AVG GDPR en je website / shop

AVG GDPR en je website of webshop. Met betrekking tot de AVG ook wel GDPR is een veelgestelde vraag wat zijn de gevolgen voor mijn website en waar moet ik rekening mee houden. Hieronder treft u een korte samenvatting en enkele verwijzingen om u zo goed mogelijk voor te bereiden.

Regelgeving en boetes

De regelgeving wordt verscherpt en er wordt gesproken over hoge boetes. Deze boetes kunnen oplopen tot wel € 20.000 of maximaal 4% van de wereldwijde omzet. Een goede reden dus om je hierin goed te verdiepen. Immers je website is in veel situaties de basis waar veel klant / persoonsgegevens worden verzameld en opgeslagen. Bekijk hier het 10_stappenplan waarmee je je voorbereid op de AVG (Algemene verordening gegevensbescherming) of GDPR (General Data Protection Regulation).

Autoriteit Persoonsgegevens

De AVG / GDPR gaat natuurlijk veel verder dan alleen mogelijke consequenties van AVG GDPR en je website  / shop. Op de site van de Autoriteit Persoonsgegevens kan je alles terugvinden waaraan je als bedrijf dient te voldoen. Tevens vindt je hier een handige regelhulp.

Wat doe je met de persoonsgegevens?

Heb je een website / shop met:

  • inlogmogelijkheid
  • aanmeld formulieren
  • afrekenpagina
  • of andere mogelijkheden waarbij persoonsgegevens worden verzameld

Meestal worden deze gegevens opgeslagen, denk hierbij aan crm programma’s, boekhoudprogramma’s, marketing automation(nieuwsbrieven) de database van je klanten / bezoekers van je website / shop.

Vervolgens is het van belang hoe je met de verzamelde gegevens omgaat.

  • Wat ga je met de gegevens doen
  • Wie hebben er inzage / toegang tot de gegevens
  • Worden de gegevens wel / niet aan derden ter beschikking gesteld
  • Wie is er binnen de organisatie verantwoordelijk voor de gegevens

Klanten en bezoekers op je website / shop

Vrijwel iedere website /shop registreert gegevens via het aanmelden voor het ontvangen van een nieuwsbrief of gegevens die nodig zijn voor het leveren en verzenden van een gedane aankoop in de webshop.


Waar moet je op letten bij het verzamelen van persoonsgegevens?

Geef duidelijk aan waarvoor de gevraagde persoonsgegevens worden gebruikt.

Vraag alleen die (minimale)informatie die van toepassing is voor het omschreven doel. Bijvoorbeeld voor een elektronische nieuwsbrief heb je GEEN bsn nummer van iemand nodig tevens is een fysiek adres hierbij ook niet van toepassing. Geef ten alle tijde duidelijk aan voor welk doel de gevraagde gegevens zijn. Het is volgens de AVG niet toegestaan de gegevens voor een ander doel te gebruiken als dat je hebt aangegeven.

Privacy, welke derde partij heeft toegang tot de gegevens.

Gebruik je de verzamelde gegevens voor een nieuwsbrief of maak je gebruik van een online boekhoudprogramma etc etc. dan behoor je in je privacy verklaring te vermelden wat je met de persoonsgegevens doet en welke derde partijen hier toegang toe hebben. Geef in je privacy verklaring tevens aan bij wie men in je organisatie terecht kan voor inzage in hun persoonsgegevens. Overbodig om te vermelden dat er bij een nieuwsbrief sowieso sprake dient te zijn voor een uitschrijfmogelijkheid.

Veilige opslag

Voor het opslaan van persoonsgegevens ben je als organisatie verantwoordelijk. Constateer je een lek dan is er sprake van een meldingsplicht. Bij nalatigheid zijn de boetes enorm. Belangrijk is dus zorg te dragen voor een veilige opslag. Naast een betere waardering in de zoekmachines is Https is absoluut noodzakelijk voor een veilige verbinding. Nog geen SSL certificaat bekijk hier de mogelijkheden. Daarnaast dien je te zorgen voor het “up to date” zijn van de CMS en gebruikte modules / plugins.

Cookies

– Functionele Cookies
– Analytische Cookies
– Tracking Cookies
Functionele Cookies;
deze worden gebruikt voor een betere werking van je website daar is vanaf 25 mei geen aparte goedkeuring meer voor nodig aangezien deze geen persoonsgegevens opslaan.
Analytische Cookies;
Worden deze niet gedeeld en zijn de persoonsgegevens anoniem gemaakt zoals bijvoorbeeld bij Google Analytics of Piwik dan heb je ook hier vanaf 25 mei geen aparte goedkeuring meer voor nodig.
Tracking Cookies;
Gebruik je deze bij onder andere remarketing doeleinden om gebruikersprofielen op te bouwen, denk hier aan Google Adwords, social sharing diensten etc. dan moet je hiervoor goedkeuring vragen aan je bezoeker. Een melding waarin je aangeeft dit te doen is niet voldoende! Let op als je bezoeker aangeeft dit niet te willen dan MOGEN er GEEN trackingcookies geplaatst worden.

Verwerkersovereenkomsten

Eenieder die bij de persoonsgegevens kunnen zoals je bijvoorbeeld je boekhouder, hosting provider, marketing specialisten etc. daar dien je een verwerkersovereenkomst mee af te sluiten. Zitten hier verwerkers buiten Europa tussen dan zou je kunnen controleren of deze bedrijven zich hebben aangesloten bij het Privacy Shield. Dit is een overeenkomst tussen Amerika en de Europese Unie over de manier waarop persoonsgegevens worden verwerkt en beveiligd. Gerenommeerde bedrijven zoals oa. Google, Amazon en Mailchimp zijn hierbij aangesloten.

Verwijder data zodra dit mogelijk is

– afmelden nieuwsbrief data direct uit het systeem
– medewerker uit dienst verwijder zijn/haar useraccountDit geldt voor alle niet meer ter zake doende persoonsgegevens!