Moet een webwinkel een privacy-administratie bijhouden?

Volgens de Algemene verordening gegevensbescherming (AVG) moet je als verwerkingsverantwoordelijke (dus ook als webshop) een privacy-administratie bijhouden. Zo moet je alle verwerkingsactiviteiten (dus het opslaan, kopiëren, inzien of doorsturen van persoonsgegevens) opslaan in een register. De Autoriteit Persoonsgegevens (AP) moet dit register op verzoek kunnen ingezien.

In het register houd je bij welke categorieën persoonsgegevens je verwerkt (bijvoorbeeld NAW of BSN), van wie je deze gegevens verwerkt (klanten of medewerkers) en met welk doel je deze verwerking uitvoert (zoals het afhandelen van een bestelling). Deze plicht geldt niet alleen voor grote organisaties (met meer dan 250 medewerkers); kleinere organisaties moeten dit register bijhouden wanneer zij bijzondere persoonsgegevens (zoals medische gegevens) verwerken, wanneer zij risicovolle verwerkingen uitvoeren of wanneer structureel persoonsgegevens worden verwerkt. Wanneer je (ook als kleine webshop) klantprofielen opstelt of grote hoeveelheden gegevens verwerkt, is het bijhouden van een register ook voor jouw organisatie verplicht. 

• De Thuiswinkel Privacytool helpt bij het opzetten en bijhouden van dit register. Gebruik de vragenlijst voor dataverwerkingen en houd al je verwerkingsactiviteiten zorgvuldig bij.