Doelstelling van de nieuwe GDPR wetgeving
De nieuwe wetgeving heeft als doelstelling om de privacy van consumenten beter te beschermen. De gedachte is dat organisaties en bedrijven die persoonsgegevens opvragen bij hun klanten hier zorgvuldig mee om dienen te gaan en transparant over moeten communiceren. Ook moeten consumenten altijd in staat zijn hun eigen gegevens in te zien, te wijzigen en desgewenst te kunnen verwijderen (het recht om vergeten te worden). Wie zich niet aan de nieuwe wetgeving houdt, riskeert flinke boetes!
Wat moet je doen als webwinkeleigenaar?
Sowieso is het van belang dat je je als webshopeigenaar gaat verdiepen in deze wetgeving. Als eigenaar ben je immers hoofdverantwoordelijk voor de verwerking en het gebruik van de klantgegevens van je webwinkel. Maar ook de correcte informatievoorziening hieromtrent is in eerste instantie jouw verantwoordelijkheid. Desalniettemin vormt Expotis Webshop als leverancier van je webwinkelsoftware uiteraard een belangrijke partij. Daarom geef ik hieronder alvast een lijst van aanbevelingen om ervoor te zorgen dat we samen straks netjes en tijdig voldoen aan de GDPR.Zet een privacyverklaring op je site
Als je die nog niet had, maak dan een duidelijke pagina met je privacyverklaring (of privacy policy) in je webwinkel. Via het Expotis Webshop CMS kun je eenvoudig een nieuwe contentpagina toevoegen en deze opnemen in bijvoorbeeld het footer menu.Vraag toestemming aan je klanten om persoonsgegevens te verwerken
In je webwinkel zijn er een aantal formulieren waar je in de begeleidende tekst expliciet zult moeten maken dat je de naam, het e-mailadres en de adresgegevens van je klant opslaat in jouw systeem: het algemene contactformulier, het interesseformulier bij een artikel, de inschrijving voor de nieuwsbrief, de registratie van een nieuwe klantaccount en in het bestelproces. Via het Expotis Webshop CMS kun je dit in de paginateksten opnemen van de betreffende formulieren. Handig is het om op deze plekken in elk geval via een link te verwijzen naar de privacyverklaring die ook al in je footer staat.Vertel wat je doet met die persoonsgegevens
Je hebt de plicht om aan je klanten te informeren waarom je hun persoonsgegevens vraagt en wat je ermee gaat doen. In het Expotis Webshop systeem hebben we het dan wederom over de bij het vorige punt genoemde formulieren. Denk bijvoorbeeld aan de opname van een zin als: "Wij slaan uw naam, e-mail, telefoon en adresgegevens op om uw bestelling te kunnen afhandelen en om met u te kunnen communiceren over de status van uw bestelling. Tevens moeten wij uw naam en adresgegevens delen met onze koerier zodat uw bestelling naar u verzonden kan worden".Klanten moeten hun gegevens kunnen aanpassen
In het Expotis Webshop systeem is dit reeds geregeld voor klanten die een account aanmaken (registreren). Via de klantlogin en vervolgens de knop 'Mijn account' kunnen je klanten hun eigen gegevens inzien en eventueel wijzigen. Het gaat dan om de persoonlijke gegevens: voornaam, achternaam, e-mail, telefoon, postadres, (eventueel) afleveradres en (eventueel) bedrijfsnaam + BTW nummer.
