworden dat ook grote internationale bedrijven niet wegkomen met vage of generieke privacy-informatie. Webshops — groot of klein — doen er goed aan hun privacybeleid regelmatig te evalueren, actualiseren en waar nodig aan te scherpen.

Als webshop wil je laten zien dat je privacy écht serieus neemt. Niet alleen om boetes te voorkomen, maar vooral om vertrouwen op te bouwen met je klanten. Een cookietoestemmingsmodule en privacyverklaring zijn géén eenmalige formaliteiten, maar een eerste kennismaking van een consument met jouw webshop en een belofte.

Heb je zelf twijfels over jouw privacyverklaring of cookietoestemming? Dan is nú het moment om te kijken of alles voldoet. Niet alleen juridisch, maar vooral ook qua transparantie en duidelijkheid naar je klant toe.

Stel je vragen aan onze legal afdeling via: juridisch@thuiswinkel.org

Daarnaast kan ook onze business partner Cookiefirst je verder helpen. Cookiefirst scant en laat je de toestemming van je website-bezoekers monitoren en beheren.