5 juli 2016

Nieuwe privacywet? Eerste hulp bij verwerking van klantgegevens

woord "identity" tussen code Bij het afronden van een bestelling verwerk je al snel een heleboel klantgegevens. Denk aan een naam, adres, bestelhistorie en e-mailadres. Maar wat mag je allemaal met die gegevens en wanneer heb je toestemming nodig van de klant voor die verwerking? Tijd om je als webshop voor te bereiden op de nieuwe Privacyverordening die dit vanaf mei 2018 zal regelen. Wanneer mag je persoonsgegevens verwerken? Thuiswinkel.org legt het uit.

Rechtmatig verwerken van persoonsgegevens

 De nieuwe Privacyverordening biedt handvatten voor bedrijven om rechtmatig met andermans persoonsgegevens om te gaan. Persoonsgegevens (zoals: een naam, een adres, een locatiegegeven of een klantprofiel) zijn gegevens die herleidbaar zijn tot een natuurlijk persoon. Het verwerken daarvan (bijvoorbeeld het vastleggen, inzien, opslaan of doorverkopen) mag alleen wanneer je dit rechtmatig, behoorlijk en transparant doet.

Waarom, hoe lang en hoe? 

Voor een rechtmatige verwerking is het belangrijk dat je rekening houdt met doelbinding, bewaartermijnen en beschermingsmaatregelen. Wat houdt dat precies in? 

  • Doelbinding: 
    Verzamelde persoonsgegevens mag je niet gebruiken voor een ander doel dan waarvoor je ze in eerste instantie verzameld had. Vraag je bijvoorbeeld het adres van je klant met het doel om hem een bestelling toe te sturen? Dan mag je dat adres vervolgens niet gebruiken om door te verkopen aan een adverteerder. Dat doel had je namelijk eerder moeten bepalen en op het moment van verzamelen van de gegevens al duidelijk moeten maken aan de klant.
  • Bewaartermijnen:
    Ook mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het doel waarvoor zij zijn verzameld. Wanneer je klant zich beroept op het herroepingsrecht, dan wil je na 14 dagen nog wel weten om welke klant en welke overeenkomst het ging. Een schoenmaat heb je, afhankelijk van het doel waarvoor je dit gegeven had verzameld, waarschijnlijk minder lang nodig.
  • Beschermingsmaatregelen:
    Als verantwoordelijke voor de verwerking van de gegevens moet je de nodige technische of organisatorische maatregelen nemen. Deze moeten zorgen voor een adequate bescherming van die gegevens, bijvoorbeeld tegen inbreuken van onbevoegden en het voorkomen van datalekken. Het is daarbij dus belangrijk dat je als organisatie op de hoogte blijft van technieken om voor een “normaal beveiligingsniveau” te zorgen. Doe je dat niet, dan ben je (inbreuk of geen inbreuk) al onrechtmatig bezig.

Rechtmatige verwerking en toestemming?

Tot slot moet er voor een rechtmatige verwerking nog sprake zijn van een wettelijke basis die het verwerken van persoonsgegevens rechtvaardigt. Toestemming van de consument is daar een goed voorbeeld van. Maar voor de e-commerce sector zijn er meer relevante wettelijke grondslagen denkbaar. Zo kan het verwerken van persoonsgegevens noodzakelijk zijn voor het uitvoeren van de overeenkomst, bijvoorbeeld bij het opslaan van een verzendadres, wat noodzakelijk is als er een pakketje naar verstuurd moet worden. Een ander voorbeeld is dat de gegevens noodzakelijk zijn om te voldoen aan een wettelijke verplichting, zoals een verplichte leeftijdscontrole. Tot slot kan het gerechtvaardigd belang van de ondernemer om een persoonsgegeven te verwerken een grondslag zijn. In deze laatste gevallen is geen toestemming van de klant vereist.
Geef uw mening