Elke ondernemer krijgt met de AVG te maken, of je nu wil of niet. Je hebt klanten en dus verwerk je persoonsgegevens. Al is het maar van een contactpersoon. Dus ook als webwinkelier heb je met deze nieuwe privacywet te maken. Na deze 8 stappen ben jij klaar voor de AVG
Persoonsgegevens
De AVG/GDPR draait om persoonsgegevens.
Iets is een persoonsgegeven als het informatie is die een persoon identificeert of kan identificeren. Natuurlijk zijn dat de gegevens waar je meteen aan zult denken, zoals een naam, adres, telefoonnummer en e-mailadres. Maar het zijn bijvoorbeeld ook het klantnummer dat jij of jouw systeem eraan geeft, een bestelnummer, de naam van een eenmaanszaak of VOF en het bijbehorende KvK- en BTW-nummer. Vraag je naar een verjaardag of geboortedatum om een kaartje of cadeautje te kunnen sturen? Ook dat is een persoonsgegeven.
Ontvang je gegevens om bijvoorbeeld gepersonaliseerde producten te kunnen maken, dan zullen dat vaak ook persoonsgegevens zijn.
-
Privacy (AVG) Masterclass€ 99,00
Grondslag voor verwerking
Je mag helemaal niet zomaar persoonsgegevens verwerken. Daar heb je een grondslag uit de AVG voor nodig.
Naam en adresgegevens voor de factuur en voor het op kunnen sturen van producten, dat zijn uiteraard gegevens die je nodig hebt om überhaupt een bestelling in behandeling te kunnen nemen. Hiervoor gebruik je dus de grondslag ‘noodzakelijk voor de overeenkomst’.
Het kan zijn dat je sommige gegevens ook voor andere doeleinden wil gebruiken dan alleen het afhandelen van een bestelling. Zo wil je klanten misschien wel nieuwsbrieven toesturen. Dan gebruik je daar ook een naam en e-mailadres voor. Dan maak je gebruik van de grondslag ‘gerechtvaardigd belang’ en dat is dan eigenlijk je marketingbelang.
Daarnaast heb je de wettelijke verplichting, de administratieplicht voor de Belastingdienst, om facturen tenminste 7 jaar te bewaren. Heb je mensen in dienst, dan moet je ook loonadministratie een aantal jaar bewaren. Voor deze verwerking maak je gebruik van de grondslag ‘wettelijke verplichting’.
Alleen gebruiken voor het doel
Je mag persoonsgegevens alleen verwerken voor het doel waarvoor je de persoonsgegevens hebt verkregen. Dat doel of die doelen moet je vooraf vaststellen en die moet je vermelden in je privacyverklaring. Je mag de persoonsgegevens niet opeens gaan gebruiken voor een ander doel. Je moet daar de betrokkene (de persoon van wie de persoonsgegevens zijn) eerst vooraf van op de hoogte stellen.
Dataminimalisatie en opslagbeperking
Je mag niet meer gegevens verwerken dan je nodig hebt. Ga dus niet maar om heel veel gegevens vragen als je nog niet weet wat je ermee gaat doen en je ze niet op dat moment per se nodig hebt.
Daarnaast mag je gegevens niet langer verwerken dan nodig. Facturen zou je bijvoorbeeld na 7 jaar moeten anonimiseren. Na die termijn is voor jou waarschijnlijk niet meer interessant om te weten aan wie de factuur is verstuurd, maar wil je misschien wel nog weten wat je verkocht hebt en voor hoeveel of wat de gemiddelde orderbedragen waren.
Gebruik je Google Analytics? Zorg dan ook dat je daar goed instelt dat er geen persoonsgegevens worden verzameld. In de blogpost over de AVG voor Bloggers heb ik daarvoor een stappenplan opgenomen.
Geanonimiseerde data mag je wel blijven verwerken. Omdat het geanonimiseerd is, zijn het namelijk geen persoonsgegevens meer.
Update januari 2022: Google Analytics wordt mogelijk verboden, ondanks de mogelijkheid te pseudonimiseren.
Beveiliging
Zorg dat je persoonsgegevens zo goed mogelijk beveiligt.
