Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Deze nieuwe privacywet heeft ook een enorme impact op webshops. Zo heb je als webwinkelier straks bij alle verwerkingen van persoonsgegevens die er binnen je organisatie plaatsvinden een verantwoordingsplicht tegenover de Autoriteit Persoonsgegevens (AP). Hieronder geven we kort weer wat deze plicht inhoudt, en hoe je hier via een verwerkingsregister aan kunt voldoen.
In de AVG staat vermeld dat persoonsgegevens moeten worden verwerkt op een wijze voor de betrokkene (bijvoorbeeld een consument) rechtmatig, behoorlijk en transparant is. De verwerkingsverantwoordelijke (bijvoorbeeld de webwinkel) is verantwoordelijk voor de naleving hiervan en moet dit kunnen aantonen (‘verantwoordingsplicht’). Je moet aan deze plicht voldoen door je gegevensverwerkingen te registeren in een privacy-administratie.
Daarnaast moet je kunnen laten zien dat je technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. Dit moet, indien mogelijk, ook in deze administratie worden opgenomen. Een van de meest handige manieren om een privacyregister bij te houden is in een (digitaal) verwerkingsregister.
De verplichte maatregelen waar je als webshop onder de verantwoordingsplicht uit de AVG aan moet voldoen, zijn:
Webwinkeliers kunnen er ook voor kiezen om extra maatregelen te nemen. Op deze manier kun je beter aantonen dat je aan de verantwoordingsplicht voldoet:
In het register houd je bij welke categorieën persoonsgegevens je verwerkt (bijvoorbeeld naw-gegevens of BSN), van wie je deze gegevens verwerkt (waaronder klanten of medewerkers) en met welk doel je deze verwerking uitvoert (zoals het afhandelen van een bestelling). Daarnaast moet je het volgende in je register opnemen:
Deze plicht geldt niet alleen voor grote organisaties (met meer dan 250 medewerkers); kleinere organisaties moeten dit register toch bijhouden wanneer zij bijzondere persoonsgegevens (zoals medische gegevens) verwerken, risicovolle verwerkingen uitvoeren of structureel persoonsgegevens verwerken. Dus als je bijvoorbeeld klantprofielen opstelt of grote hoeveelheden gegevens verwerkt, is het bijhouden van een register ook voor jouw organisatie verplicht. De AP moet dit register op verzoek kunnen ingezien.
Om je te helpen bij het voldoen aan bovenstaande verplichtingen met betrekking tot het verwerkingsregister, heeft Thuiswinkel.org in samenwerking met ICTRecht en PrivacyBlox de Thuiswinkel Privacytool ontwikkeld. Dit is een gratis en exclusief hulpmiddel voor leden waarmee zij zelfstandig de nieuwe wetgeving kunnen toepassen. De Thuiswinkel Privacytool helpt onder meer bij het opzetten en bijhouden van dit register. Gebruik de vragenlijst voor dataverwerkingen en houd al je verwerkingsactiviteiten zorgvuldig bij. Lees hier meer over de Thuiswinkel Privacytool.