26 april 2018

Is jouw shop klaar voor de nieuwe GDPR wetgeving?

Op 25 mei 2018 gaat de nieuwe Europese Privacywetgeving effectief in werking (Algemene Verordening Persoonsgegevens). Dit houdt in dat er vanaf deze datum ook boetes kunnen worden uitgedeeld door de Autoriteit Persoonsgegevens (AP) als je hier als bedrijf niet aan voldoet. Deze boetes kunnen flink oplopen (tot 4% van je jaaromzet met een max van 20 miljoen euro).

Window image widget

Iedere webwinkel verwerkt persoonsgegevens dus als merchant is deze wet zeker op je van toepassing. Je zult het een en ander goed op orde moeten hebben ten aanzien van de verwerking van deze persoonsgegevens. Daarnaast wordt er ook strenger toegezien op het gebruik van cookies.

In deze blog proberen we je wat tips en handreikingen te geven. Het is niet altijd 100% duidelijk wanneer iets wel of wanneer iets niet goed is. Mocht je twijfels hebben dan adviseren we je om advies in te winnen bij een jurist.

Als je als MKB ondernemer serieus werk maakt van de AVG dan zul je ook niet direct een grote boete krijgen van de AP. Zolang je dit maar niet opzettelijk doet wordt je vrijwel altijd in de gelegenheid worden gesteld om het te verbeteren.

Iedere webwinkel verwerkt persoonsgegevens dus als merchant is deze wet zeker op je van toepassing

Cookies: Wanneer wel of geen toestemming?

Cookies, je hebt er waarschijnlijk genoeg over gehoord, maar wat zijn het eigenlijk? Cookies zijn kleine bestandjes die op de computer van de bezoeker worden geplaatst. Ze zorgen voor een optimale werking van je site doordat ze sommige slimmigheidjes tijdelijk opslaan. Echter worden ze ook gebruikt door marketeers met als doel ermee te adverteren. Om dit onderscheid te kunnen maken kunnen we cookies onderverdelen in 3 categorieën: Functionele cookies, Analytische cookies en Tracking cookies. Hieronder beschrijven we elk van deze types kort.

Functionele cookies

Functionele cookies worden gebruikt om een website naar behoren te laten werken, zonder deze cookies zou je website niet naar behoren kunnen werken. Een goed voorbeeld van een functionele cookie is als je producten toevoegt aan je winkelwagentje. Ook het onthouden of je wel of niet bent ingelogd op een webwinkel wordt afgevangen in een functionele cookie. Hiervoor hoef je geen toestemming te vragen aan de gebruiker.

Voor het gebruik van functionele cookies hoeft er geen toestemming te worden gevraagd aan de klant

Analytische cookies

Dit zijn cookies die worden geplaatst waarmee je, op anonieme basis, gebruikersgegevens verzamelt. Deze cookies worden doorgaans geplaatst door analytische diensten zoals Google Analytics. Voor het plaatsen van analytische cookies hoeft ook geen toestemming te worden gevraagd. Je bent echter wel verplicht om de gebruiker hierover te informeren in een Privacy policy of Cookie statement. Zorg ervoor dat de gebruiker deze eenvoudig kan vinden (bijvoorbeeld in de footer).

Let wel op: Als je gebruik maakt van Google Analytics dan zul je wel een aantal stappen moeten ondernemen om binnen het kader van de functionele cookies te vallen. Zo heb je een verwerkersovereenkomst nodig met Google en dien je een aantal instellingen actief te wijzigen. Onderaan deze blog vind je meer informatie over hoe je dit zelf kunt regelen.

Tracking cookies

Dit worden ook wel marketing cookies genoemd. Dit zijn cookies die geplaatst worden met een commercieel oogmerk of met het doel persoonsgegevens te vergaren. Deze cookies worden vaak gebruikt door partijen zoals Google Adwords en Facebook.

Webshops maken hier vaak gebruik van aangezien een heel mooi middel is om je omzet te verhogen.
Voor het plaatsen van deze cookies moet je expliciet toestemming vragen aan de gebruiker. Zonder deze toestemming mogen deze cookies niet worden geplaatst.

