Is jouw webshop klaar voor de GDPR?


GDPR of AVG het klinkt je ondertussen wel bekend in de oren. Er wordt de laatste maanden inderdaad heel wat “fuzz” rond de AVG (“Algemene Verordening Gegevensbescherming” of de Engelse term “General Data Protection Regulation”) gemaakt die vanaf mei 2018 van kracht is. Linkedin staat vol met aankondigingen voor seminaries rond deze nieuwe privacywetgeving. Ook als webshopeignaar ontsnap je helaas niet aan deze nieuwe regelgeving. Wij vatten hieronder een aantal aandachtspunten voor u als online ondernemer samen.

Wat houdt de GDPR precies in?

Als online ondernemer moet je heel wat verplichtingen ten aanzien van jouw klanten vervullen. Zo moet jouw webshop een duidelijke en goed zichtbare privacyverklaring hebben en heb je de toestemming nodig van de personen van wie jij gegevens verwerkt. Deze personen hebben ook steeds het recht om hun gegevens in te zien, te wijzigen of te laten verwijderen. Je bent ook verplicht om een verwerkersovereenkomst te sluiten met de bedrijven die voor jou persoonsgegevens verwerken. Vergeet ook niet de gegevensbeschermingsautoriteit (privacycommissie) op de hoogte te brengen van een datalek.  

Hoe bereid ik mijn webshop op de GDPR voor?

Stap 1: maak een nieuwe privacyverklaring

Een steekproef leert ons dat heel wat webshops geen privacyverklaring hebben. Onder de nieuwe privacyverklaring is dit uit den boze. Zorg dat jouw (nieuwe) privacyverklaring tegen 25 mei 2018 klaar is. In een privacyverklaring staat zo onder meer welke persoonsgegevens je verwerkt en voor welk doel je deze gegevens verwerkt. Ook de verscheidene rechten (inzagerecht, aanpassingen, verwijderingen,…) van de “datasubjecten” worden in een privacyverklaring neergepend.

Tip: op het internet zijn er heel wat modellen te vinden en vaak niet op maat van jouw webshop. Hoewel deze modellen als een goeie inspiratiebron kunnen dienen, is het raadzaam om hiervoor contact op te nemen met jouw juridische partner.

Stap 2: plaats jouw nieuwe privacyverklaring zichtbaar op je webshop

De privacyverklaring moet heel eenvoudig te vinden zijn op je website. Het is aangewezen de privacyverklaring op een nieuwe afzonderlijke pagina te zetten. De link van deze pagina zet je onderaan in een footer en op elke plek waar je de persoonsgegevens verzamelt.

Tip: zorg ervoor dat jouw privacyverklaring in een footer is opgenomen op jouw website en laat op de homepage een “banner” verschijnen waarmee de bezoeker bevestigt dat hij er inderdaad mee heeft ingestemd. Veiligheidshalve laat je de bezoeker dit ook nog eens afvinken bij het plaatsen van een bestelling.

Stap 3: zorg voor een veilige omgeving

Zorg dat je de opgeslagen persoonsgegevens beveiligd zijn. Een SSL-certificaat is essentieel. Vergeet in dit verband niet de allerlaatste beveiligingsupdates van de gebruikte software en plugin.

Tip: regel een SSL-certificaat via je domeinhost. Dit is trouwens essentieel voor de zoekresultaten van jouw webshop op google.

Stap 4: wees duidelijk over de informatie die jij verzamelt

Op het moment dat gebruikers persoonsgegevens achterlaten op je website, moet het helder zijn waarom je deze persoonsgegevens nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website.

Tip: breng in kaart welke gegevens je verzamelt en waarvoor je deze gegevens verzamelt. Dit moet in de privacyverklaring worden vermeld.

Stap 5: zorg voor de mogelijkheid tot aanpassing, verwijdering en inzage van persoonsgegevens

Klanten moeten de gegevens die zij via jouw webshop achterlaten kunnen inzien, aanpassen of laten verwijderen. Personen met een gebruikersaccount kunnen wellicht al een aantal gegevens zelf inzien en wijzigen.

Tip: Verifieer of jouw softwareleverancier in deze mogelijkheid voorziet.

Stap 6: breng de toestemmingen van jouw klanten in kaart

Toestemming is een belangrijk aspect onder de nieuwe privacywetgeving. Je moet kunnen aantonen dat je effectief toestemming van jouw klanten voor de verwerking van hun gegevens hebt verkregen en waarvoor deze personen precies toestemming (“opt-ins”) hebben gegeven. Zo moet je dus een onderscheid kunnen maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magneet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het e-mailadres van deze bezoeker).

Stap 7: sluit verwerkersovereenkomsten met jouw leveranciers

Je hebt een vewerkersovereenkomst nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt.  Het gaat bijvoorbeeld om een overeenkomst met Google Analytics, MailChimp, hostingbedrijf,... Deze overeenkomsten bieden de garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.

Tip: maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Er bestaat een grote kans dat jouw leveranciers al zo’n overeenkomst hebben klaarliggen.