Verzamel en bewaar jij persoonsgegevens en/of financiële gegevens van jouw website- of webshop bezoekers? Dan ben je verplicht om aan de regels van de privacywet te voldoen. Voldoe je hier niet aan, dan is de kans aanwezig dat je hoge boetes moet betalen. In deze blog hebben we de eisen voor jou op een rij gezet en toegelicht, zodat je kunt checken of jouw website of webshop voldoet aan de gestelde eisen.
We maken allemaal veelvuldig gebruik van social media, apps en online shopping. Bij het gebruik van deze media worden onze persoonlijke gegevens vaak opgeslagen. Aan de ene kant is dit een voordeel, omdat producten en diensten zo beter afgestemd kunnen worden op specifieke wensen van personen. Aan de andere kant is het een risico wanneer persoonlijke gegevens niet veilig opgeslagen worden en derden eenvoudig toegang kunnen krijgen tot deze gegevens. Er zijn regelmatig datalekken in het nieuws, waarbij gegevens van een groot aantal personen op straat liggen of in de verkeerde handen zijn beland. Om deze reden is er een privacywet opgesteld, ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Deze wetgeving zorgt er onder meer voor dat bedrijven meer verantwoordelijkheid nemen in het zorgvuldig omgaan met en bewaken van persoonsgegevens.
Wanneer ben je precies verplicht om de AVG na te leven? Dit is altijd het geval als je persoonsgegevens verwerkt en personen kunt identificeren. Dus houd je een klantenbestand bij, regel je de personeelsadministratie, verstuur je een mailing of doe je ook maar iets gerelateerd aan persoonsgegevens? Dan zul je moeten voldoen aan de AVG. Ook het verwijderen of anonimiseren ervan valt onder het verwerken van persoonsgegevens. De AVG is niet van toepassing op een enkele handgeschreven aantekening waar toevallig wat persoonsgegevens op staan. Daarnaast zijn gegevens over bedrijven geen persoonsgegevens, maar let op dat ZZP-ers en/of eenmanszaken hier wél onder vallen.
In de AVG die in de Grondwet is opgenomen wordt bepaald hoe je persoonsgegevens mag verwerken en wanneer dit is toegestaan. Ook zijn de rechten die natuurlijke personen hebben over hun eigen persoonlijke gegevens vastgelegd. Afhankelijk van jouw rol bij het verwerken van persoonsgegevens zijn er bepaalde regels om je aan te houden. Er zit verschil in de regels wanneer je een verwerker bent of een verwerkingsverantwoordelijke.
Als je zelf in de hand hebt hoe je persoonsgegevens verzamelt en verwerkt ben je een verwerkingsverantwoordelijke. Een belangrijke eis is dat je alleen persoonsgegevens mag verwerken op een rechtmatige, transparante en behoorlijke manier. Je moet er dus voor zorgen dat je duidelijk omschrijft met welk doel je gegevens verwerkt én het doel moet overeenkomen met één van de zes grondslagen uit de AVG. De zes grondslagen luiden als volgt:
Je hebt toestemming van de betreffende personen om gegevens te verwerken
Gegevens moeten verwerkt worden om het contract met de betreffende personen uit te kunnen voeren
Je bent volgens de wet verplicht om gegevens te verwerken
Het verwerken van gegevens is van (acuut) levensbelang voor de betrokkene of iemand anders
Gegevens moeten verwerkt worden om een taak van openbaar gezag of algemeen belang uit te kunnen voeren
Het verwerken van gegevens is voor jouw eigen belang, wat zwaarder weegt dan de privacy van de betreffende personen.
Komt jouw doel overeen met één van de zes bovengenoemde grondslagen? Check dan ook de overige regels die op jou van toepassing zijn als verwerkingsverantwoordelijke:
Registerplicht: wordt er een overzicht bijgehouden van alle verwerkingen?
Informeren: laat personen altijd weten dat je persoonsgegevens van hem/haar verzamelt en verwerkt, inclusief welke rechten en plichten zij hebben
Juistheid: zijn alle verwerkte gegevens juist?
Dataminimalisatie: verwerk je niet meer gegevens dan nodig?
