AVG / GDPR / EU privacywetgeving

AVG staat voor Algemene Verordening Gegevensbescherming. De Engelse term is GDPR ofwel General Data Protection Regulation. Dit is EU wetgeving bedoelt om de privacy van personen te beschermen. Deze wetgeving is altijd op u van toepassing indien u eigenaar bent van een webshop. Het is belangrijk dat u op de hoogte bent en ook de acties onderneemt die nodig zijn om aan de AVG wetgeving te voldoen.

Hier is meer informatie te vinden:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-voor-mkb-1
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving

De AVG gaat niet alleen over uw webshop, maar ook over hoe uw bedrijf omgaat met persoonsgegevens en de privacy van personen. Ik geef hieronder mijn persoonlijke interpretatie en samenvatting van de wetgeving voor webshop eigenaren. Dit is geschreven op 04-08-2021. LET OP: onderstaande is onder voorbehoud. Ik ben geen Jurist, en dit is geen Juridisch advies. De privacywetgeving is complex en aan verandering onderhevig. De eisen om aan de wetgeving te voldoen verschillen per bedrijf. Neem altijd contact op met een Jurist voor het beoordelen van uw specifieke situatie.

Net als het voeren van een goede boekhoudig is ook het voeren van een goede privacyboekhouding een verplichting voor webshop eigenaren. U kunt, net als bij de boekhoudcontrole, ook een controle in het kader van de privacywetgeving krijgen. Er worden regelmatig (flinke) boetes uitgedeeld voor het niet voldoen aan deze wetgeving.

Privacyverklaring en cookieverklaring

De AVG stelt eisen aan uw privacyverklaring. Hierin moet in ieder geval het volgende worden opgenomen:

  • Uw bedrijfsgegevens
  • Welke persoonsgegevens worden verwerkt (voornaam, achternaam, adres, ip-adres, BTW-nummer etc.)
  • Vermelden wat de reden is voor de verwerking van die persoonsgegevens
  • Welke beveiligingsmaatregelen heeft u genomen ter bescherming van die persoonsgegevens
  • Vermelden van het recht op inzage, aanpassing en verwijdering van de persoonsgegevens (het recht om vergeten te worden)
  • Het gebruik van Cookies (opnemen in de privacyverklaring of in een aparte cookieverklaring). U kunt via deze link meer lezen over cookies. Het is altijd nodig om het gebruik van cookies te vermelden en waarvoor ze gebruikt worden. Dit is ook nodig indien u geen cookiemelding hoeft te geven. U moet ook vermelden of uw webshop Google Analytics gebruikt en of Google Analytics wel of niet privacyvriendelijk is ingesteld.
  • Ook het gebruik van de diverse vormen van tracking, marketing, pixels, profiling, remarketing, analyse, facebook ads, likes, shares, youtube etc. moet u allemaal vermelden.

Via Google zijn er diverse opzetjes te vinden van een privacyverklaring of een cookieverklaring. Ook zijn er zogenaamde generatoren waarmee u een verklaring kunt laten genereren zoals deze https://veiliginternetten.nl/privacyverklaring. Ook de diverse webshop keurmerken bieden vaak hulp aan bij het opstellen van een privacyverklaring. Het is altijd aan te raden een Jurist te raadplegen voor een goede privacyverklaring die is afgestemd op uw bedrijfssituatie.

Verwerkersovereenkomsten

Het is verplicht om verwerkersovereenkosten af te sluiten met alle verwerkers van uw persoonsgegevens. Een verwerker is elk bedrijf dat toegang heeft tot de persoonsgegevens van uw bezoekers, klanten en/of personeel. Enkele voorbeelden van persoonsgegevens zijn: Voornaam, Achternaam, Adres, BTW-nummer, IP-adres, Emailadres etc. Het is uw eigen verantwoordelijkheid dat deze overeenkomsten worden gesloten. Deze verwerkersovereenkosten moet u kunnen laten zien bij een eventuele controle. Veel bedrijven gebruiken een standaard verwerkersovereenkomst die u online kunt accepteren. Verwerkers waarmee een verwerkersovereenkomst moet worden afgesloten zijn bijvoorbeeld:

  • Google Analytics. (klik hier voor de handleiding)
  • Google Adwords
  • Facebook Ads
  • Het hostingbedrijf
  • Het backupbedrijf
  • De boekhouder
  • Leverancier boekhoudsoftware
  • De webdesigner (klik hier voor mijn verwerkersovereenkomst)
  • Verzendbedrijf (PostNL, Sendcloud, UPS etc.)
  • Beoordelingsbedrijf (reviews)
  • Betalingsverwerker (Mollie, MultiSafePay, Sisow etc.)
  • BTW-controle dienstverlener (Plugin)
  • Postcode controle dienstverlener (Plugin)
  • Koppelingen met marktplaatsen zoals Koongo, Google Shopping, Bol.com, Beslist.nl etc.
  • Nieuwsbrieven, MailChimp etc.
  • etc.

