25 juli 2017

AVG: De verplichtingen voor webshops

Vingerafdruk op toetsenbord AVG deel 2

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG, of General Data Protection Regulation (GDPR)) in werking. Deze nieuwe Europese privacywet biedt een betere bescherming van de persoonsgegevens van consumenten, met meer verantwoordelijkheden voor organisaties die met die gegevens werken en een ruimere bevoegdheid voor toezichthouders.

Thuiswinkel.org helpt haar leden op dit gebied graag verder. Dit doen we onder andere via een reeks artikelen waarin de nieuwe regels overzichtelijk uiteen worden gezet. In dit tweede artikel gaan we dieper in op de onderwerpen toestemming, bewaartermijnen, informatieverplichting en meldplicht datalekken. Voor de specifieke impact op de e-commercesector verwijzen we per onderwerp naar de relevante pagina in onze privacysectie.

Toestemming voor het verwerken van persoonsgegevens

Een toestemmingsverklaring is een van de basisprincipes voor het verwerken van persoonsgegevens onder de AVG. Dit houdt in dat de consument actief toestemming moet geven voor het verwerken van zijn gegevens. Dat kan bijvoorbeeld door het aanvinken van een hokje voor toestemming. Daarnaast mag je toestemming afleiden uit het klikken op akkoord na het invullen van een websiteformulier. Als organisatie mag je niet vooraf een hokje voor toestemming al aanvinken; de consument moet zelf een actieve handeling uitvoeren om toestemming te geven.

De toestemmingsverklaring moet in een begrijpelijke, gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gepresenteerd. Op zo’n manier dat het voor de consument, medewerker of andere betrokkene duidelijk is dat hij akkoord gaat met de verwerking van zijn persoonsgegevens. Daarnaast moeten betrokkenen te allen tijde hun toestemming kunnen intrekken.

Voor bepaalde vormen van gegevensverwerking stelt de AVG straks overigens zwaardere eisen aan toestemming. Zo mag profiling alleen wanneer de consument hier uitdrukkelijk toestemming voor heeft gegeven.

Lees hier meer over toestemming.

Bewaartermijnen

De AVG noemt geen kwantitatieve bewaartermijn, maar persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor ze zijn verwerkt of verzameld. Als de gegevens kunnen worden geanonimiseerd en identificatie van betrokkenen niet meer mogelijk is, mogen ze wel langer worden bewaard. Onder de AVG is het voor webshops dus van belang dat voor elke persoonsgegevensverwerking intern wordt vastgelegd hoelang en voor welk doel gegevens worden bewaard.

Lees hier meer over bewaartermijnen

Informatieverplichting

Onder de huidige richtlijn bescherming persoonsgegevens moeten degenen van wie persoonsgegevens worden verwerkt daarvan op de hoogte worden gesteld. Ook moet je aangeven op welke wijze deze verwerking plaatsvindt. Dit gebeurt nu vaak door een zogeheten ‘privacy policy’ op je  website te plaatsen.

Wanneer de AVG in werking treedt, moeten ook het doel van de verwerking, de wettelijke basis en de periode waarvoor de gegevens worden opgeslagen hierin worden opgenomen. Als het doel van de gegevensverwerking verandert, moet de betrokkene hierover worden geïnformeerd. Houd er rekening mee dat informeren niet hetzelfde is als om toestemming vragen. Voor sommige verwerkingen moet je nog wel apart om toestemming vragen en volstaat het verwijzen naar de privacy policy op de website niet (zie meer hierover onder toestemming).

Lees hier meer over de informatieverplichting.

Meldplicht datalekken

Met een datalek wordt een ongeoorloofde inbreuk op de persoonsgegevens van een organisatie bedoeld (opzettelijk of onopzettelijk). Hierbij kun je denken aan de vernietiging, een wijziging, het uitlekken of een onrechtmatige verwerking van deze gegevens. De meldplicht voor datalekken is op 1 januari 2016 in Nederland geïntroduceerd. Deze wet blijft met de komst van de AVG voor het grootste deel hetzelfde. Er worden wel strengere eisen gesteld aan de eigen registratie van datalekken door de organisatie die de persoonsgegevens verwerkt. Dit kan dus gelden voor jou als webshop of voor een derde partij als je de persoonsgegevensverwerking hebt uitbesteed. Daarnaast moet je de toezichthouder straks binnen een termijn van 72 uur op de hoogte stellen.

Lees hier meer over de meldplicht bij datalekken.