Klanten die een bestelling doen zonder account worden echter ook in de relatiedatabase opgeslagen. Voor deze klanten zal er op de site een mogelijkheid komen om toch in te loggen en de eigen gegevens te kunnen wijzigen. Expotis pakt dit op korte termijn op.Klanten moeten hun gegevens kunnen verwijderen
Dit wordt ook wel genoemd 'het recht om vergeten te worden'. Expotis zal op korte termijn in het 'Mijn account' gedeelte ook een functie toevoegen om de account geheel te verwijderen. Daarmee wordt de gehele klantrelatie uit het systeem verwijderd. Een notificatie zal dan eenmalig worden verstuurd aan zowel de webshopeigenaar als de klant zelf. In je privacyverklaring dien je bovendien uitleg te geven hoe je als klant je account kunt verwijderen.Sluit bewerkersovereenkomsten af
Met partijen die toegang hebben tot klantgegevens die door jouw webshop verzameld zijn, dien je een bewerkingsovereenkomst (ook wel Data Processing Agreement, DPA genoemd) op te stellen. Voor jou als gebruiker van het Expotis Webshop systeem is Expotis dus zo'n partij. Expotis heeft namelijk in principe ook toegang tot jouw klant- en bestelgegevens. Maar ook je payment provider (Sisow, Buckaroo), je koerier (PostNL, DHL, SendCloud) en bijvoorbeeld MailChimp zijn zulke partijen.Zorg voor een goede cookiemelding
Als je werkt met Google Analytics, Facebook pixels of andere tracking van je gebruikers is een cookiemelding helaas verplicht. De meeste Expotis webwinkels hebben er inmiddels eentje gekregen. Als die van jou nog ontbreekt, neem dan even contact op.Zorg voor een SSL certificaat
Gelukkig hebben alle Expotis webwinkels tegenwoordig standaard een SSL certificaat waardoor de webshop beveiligd is met https. Zie ook Performance en veiligheid. In enkele gevallen kan het echter zo zijn dat dit SSL certificaat alleen is geïnstalleerd op het hoofddomein (met de hoofdtaal) en nog niet voor je tweede domein (in de tweede taal) als daar althans sprake van is. Als dat zo is, neem dan even contact op.Encryptie van gevoelige gegevens
Gevoelige gegevens zoals wachtwoorden of credit card nummers dienen altijd versleuteld opgeslagen te worden. In het Expotis Webshop systeem gaat het in feite alleen om wachtwoorden van klantaccounts. Deze worden gelukkig reeds geruime tijd al versleuteld opgeslagen in de database. Andere gevoelige gegevens zoals bankrekening- of creditcardnummers worden niet in het Expotis Webshop systeem opgeslagen maar bij de banken en payment providers.Registratie van nieuwsbrief opt-in
Het wordt verplicht om te registreren waar en hoe je klanten zich hebben ingeschreven voor de nieuwsbrief. In het CMS zal hiertoe op korte termijn daartoe een log worden toegevoegd aan elke klantrelatie waarin terug te vinden is op welk moment en via welk formulier de klant in kwestie zich heeft ingeschreven voor je nieuwsbrief.Nieuwsbrief opt-out
Uiteraard moet je ook zorgen voor een heel duidelijke nieuwsbrief opt-out (uitschrijving). Sowieso is die mogelijkheid er al als je je nieuwsbrieven verstuurt met MailChimp via het unsubscribe-linkje onderaan elke nieuwsbrief.
Stuur nooit mails naar klanten die over iets anders gaan dan hun bestelling wanneer ze zich niet hebben aangemeld voor de nieuwsbrief.Leg je bewaarbeleid vast in de privacyverklaring
In je privacyverklaring dien je ook vast te leggen hoelang je je klantgegevens bewaart. Je mag klant- en bestelgegevens in principe vasthouden voor statistische doeleinden volgens de nieuwe wet. Maar hoe lang is dit in de praktijk? Daar is nu nog veel onduidelijkheid over. Voor het Expotis Webshop systeem is dit nu nog een lastige dus. Het is goed denkbaar dat we het zo gaan maken dat bestellingen van bijvoorbeeld meer dan X jaar geleden automatisch door het systeem verwijderd zullen worden. Of dat we van deze bestellingen enkel nog de gegevens m.b.t. wat er besteld is en voor welk bedrag bewaren, maar de persoonlijke naam- en adresgegevens automatisch gaan wissen na een bepaalde termijn. Wordt vervolgd...Meldplicht bij datalekken
Je hebt een meldplicht bij Autoriteit Persoonsgegevens om datalekken van persoonsgegevens te melden. Uiteraard is communicatie met Expotis hierin, mocht het voorvallen, ook van levensbelang.
Meer informatie over de GDPR / AVG
Hopelijk heb ik je goed op weg geholpen met bovenstaande aanbevelingen. Wanneer we samen onze verantwoordelijkheid nemen weet ik zeker dat de nieuwe privacywetgeving juist een kans biedt om je webwinkel beter op de wensen van je klanten af te stemmen. Hieronder staat nog een aantal links met meer informatie over de nieuwe wet en over welke stappen je als webwinkeleigenaar dient te nemen.- Frankwatching | Stoom je webshop klaar voor de AVG/GDPR [handig actieplan]
- Frankwatching | AVG & e-mailmarketing: de 10 meest gestelde vragen
- Frankwatching | Zo is je privacyverklaring AVG/GDPR-proof
- Thuiswinkel Waarborg | Algemene verordening gegevensbescherming
- Autoriteit Persoonsgegevens | AVG - nieuwe Europese privacywetgeving
- Juridox | Bewerkersovereenkomst
- AVG Regelhulp voor bedrijven
Ik heb geprobeerd een uiteenzetting te geven van de belangrijkste punten, maar ik ben geen (internet) jurist. Mist er belangrijk informatie in dit blog? Of staan er zaken hier beschreven die foutief zijn? Laat het mij dan weten. Aanvullingen en correcties worden zeer gewaardeerd.