Let op: Je mag bezoekers niet uitsluiten van je shop als deze geen toestemming geeft voor het plaatsen van tracking cookies. Dus een cookie wall waarbij je de site niet kunt bezoeken zonder akkoord te gaan is niet meer toegestaan.

Je mag bezoekers niet uitsluiten van je shop als deze geen toestemming geeft voor het plaatsen van tracking cookies

Privacy policy

Zorg voor een privacy policy waarin je duidelijk aangeeft hoe je met persoonlijke gegevens omgaat. Deze moet goed vindbaar zijn voor de bezoeker. Belangrijke zaken waar je rekening mee moet houden zijn:

  • Met welk doel verwerk je persoonsgegevens?
  • Hoe lang worden persoonsgegevens bewaard?
  • Zorg ervoor dat klanten hun persoonsgegevens kunnen inzien / wijzigen of laten verwijderen. Geef duidelijk aan bij wie ze daarvoor moeten zijn
  • Met welke 3rd parties deel je gegevens (bijvoorbeeld met Google Analytics, een Fulfilment partij of andere partijen)

Op de website van de Autoriteit Persoonsgegevens staat een compleet overzicht van eisen voor een privacy policy die voldoet aan de wetgeving.

Welke gegevens mag ik vragen?

Als merchant verzamel je persoonsgegevens van je klanten. Het is echter wel belangrijk om het verschil aan te duiden tussen gegevens die verplicht moeten worden achtergelaten en optionele gegevens. Hoe optioneel zijn deze velden nu voor je?

Stelregel hierin is dat je alleen velden verplicht mag stellen die noodzakelijk zijn om je dienst te kunnen verlenen. Velden zoals een adres, postcode en woonplaats heb je nodig om een pakketje te versturen, deze mag je dus verplichten. Velden zoals een telefoonnummer of geboortedatum vallen hier weer niet onder en mag je dus ook niet verplichten. Je mag ze optioneel wel vragen aan een bezoeker. Zorg er dan wel voor dat je per veld beschrijft waarom je dit graag wilt weten. Hiermee ben je transparant naar je bezoeker en laat je hem of haar de keuze maken om het in te vullen. Deze weet dan ook waar je het voor gaat gebruiken.

Niet meer automatisch aanmelden voor diensten

Iets wat je vaak ziet is dat je bij het kopen van een product je met 1 klik gelijk kunt aanmelden voor een mailinglist. Dit wordt dan vaak gedaan doordat een checkbox al staat aangevinkt. Dit is onder de nieuwe wetgeving niet meer toegestaan. Checkboxes waarmee je klanten automatisch aanmeldt voor een dienst mogen niet aangevinkt staan.
 Je mag ook niet iemand zomaar inschrijven voor een mailinglijst als deze akkoord gaat met de algemene voorwaarden. Iemand moet altijd expliciete toestemming geven als je deze wilt aanmelden voor een dienst zoals een nieuwsbrief.

Checkboxes waarmee je klanten automatisch aanmeldt voor een dienst mogen niet aangevinkt staan

Vraag opnieuw om toestemming

Als je momenteel al gebruik maakt van een mailinglijst dan is het van belang dat de inschrijvingen die daar in staan zijn verkregen volgens deze wetgeving. Als je hier twijfel over hebt dan is het advies om een her-activatie e-mail te sturen naar alle mensen (let op: dit moet dan voor 25 mei 2018 gebeuren). Hierin kun je de ontvanger vragen of deze de mailing wilt blijven ontvangen. Denk er hierbij aan dat je de frequentie vermeld en het onderwerp van de mailings. Als hier niet op wordt gereageerd dan moet dit worden bestempeld als een Nee en mag je deze niet meer gebruiken voor deze mailing na 25 mei 2018.

