“Consumenten zijn zich nog weinig bewust van hun privacyrechten,” zo was te lezen op NOS.nl, op 29 januari j.l. Wij zouden daar aan toe kunnen voegen dat Opdrachtgevers en Uitvoerders vermoedelijk zich ook onvoldoende beseffen wat de verandering in onze wetgeving, op 25 mei a.s. met zich mee gaat brengen. Op die datum gaat namelijk de Algemene verordening gegevensbescherming (AVG) in. Deze wet richt zich op de bescherming van persoonsgegevens van consumenten en is een verscherping van de bestaande privacywet (Wbp).
Jouw Shopify webshop en privacy
Wat betekent dat voor jouw Shopify webshop en privacy? Of willekeurig welk ander platform dat je gebruikt? Kort gezegd heeft de nieuwe wet als gevolg dat je als webshop alleen nog data op mag slaan die écht nodig zijn. Een bezorgadres is natuurlijk nodig, maar bijvoorbeeld het geslacht of de geboortedatum van de besteller in de meeste gevallen niet. Het invullen van dergelijke gegevens mag je dus niet meer verplicht stellen, na 25 mei 2018. Klanten moeten een bestelling kunnen plaatsen zonder de extra gegevens in te hoeven vullen.
Europees Recht
Wat ging hieraan vooraf? Een Europese wet*, die consumenten moet beschermen in hun privacy en die onder meer het risico op identiteitsfraude moet tegengaan. Dit heeft ook z’n effect op de webshopbranche. Er is namelijk sprake van het omdraaien van bewijslast in bepaalde gevallen. Dat betekent dat de consument niet hoeft te bewijzen dat een ondernemer haar gegevens niet goed beschermt, maar dat de ondernemer moet laten zien dat zij dat wél doet! Aanvullende regels gelden nog indien de informatie de Europese Unie verlaat.
Persoonsgegevens
Het begrip persoonsgegevens kan heel ruim geïnterpreteerd worden, en dat doet de overheid in deze instantie ook. Alle gegevens die iemand identificeerbaar maken vallen daaronder. Hier kunnen zelfs online pseudoniemen onder vallen, bijvoorbeeld in het geval dat de persoon op een bepaalde manier behandeld wordt, op basis van gedragsgegevens die aan de naam gekoppeld worden. Ook IP-adressen, MAC-adressen, tracking cookies, etc. vallen in deze wet onder persoonsgegevens, die beschermd dienen te worden. Hoe deze persoonsgegevens verwerkt en bewaard mogen worden, is wat de AVG tracht te reguleren.
Wat verandert er?
De overheidsinstantie die hier over gaat heet de Autoriteit Persoonsgegevens (AP). Je moet je “compliance” met de AVG regelen en desgevraagd aan deze AP kunnen tonen. Onder meer wordt er geëist dat er een privacybeleid met het daarbij behorende verwerkingsregister wordt opgesteld, over de wijze waarop je gegevens verwerkt en de verwerkingen zelf. Bijvoorbeeld over welke gegevens van klanten er worden verzameld en wie daar wel of geen toegang tot hebben en op welke manier. Hiervan kan bewijs gevraagd worden. Het kan zijn dat in jouw branche het zelfs verplicht is een specialist in de arm te nemen om je in dit traject te begeleiden, de zogenaamde Functionaris Gegevensbescherming.
Privacy by Design
Bovendien moet je bij de ontwikkeling van je interne processen al rekening houden met de eisen van de AVG. Privacy by Design, wordt dat genoemd. Hierdoor is een datalek veel beter te voorkomen dan wanneer dit achteraf gepatcht moet worden. Doet er zich toch nog een datalek voor, dan moet dit vervolgens nu ook actief bij verschillende partijen gemeld worden. Houdt men zich niet aan de wet, dan staan daar in dit geval ook zeer forse boetes op, die in de miljoenen kunnen lopen. Laat je goed voorlichten over hoe jouw Shopify webshop zo goed mogelijk beveiligd kan worden. Benieuwd naar wat de AVG voor jouw webshop/organisatie betekent? Vraag een AVG-informatiesessie bij West Point Digital aan en krijg eerstehands gedetailleerde informatie, bij jou op locatie! Neem contact met ons op voor de details en vraag de sessie aan
* General Data Protection Regulation (GDPR) 2016/679 of the European Parliament and of the Council of 27 April 2016.
