Matthew van der Kroef

De AVG komt eraan

Ieder gesprek bij de koffieautomaat gaat tegenwoordig over de AVG. Welke stappen moet je ondernemen en hoe groot is de impact op jouw business?

Een paar belangrijke aspecten die we zullen behandelen zijn:

  • Bewerkingsovereenkomst
  • Privacy Policy
  • Mogelijkheid tot afmelden klant
  • Nieuwsbrief dubbele opt-in
  • Cookies
  • Two-factor authentication
  • SSL-Certificaat


Bewerkingsovereenkomst

De bewerkingsovereenkomst richt zich op de verantwoordelijkheden wanneer verwerking van de persoonsgegevens door een ander bedrijf gebeurt. Hierin wordt tevens vastgelegd wie de “verantwoordelijke” en wie de “bewerker” is.

De “verantwoordelijke” is de partij die het doel van de verzamelingen van persoonsgegevens vaststelt. Denk bijvoorbeeld aan een bedrijf dat persoonsgegevens van de werknemers opslaat met betrekking op de salarisadministratie. Hiervoor zullen gegevens zoals adres, naam en rekeningnummer worden opgeslagen. Het bedrijf is zelf verantwoordelijk voor deze gegevens.

De “bewerker” is in dit geval een salarisadministratiekantoor. Zij verwerken de gegevens ten behoeve van de verantwoordelijke. In dit geval dus het bedrijf wat zijn salarisadministratie heeft uitbesteed aan het administratiekantoor.

Wanneer heb je een bewerkingsovereenkomst nodig?

Een bewerkingsovereenkomst is altijd noodzakelijk wanneer je als verantwoordelijke persoonsgegevens laat verwerken door een bewerker. Wanneer de bewerker een dochteronderneming betreft of gevestigd is in het buitenland heb je deze overeenkomst ook nodig.

Welke onderwerpen dienen terug te komen in een bewerkingsovereenkomst?

Geheimhouding – Met de geheimhouding kan een bepaalde geheimhoudingsplicht worden opgelegd waar eventueel een boetebeding op rust.

Bewerking met instructies – De bewerker mag de aangeleverde informatie alleen gebruiken voor de afgesproken doeleinden. Het is niet toegestaan om de persoonsgegevens voor eigen doeleinden in te zetten.

Beveiligingsmaatregelen – De bewerker dient op een redelijke wijze technische en organisatorische maatregelen te nemen om verlies van de persoonsgegevens tegen te gaan.

Inschakelen van derden en onderaannemers – Er dient vastgelegd te worden of de bewerker gebruik maakt van sub-bewerkers, wie dit zijn en onder welke voorwaarden zij deze gegevens mogen verwerken.

Audits – De verantwoordelijke heeft de mogelijkheid om controles uit te voeren bij de bewerker om te testen of deze zich houdt aan de gemaakte afspraken. Dit kan gebeuren in de vorm van een audit, welke door de verantwoordelijke of onafhankelijke derde wordt uitgevoerd. In de bewerkingsovereenkomst kan hier dieper op worden ingegaan met wat voor frequentie en welke soort audits worden uitgevoerd.

Aansprakelijkheid – De wet geeft aan dat de verantwoordelijke aansprakelijk kan worden gesteld als er schade wordt geleden doordat de Wet Bescherming Persoonsgegevens niet wordt gevolgd. Zelfs als dit komt door nalatigheid van de bewerker. Als daar sprake van is dan is de bewerker ook zelfstandig aansprakelijk. Het is raadzaam om in de bewerkingsovereenkomst duidelijke afspraken te maken voor de verdeling van deze verantwoordelijkheid.

Wat moet je concreet doen?

Feitelijk moet je nagaan wie de verwerker is van jouw gegevens. Shoptrader is onder andere een verwerker maar ook bijvoorbeeld PostNL wanneer je hier je pakketten door laat versturen. De Shoptrader bewerkingsovereenkomst kun je hier downloaden. Deze kun je vervolgens opnemen in jouw administratie en ondertekend toesturen aan administratie@shoptrader.nl.