Beveiliging: worden alle persoonsgegevens goed beveiligd?
Duur: hoelang worden de persoonsgegevens bewaard?
Rechten: respecteer je de rechten van de betrokken personen?
Verwerker inhuren: heb je de afspraken schriftelijk vastgelegd?
Bescherming privacy: is jouw product of dienst erop gericht de privacy van personen zo goed mogelijk te beschermen?
Opslaan: persoonsgegevens mogen in principe alleen binnen de EU opgeslagen en verwerkt worden
Bewijs en argumentatie: kun je bewijzen en beargumenteren dat je voldoet aan de AVG?
Datalek: in het geval van een lek, schakel zo snel mogelijk de Autoriteit Persoonsgegevens in
Data Protection Impact Assessment: onderzoek is vereist wanneer het verwerken van persoonsgegevens een hoog risico hebben op de privacy van personen
Observatie van grote groepen: schakel een Functionaris Gegevensbescherming in
Privacybeleid: in het geval van risicovolle verwerkingen is een privacybeleid vereist waarin staat hoe je voldoet aan de regels voor gegevensbescherming.
In het geval van een verwerker worden er persoonsgegevens in opdracht van een verwerkingsverantwoordelijke verwerkt. Hier gelden andere regels voor, al komen een aantal gestelde regels overeen met de verwerkingsverantwoordelijke. Ben jij een verwerker? Check dan of je voldoet aan de volgende regels:
Registerplicht: houd je een overzicht bij van alle verwerkingen?
Beveiliging: check of alle persoonsgegevens goed beveiligd zijn
Inschakelen van derden: schakel alleen andere verwerkers in als je daar toestemming voor hebt van de verwerkingsverantwoordelijke
Opslaan: persoonsgegevens mogen in principe alleen binnen de EU opgeslagen en verwerkt worden
Datalek: informeer zo snel mogelijk de verwerkingsverantwoordelijke
Autoriteit Persoonsgegevens: als er medewerking benodigd is, zul je dit moeten verlenen
Observatie van grote groepen: als verwerker zul je ook een Functionaris Gegevensbescherming in moeten schakelen.
In sommige gevallen kun je beide rollen hebben voor verschillende verwerkingen. Let dan goed op de regels die in jouw geval gelden. Meer weten over de regels voor het MKB? Je vindt er meer over op de website van Autoriteit Persoonsgegevens.
Wanneer je als website- of webshop houder jouw bezoekers wilt tracken, zijn cookies benodigd. Dit zijn kleine bestanden die bijvoorbeeld op jouw homepage worden geplaatst, waardoor informatie over bezoekers en hun gedrag kan worden verzameld. Dit is waardevolle informatie, omdat je achter interesses kunt komen van bezoekers, specifieke profielen op kunt stellen en zo gerichter jouw producten en/of diensten kunt verkopen. Maar ook in dit geval mag je niet zomaar bezoekers tracken en zijn er natuurlijk regels aan verbonden. Er zijn verschillende soorten cookies die ingezet kunnen worden:
Deze cookies zijn toegestaan indien de website zonder deze cookies niet goed zou functioneren.
Analytische cookies die bijdragen aan de verbetering van jouw website zijn toegestaan, zolang ze geen of weinig gevolgen hebben voor de privacy van jouw bezoekers.
Alleen met toestemming van jouw bezoekers mag je andere cookies dan de twee bovengenoemde cookies plaatsen. In dit geval is het nodig om bezoekers duidelijk te informeren over welke informatie wordt verzameld, hoe deze wordt verzameld en wat je met deze informatie van plan bent. Dit moet expliciet vermeld worden op de website. Vervolgens zul je ze de keuze moeten geven om hiermee in te stemmen of niet. Als er geen toestemming gegeven wordt zijn alleen functionele en analytische cookies toegestaan die geen gevolgen hebben voor de privacy van de bezoeker.
Ben je erachter gekomen dat jouw website of webshop toch niet helemaal voldoet aan de eisen die worden gesteld? Voorkom dan problemen en/of boetes, en zorg ervoor dat je de zaken op orde hebt. Heb je hier hulp bij nodig? Vraag ons dan gerust om advies!
Geplaatst op 27 jan 2022