Algemeen
2 februari 2018 door Marcel

AVG wet 2018: wat te doen als webshophouder

Het komt snel dichterbij: het moment waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing wordt in alle landen die lid zijn van de Europese Unie. De AVG wet zal op 25 mei 2018 gaan gelden, en dat moment komt snel dichterbij.

De AVG wet of GDPR?

Het ene moment wordt het de AVG wet genoemd, het andere moment de Global Data Protection Regulation (GDPR). GDPR is simpelweg de Engelse benaming voor de AVG wet, vandaar dat wij het ook over de AVG gaan hebben in dit blog.

Wat schrijft de AVG wet voor?

Maar wat betekent de AVG wet uiteindelijk voor jou, als webshop zijnde? Ook als webshophouder moet je jezelf de vraag stellen of de AVG wet op jou van toepassing is. Persoonsgegevens omvatten zeer veel informatie, van een ip adres tot aan bijvoorbeeld de verjaardag van een klant.

Waar je op moet letten bij de verzameling van gegevens;

  • Gegevens mogen alleen voor een specifiek doel verzameld worden, die gerechtvaardigd zijn en duidelijk worden omschreven.
  • Er mag niet meer worden verzameld dan nodig is (minimale gegevensverwerking).
  • De gegevens moeten correct en up-to-date zijn.
  • De gegevens mogen niet langer worden bewaard dan nodig is.
  • Ze moeten worden beschermd tegen onrechtmatig gebruik.

Wat daarbij zeer belangrijk is, is dat de verwerking van persoonsgegevens “rechtmatig, behoorlijk en transparant” plaats vindt. Dat betekent dat webshops vanaf 25 mei 2018 de klant moeten informeren over alle informatie die er wordt verzameld of gebruikt, en hoe de veilige opslag van deze informatie wordt gewaarborgd.

Wanneer is de AVG wet op mij van toepassing?

Een interessant onderdeel van de AVG wet is het feit of iemand de verwerkings verantwoordelijke is, of niet. Afhankelijk daarvan wordt namelijk duidelijk wie er verantwoordelijk wordt gehouden voor de veilige opslag van bepaalde gegevens. Om dit te weten te komen, moet je jezelf de volgende drie vragen stellen;

  1. Verwerk ik gegevens?*
  2. Zijn dit persoonsgegevens?*
  3. Verwerk ik die (gedeeltelijk) geautomatiseerd, worden deze in een bestand opgeslagen of zijn ze hier bestemd voor?*

Stel je verwerkt gegevens, dan is de daaropvolgende vraag, zijn dit persoonsgegevens? Als deze persoonsgegevens onder de AVG wet vallen, dan is het tot slot belangrijk om na te gaan of je de verwerker van de gegevens bent of de verantwoordelijke.

Ter illustratie schetsen we de volgende situatie:

Je hebt als webshop zijnde een partij (webbureau) ingehuurd welke voor jou de e-mailcampagnes beheert. Dit webbureau voert voor jou de campagnes uit, met bijvoorbeeld, MailChimp. Dit webbureau logt dan in met een beheerdersaccount en zet campagnes op, waarvoor de gegevens van jouw klanten worden gebruikt.

Dat komt dan neer op de volgende verantwoordelijkheid:
Klant – Persoonsgegevens
Verwerker – Webbureau
Verantwoordelijke – Webshop

Je begrijpt dat hier goede afspraken over gemaakt dienen te worden. Ook is het verplicht om hiervoor een verwerkersovereenkomst voor op te stellen.

Bereid je voor op 25 mei

Er zijn een aantal zaken van belang, bij de voorbereiding op de AVG wet. Het begint bij ‘Privacy by design’. Dit houdt in dat er bij het ontwerpen van een product, dienst en in dit geval, je webshop, rekening gehouden dient te worden met de AVG wet. Wanneer iemand bijvoorbeeld een account aanmaakt in de webshop, mogen alleen benodigde gegevens verzameld worden. Dus niet, als dat niet nodig is, de geboortedatum.

Vervolgens moeten deze zaken (data) beveiligd worden en er moet een register opgesteld worden waarin staat hoe deze gegevens bewaard worden. Kijk voor een volledig overzicht van de te nemen stappen naar het Stappenplan AVG van de Autoriteit Persoonsgegevens.

Een functionaris voor gegevensbescherming (FG), heb ik die nodig?

Met de komst van de AVG wet kan het mogelijk verplicht zijn om een functionaris voor gegevensbescherming (FG) aan te stellen. Dat is het geval wanneer er aan één van de onderstaande drie voorwaarden wordt voldaan:

  1. “Je bent een overheidsinstantie of overheidsorgaan”
  2. “Je bent hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen”
  3. “Je bent hoofdzakelijk belast met verwerkingen die de grootschalige verwerking van bijzondere categorieën van persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten behelzen”

Het is duidelijk dat een overheidsinstantie in ieder geval een FG (in het Engels, Data Protection Officer, DPO) dient aan te stellen. De schaalgrootte wordt niet precies gedefinieerd en dat maakt het lastig om te zeggen wanneer er nu wel of niet een FG aangesteld dient te worden wanneer je onder punt 2 valt. Met punt 3 worden bijvoorbeeld ziekenhuizen bedoeld, welke uiteraard over gezondheidsdata van personen beschikken.

Om problemen voor te zijn, kan het dus als webshop met enige omvang, raadzaam zijn om een FG aan te stellen. Dit hoeft dan niet per sé een FG in vaste dienst te zijn, maar dit kan ook gerust een FG zijn die wordt geoutsourced.

Wat betekent de AVG wet voor een webshophouder?

Hopelijk hebben wij de vraag of de AVG wet op jou van toepassing is, in ieder geval voor een gedeelte kunnen beantwoorden. De wet schrijft momenteel namelijk nog niet één op één voor wie de wet wel geldt en voor wie juist niet.

Het moge duidelijk zijn dat er in ieder geval een grote verantwoordelijkheid ligt bij webshops, maar ook bij elke andere organisatie. De consument wordt beter beschermd, krijgt meer inzicht in hoe of waar zijn of haar gegevens worden bewaard en zal hier veel kritischer in worden.

Mocht jij als klant van Tickles nog vragen hebben omtrent de AVG wet, neem dan gerust contact met ons op. Dat mag per telefoon of mail mij! 😉

Bron: Algemene Verordening Gegevensbescherming 2018*
Bron: De AVG in een notendop, Autoriteit Persoonsgegevens**
Bron: Stappenplan_avg_online, Autoriteit Persoonsgegevens***