Meer informatie https://www.justitia.nl/privacy/verwerkersovereenkomst

Inventariseren verwerking persoonsgegevens

De AVG gaat niet alleen over uw webshop maar ook over hoe u als bedrijf omgaat met de privacy van uw klanten, personeel en bezoekers. Neem dus uw bedrijf goed onder de loep en leg alles vast in een privacybeleid. Het is verplicht een inventarisatie te maken van de verwerking van alle persoonsgegevens binnen uw eigen bedrijf en dit te documenteren. Deze documentatie moet u kunnen laten zien bij een eventuele controle. Hier is meer informatie over het opzetten van een verwerkingsregister https://www.justitia.nl/privacy/verwerkingsregister

Denk aan:

  • Welke persoonsgegevens worden opgeslagen (voornaam, achernaam, ip-adres, emailadres etc. zijn persoonsgegevens. Maak hier een overzicht van)
  • Waar worden persoonsgegevens opgeslagen (laptop, PC, backups, hostingbedrijf, boekhouder, mailbedrijf etc.)
  • Waarom worden deze persoonsgegevens opgeslagen
  • Voor hoelang worden deze persoonsgegevens opgeslagen
  • Overzicht van welke externe bedrijven toegang hebben tot de persoonsgegevens (verwerkers en verwerkersovereenkomsten) (ook software koppelingen en plugins)
  • Hoe zijn de persoonsgegevens beveiligd binnen uw bedrijf. Welke privacy protocollen worden nageleefd?
  • Protocol / draaiboek voor datalekken
  • Is er een Functionaris Gegevensbescherming? Zo Nee waarom niet? Zo Ja, wie is dat en wat zijn zijn taken?
  • Zijn computers en laptops goed beveiligd (password, virusscanner, passwordmanager etc.). Wie heeft er toegang tot de PC en de laptops?
  • Worden bestanden met persoonsgegevens niet per e-mail verstuurd en zijn ze goed beveiligd?
  • Sommige persoonsgegevens zoals geslacht en geboortedatum zijn extra gevoelig. Is het echt nodig dit te bewaren? Zo ja, geef een motivatie

Meldplicht datalekken

Indien er sprake is van een datalek dan dient u dat binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. U kunt een melding doen via dit formulier. Indien er persoonsgegevens in verkeerde handen zijn gekomen dan dient u de betrokken personen op de hoogte te stellen. Indien de inloggegevens van uw webshop klanten in verkeerde handen zijn gekomen dient u die klanten daarover te informeren zodat zij hun password kunnen veranderen. Het is belangrijk om na een hack of een datalek alle wachtwoorden te veranderen zodra de hack is verholpen. Denk aan:

  • Magento wachtwoorden van alle accounts
  • Magento database wachtwoord (dat kan ik of het hostingbedrijf voor u veranderen. In de database staan de klantgegevens)
  • Integratie wachtwoorden (externe koppelingen zoals boekhouding, verzendbedrijf etc)
  • Email wachtwoorden
  • Hostingpanel wachtwoord (Cpanel, DirectAdmin etc.)
  • FTP, SFTP en SSH wachtwoorden
  • Wachtwoorden bij externe partijen (hostingbedrijf, verzendbedrijf, betaalprovider etc.)
  • Eventuele Public en Private keys verwijderen en opnieuw aanmaken
  • SSL certificaten opnieuw laten uitgeven

Het is verstandig om regelmatig de bestanden van uw Magento installatie te (laten) controleren op Malware, Hacks en Virussen. Dat kan ik of het hostingbedrijf voor u verzorgen. Het is ook zeker aan te raden uw eigen laptop, PC en telefoon te voorzien van een goede virusscanner en een firewall. Scan regelmatig alle bestanden op uw apparaten. Daarnaast is het beter om helemaal niet te klikken op links in emails, SMS of whatsapp. Dat is een bekende manier om uw apparaat te infecteren met malware.

Het is ook sterk aan te raden een password manager te gebruiken voor het veilig beheren van uw wachtwoorden. Documenten met persoonsgegevens of wachtwoorden kunt u beveiligen met een wachtwoord. Wachtwoorden kunt u beter nooit emailen of appen. Gebruik altijd een verschillend wachtwoord voor elk account en gebruik lange wachtwoorden met letters, cijfers en andere tekens (&%$# etc). Gebruik niet ‘welkom1’ of uw eigen (bedrijfs) naam etc. als wachtwoord. Dat is het eerste wat geautomatiseerde hackers proberen. Gebruik bij voorkeur een wachtwoord generator als die beschikbaar is.

Om datalekken te voorkomen is het aan te raden om Magento regelmatig bij te werken naar de nieuwste versie. Ongeveer elke 3 tot 6 maanden verschijnt er een nieuwe versie van Magento die ook beveiligingsupdates bevat. Naast het updaten van Magento is het aan te raden om ook alle plugins regelmatig te laten updaten.

Nieuwsbrieven

Het verzenden van nieuwsbrieven is gebonden aan strenge regels volgens de AVG wetgeving. Indien u een externe partij gebruikt voor het verzenden van nieuwbrieven dan is een verwerkersovereenkomst verplicht met deze partij (denk aan MailChimp). Privacygevoelige gegevens van uw klanten (naam, email etc.) worden immers doorgegeven aan deze externe partij en dat mag niet zonder verwerkersovereenkomst. In de verwerkersovereenkomst moet bijvoorbeeld worden vastgelegd dat de persoonsgegevens niet mogen worden verkocht of doorgegeven aan andere partijen.

U mag alleen marketing mailings verzenden naar personen indien u expliciete toestemming heeft verkregen van deze personen (een Opt-in). Deze toestemming dient te worden geregistreerd in een logboek. Bij een controle dient u dit logboek te kunnen overleggen. Personen moeten eenvoudig de toestemming weer kunnen intrekken (Opt-out) waarna u die personen geen nieuwsbrieven meer mag mailen. De regels voor het verzenden van functionele emails aan uw klanten (zoals bestelbevestiging, factuur, track en trace mail etc) zijn aan minder strenge regels gebonden.