Over twee dagen is het zo ver, dan moeten alle bedrijven voldoen aan de nieuwe privacywetgeving: de General Data Protection Regulation (GDPR) oftewel de Algemene Verordening Gegevensbescherming (AVG). Als webshophouder ben je hier dus als het goed is al volop mee bezig, of zelfs al klaar. Maar de AVG is een complexe wetgeving en er komt heel wat bij kijken om er volledig aan te voldoen. We ontvangen dan ook nog aardig wat vragen, daarom zetten we in dit artikel nog even op een rijtje wat je als webshop moet doen om helemaal AGV-proof te zijn. Snowball kan voor jou je webshop screenen of je al voldoet, vraag de scan nu aan!
AVG en cookies
De cookie wall en pop-up zijn al een tijdje een begrip. Maar de regels rondom cookies worden binnen de AVG veel strenger. Een aantal dingen veranderen: de manier van informeren, de manier van toestemming vragen en hoe je de gegeven toestemming registreert.
- Informeren: Je moet vooraf in begrijpelijke taal en gemakkelijk toegankelijk informatie geven over de cookies die de website gebruikt. Een website moet toegankelijk blijven en mag geen cookies plaatsen totdat de bezoeker hier expliciet toestemming voor heeft gegeven. Een cookie wall voldoet daarom niet en alleen verwijzen naar de privacy statement evenmin.
- Toestemming: Zoals beschreven staat in de AVG moeten personen expliciet en door middel van een actieve handeling toestemming geven voor het registreren van hun persoonsgegevens, dus ook voor het plaatsen van cookies. Je mag daarom niet meer werken met een opt-out of al aangevinkte checkbox. Voor iedere cookie én doel moet apart toestemming worden gegeven, dus ook als een cookie voor meerdere doelen wordt gebruikt.
- Toestemming wijzigen: Je bezoeker moet met hetzelfde gemak als het geven van toestemming, de gegeven toestemming kunnen intrekken of wijzigen.
- Registreren: Als eigenaar van de website of webshop ben je verplicht om een log bij te houden van alle gegeven, gewijzigde en ingetrokken toestemmingen.
Dit heeft nogal wat voeten in aarde om te realiseren, gelukkig zijn er diverse tools die je kunnen helpen bij het correct verkrijgen en registreren van toestemming. Snowball adviseert je graag hoe je dit het beste kan aanpakken.
De rechten van jouw klanten
In de AVG is bepaald dat je voor alle gegevens die je verzamelt expliciet toestemming moet hebben van de betrokkenen, deze moet je goed registreren en je moet voor alle gegevens een goede reden hem om deze te verzamelen. Daarnaast zijn in de nieuwe wetgeving ook een aantal rechten voor de klanten geregeld:
- Recht op inzage: Personen hebben altijd het recht om in te zien welke persoonsgegevens van hen worden bewaard, maar ook met welk doel deze gegevens worden geregistreerd, aan wie de gegevens eventueel verstrekt worden en wat de herkomst is van de gegevens.
- Recht op aanvulling of aanpassing: Naast het inzien van hun persoonsgegevens, hebben personen ook het recht om deze gegevens aan te (laten) passen- of vullen.
- Recht om vergeten te worden: Dit recht betekent dat personen mogen eisen dat de van hen geregistreerde gegevens verwijderd worden.
Om ervoor te zorgen dat personen gebruik kunnen maken van deze rechten, moet je duidelijk vermelden hoe men inzage kan krijgen in hun persoonsgegevens, hoe zij deze kunnen (laten) wijzigen of hoe de gegevens verwijderd kunnen worden.
Privacy statement
Iedere site moet een privacy statement hebben. Hierin moeten in duidelijke en eenvoudige taal een aantal standaard punten worden vernoemd zoals identiteit van de onderneming, doel en rechtsgronden voor de verwerking en duur van opslag. Daarnaast kan het zijn dat je extra punten op moet nemen in je privacyverklaring, bijvoorbeeld als je bijzondere persoonsgegevens verwerkt. Onze partner WebwinkelKeur heeft een gratis Privacy Policy Generator. Voor hun leden hebben zij ook een GDPR-dashboard waarin je precies kunt bijhouden wat je (nog) moet doen om aan deze wetgeving te voldoen.
Beveiliging en verwerkersovereenkomsten
Alle persoonsgegevens die je verzamelt moeten goed beveiligd zijn. Snowball kan voor jouw webshop een security scan uitvoeren en eventuele zwakke plekken aanpakken. Een datalek moet je namelijk direct melden en kan voor behoorlijke imagoschade zorgen.
Naast je eigen beveiliging moet je ervoor zorgen dat partijen, zoals mailingprogramma’s, die voor jou persoonsgegevens verwerken, de beveiliging ook op orde hebben. Dit leg je vast in een verwerkersovereenkomst.