Zorg bijvoorbeeld dat er niet meer mensen bij de persoonsgegevens kunnen dan nodig, dat je veilige wachtwoorden gebruikt en deze regelmatig wijzigt, dat je gebruikmaakt van versleuteling en meer van dat soort zaken.
Je mag de beveiligingsmaatregelen zelf kiezen, zolang ze maar de gegevens voldoende beveiligen. Als de techniek vooruitgaat, moet jij dus de technische beveiligingsmaatregelen ook weer aanpassen.
Privacyverklaring
Je hebt een informatieplicht. Je moet de betrokkene informeren over wat je met zijn of haar gegevens doet. Dit moet in de basis schriftelijk gebeuren, waardoor de meeste organisaties ervoor kiezen dit in een privacyverklaring op te nemen.
Omdat het alleen een informatieplicht is, hoef je dus niet om akkoord te vragen op de privacyverklaring. Om op tijd te informeren is het verstandig je privacyverklaring in het bestelproces aan te bieden, bijvoorbeeld door een link naar de privacyverklaring te plaatsen in het bestelformulier en bij andere contactformulieren en het inschrijfformulier voor de nieuwsbrief, als je dat hebt.
-
Privacyverklaring€ 69,00
Verwerkingsovereenkomsten
Je deelt de persoonsgegevens met andere bedrijven. Denk aan de verzendmaatschappij die wel moet weten waar een brief of pakket naartoe moet. Ook de betaalprovider krijgt gegevens. De persoonsgegevens worden wellicht op je website opgeslagen. Je mailt misschien wel met je klanten. De boekhouder krijgt wellicht gegevens van je klanten te zien omdat de facturen ingeboekt moeten worden.
Met alle partijen die de persoonsgegevens te zien krijgen, ze opslaan of ze zelf nodig hebben om een overeenkomst uit te kunnen voeren, daarmee moet je een verwerkingsovereenkomst sluiten. Veel grote partijen zullen dit al geregeld hebben, waardoor het alleen nog een kwestie van opvragen is. Kleinere partijen zijn soms nog niet goed met de AVG bezig, waardoor je daarvoor zelf misschien nog een verwerkingsovereenkomst moet (laten) maken.
Het is zowel de verantwoordelijkheid van jou (de verwerkingsverantwoordelijke) als van de andere partij (de verwerker), om een goede verwerkingsovereenkomst te hebben. Als die overeenkomst ontbreekt, dan kunnen jullie daar beide voor beboet worden.
Overigens hoeft een verwerkingsovereenkomst niet altijd een aparte overeenkomst te zijn. Het mag ook opgenomen worden in algemene voorwaarden of een contract waarin ook andere zaken geregeld worden. Als de nodige afspraken maar worden gemaakt.
Verwerkingsregister
Daarnaast heb je nog een verwerkingsregister en een register van datalekken nodig.
Deze heb je nodig om aan de verantwoordingsplicht bij de Autoriteit Persoonsgegevens te kunnen voldoen.
Wees niet bang voor de handhaving
Natuurlijk moet je alles op orde hebben en daar in elk geval je best voor doen. Het gaat tenslotte om de persoonsgegevens van jouw klanten. Die nemen het je echt niet in dank af als hun persoonsgegevens op straat komen te liggen of in verkeerde handen komen. Identiteitsfraude is zo moeilijk niet en jij wil niet de volgende Facebook worden die erop wordt aangesproken de privacy van klanten niet op orde te hebben.
Ja, het is zo dat onder de AVG/GDPR veel gemakkelijker boetes uitgedeeld kunnen worden en dat de maximale hoogte daarvan veel hoger is dan hiervoor. Dat wil nog niet zeggen dat je bang hoeft te zijn dat jij ook zo’n hoge boete krijgt, omdat je toch iets vergeten bent.
Bij een controle is de kans groot dat je eerst een waarschuwing krijgt en dat je alsnog de kans krijgt om binnen een bepaalde termijn alles wel op orde te krijgen. Pas als je dat niet geregeld hebt voor die deadline, krijg je alsnog een boete. Die boete zal hoog zijn, omdat het wel voldoende moet afschrikken, maar je zult er nooit failliet aan gaan.