Aantonen dat er toestemming is verleend

Het is belangrijk dat je moet kunnen aantonen dat iemand toestemming heeft gegeven om zijn of haar persoonsgegevens te gebruiken. Wat je daarbij niet moet vergeten is dat je daarbij ook moet aantonen hoe je dit hebt gedaan (welke informatie had de bezoeker tot zijn/haar beschikking). Vaak helpt het als je een screenshot hebt van hoe een formulier er uit zag / ziet.

Verwerkersovereenkomsten

Zodra je gebruik maakt van diensten van een andere partij is het belangrijk dat je een verwerkersovereenkomst afsluit met deze partij. Grote partijen zoals Google, Shopify en Mailchimp hebben dit inmiddels allemaal al voorbereid. Ook binnen CODE zijn we hier mee bezig om dit op orde te krijgen.

In principe moet je voor iedere app die je hebt geïnstalleerd in je Shopify shop een overeenkomst hebben vanaf 25 mei 2018. Let dus goed op welke apps je hebt geïnstalleerd en van welke data ze gebruik maken.

Shopify

Shopify heeft een aanvulling gemaakt die aansluit op de voorwaarden waar je akkoord mee bent gegaan. We raden aan om deze zeker even door te nemen. Als je na 25 mei 2018 Shopify blijft gebruiken dan is dit voor Shopify bevestiging dat je akkoord gaat met deze aanvulling. Let wel, dit gaat alleen over het verwerken van gegevens (Shopify regelt dus niet alles!)

Als je Shopify Plus hebt dan kun je bij je Merchant Success Manager een verwerkersovereenkomst opvragen (als template). Neem hiervoor zelf even contact op met je Merchant Success Manager.

Verder heeft Shopify een White paper uitgebracht waarin ze uitleg geven hoe zij zich hebben voorbereid op deze wetgeving. Klik hier om deze in te zien.

Let op: Ga er niet vanuit dat na 25 mei alles automatisch voor je is geregeld als je Shopify gebruikt!

Ga er niet vanuit dat na 25 mei alles automatisch voor je is geregeld als je Shopify gebruikt

Google Analytics

Je kunt Google Analytics blijven gebruiken zonder dat je hiervoor expliciet toestemming voor nodig hebt van je bezoeker. Echter zal je daar wel het een en ander voor moeten doen. Als je de standaardinstellingen blijft gebruiken heb je deze toestemming namelijk wel nodig. Google Analytics verwerkt namelijk persoonsgegevens zoals het IP adres van de gebruiker, verder wordt het ook gebruikt om advertenties gericht aan te kunnen bieden (targetten).

Wil je de bezoeker niet om toestemming hoeven vragen, dan moet je deze stappen uitvoeren:

  1. Zorg ervoor dat je een verwerkersovereenkomst hebt met Google
  2. Zorg ervoor dat je geen gegevens meer deelt met Google
  3. Zorg ervoor dat je IP adressen anoniem opslaat
  4. Zorg ervoor dat je je gebruikers informeert in je Privacy Policy of Cookie statement

Bedenk wel dat, als je dit verandert, je data wat minder nauwkeurig zal gaan worden. Je gaat data meer anonimiseren waardoor ze commercieel wellicht minder interessant wordt. 
Vooral als je deze data gebruikt om te adverteren kan het zeker de moeite zijn om beide opties goed af te wegen.

Mailchimp

Voor Mailchimp kun je een verwerkersovereenkomst aanvragen op deze site. Deze fungeert dan als aanvulling op hun bestaande privacy policy.

Klik hier om deze verwerkersovereenkomst in te vullen en te downloaden.

CODE

Als je bij CODE een Private app hebt waarin persoonsgegevens worden verwerkt dan zal ook hiervoor een verwerkersovereenkomst voor moeten komen. Wij zullen je dan nog benaderen en je een verwerkersovereenkomst voorleggen zodat dit voor 25 mei 2018 is geregeld.

Dit blog bevat natuurlijk niet alle aspecten, we hebben ons met name gericht op de zaken die voor shops relevant zijn.

Als je de volledige Europese privacywetgeving wilt nalezen dan kun je deze hier bekijken.