Privacy Policy

Uiteraard moet je ook een overeenkomst met jouw klanten aangaan. Dit kan uiteraard niet met een bewerkingsovereenkomst. Wanneer je gebruik maakt van persoonsgegevens ben je wettelijk verplicht om een privacy policy op te nemen. Hierin dient uitgelegd te worden wat er met de persoonsgegevens wordt gedaan. Bijvoorbeeld: bezoekers die hun gegevens achterlaten doordat zij een bestelling plaatsen en het zoekgedrag van bezoekers dat je volgt om op basis hiervan bepaalde adviezen te geven.

Een aantal belangrijke onderwerpen uit de privacy policy zijn onder andere:
•    Doelomschrijving van gebruik gegevens
•    Beveiliging
•    Verstrekkingen van gegevens aan derden
•    Cookies, tracking en Google Analytics
•    Inzet van onderaannemers (verwerkers)
•    Recht van Inzage, correct en verwijdering
•    Klachten en aansprakelijkheid
•    Websites van derden

Hoe kom je aan een goed opgestelde privacy policy?

Je kunt hier een voorbeeld downloaden die we zelf hebben gegenereerd. Let op, dit is slechts een voorbeeld. Deze privacy policy is per bedrijf verschillend en afhankelijk van de activiteiten. Wij raden aan om hiervoor een generator te gebruiken bijvoorbeeld via Juridox of Webwinkelkeur.

Mogelijkheid tot afmelden klant

Op basis van de AVG moet het voor klanten mogelijk zijn om een account te verwijderen. Wij hebben hiervoor een extra functionaliteit ingebouwd. Binnen het account kan een klant een verzoek indienen om zijn account gegevens te verwijderen. De eigenaar van de webwinkel ontvangt een bericht via e-mail met dit verzoek en kan hiermee actie ondernemen.

Nieuwsbrief dubbele opt-in

Voor een nieuwsbrief aanmelding is toestemming nodig. Daarom hebben wij de nieuwsbrief aanmelding aangepast naar een dubbele opt-in. Dus een persoon die zich inschrijft dient in zijn e-mail nogmaals te bevestigen voor aanmelding.

Cookies

Niet voor alle cookies hoef je toestemming te vragen. Cookies die functioneel van aard zijn of anonieme gebruiksstatistieken verzamelen mag je zonder expliciete toestemming gebruiken. Bij functionele cookies moet je bijvoorbeeld denken aan het onthouden van wat er in je winkelwagen zit of wanneer je bent ingelogd. Voor andere cookies dien je wel expliciete toestemming te vragen. Dit zijn onder andere cookies van Hotjar, 3e partijen voor advertenties en cookies die individueel gedrag op de webshop vastleggen. Deze richten zich voornamelijk op de gegevens die klanten achterlaten door middel van hun gedrag op de webshop. De Cookie add-on kan gratis worden geactiveerd via de Backoffice van jouw webwinkel. 

Two-factor authentication

In de loop van komende weken zullen wij two-factor authentication invoeren voor het inloggen in de backoffice. Je kunt hier alvast zien hoe dit werkt. 

Google Analytics

Veel ondernemers verzamelen het gedrag van bezoekers middels Google Analytics. Ook hier geldt dat er een aantal aanpassingen gedaan dienen te worden. Via deze link vind je stapsgewijs terug wat er precies moet gebeuren. Wat betreft het activeren van Anonymize IP, hier komen wij op korte termijn met een extra optie onder configuratie, zoekmachine. Je kunt dan dus Anonymize IP activeren. 

SSL certificaat

Een gevolg van de AVG is dat een SSL-certificaat nu écht verplicht is voor een webshop of website die gebruikersgegevens verwerkt. Mocht je nog geen certificaat hebben dan raden wij ten zeerste aan om deze via Add-ons in de backoffice aan te vragen.

Tot zover inhoudelijk over AVG. Hopelijk weet je wat je moet doen en wat Shoptrader heeft gedaan. Wij hebben ons enorm verdiept in de materie en zoveel mogelijk geïnformeerd en aanpassingen gedaan. Uiteraard kun je ons vragen stellen over dit onderwerp, echter wij zijn geen juridisch bureau. Mocht je echt zekerheid of advies willen schakel een specialist in.