Checklists
Checklist: Webshop en de Wet bescherming persoonsgegevens
Door: Redactie Brisk Magazine - Veel webshop-exploitanten zijn zich er niet van bewust dat er nogal wat wettelijke verplichtingen gelden rondom de (gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens. Vrijwel elke webshopapplicatie heeft een database voor het beheer van persoonsgegevens.
Controleer daarom eerst of uw webshop werkt conform de Wet bescherming persoonsgegevens (Wbp). Flynth adviseurs en accountants heeft voor u alle regels op een rij gezet in een overzichtelijke white paper, die u kunt downloaden, printen en op uw gemak kunt nalezen. Inhoud van de white paper:
Uw webshop en de Wet bescherming persoonsgegevens
Vrijwel elke webshopapplicatie heeft een database voor het beheer van persoonsgegevens. Om de bestelde artikelen aan uw klanten te kunnen leveren, heeft u immers naam- en (e-mail)adresgegevens nodig. Als u deze gegevens opslaat, bijvoorbeeld in een persoonlijk profiel waarop de online klant kan inloggen, krijgt u ook te maken met de Wet bescherming persoonsgegevens (Wbp). Deze wet verplicht partijen in de publieke en private sector om de gegevens van derden zorgvuldig te verwerken en te beheren.
Veel webshop-exploitanten houden zich onbewust bij de (gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens niet aan de wettelijke verplichtingen. Wie deze verplichtingen niet nakomt, pleegt in beginsel een strafbaar feit. Dat kan boetes of zelfs vervelender consequenties tot gevolg hebben.
Verwerken van persoonsgegevens
Volgens de Wet bescherming persoonsgegevens is er sprake van persoonsgegevens, als gegevens informatie bevatten over een natuurlijke persoon die met de gegevens identificeerbaar is. Gegevens over een bedrijf zijn geen persoonsgegevens, maar de naam en andere gegevens van een contactpersoon bij die onderneming zijn wel persoonsgegevens. Onder het beheren of verwerken van persoonsgegevens valt een groot aantal handelingen, zoals het verzamelen, vastleggen, ordenen, bewaren en bijwerken.
Eisen Wbp
Verzamelt u gegevens van uw klant, dan moet u aan een aantal eisen voldoen. U mag niet zomaar gegevens verwerken, hiervoor moet u een uitdrukkelijk omschreven doel hebben. U moet bij elke stap in de gegevensverwerking nagaan of die stap noodzakelijk is voor het omschreven doel. In elk geval moet u onnodige of niet-relevante verwerking van gegevens voorkomen. De gegevensverwerking moet u steeds kunnen baseren op één van grondslagen in de Wbp. Voor uw webshop zijn belangrijkste grondslagen:
• U heeft ondubbelzinnige toestemming gekregen voor het opslaan van persoonsgegevens (de betrokkene kan deze toestemming ook weer intrekken);
• De verwerking is noodzakelijk voor het uitvoeren van een overeenkomst; dit zal bij een webshop meestal het geval zijn.
Meldingsplicht College bescherming persoonsgegevens
Online ondernemers die persoonsgegevens van hun klanten geautomatiseerd verwerken, moeten dit verplicht melden bij het College bescherming persoonsgegevens (Cbp). Deze wettelijke verplichting wordt in de praktijk nog wel eens over het hoofd gezien. De melding moet worden gedaan vóór de aanvang van de verwerking van de persoonsgegevens, maar ook wijzigingen moet u melden. U moet het Cbp melden wat het doel is van de gegevensverwerking, onder welke categorie de betrokkenen vallen, welke gegevens per categorie betrokkenen worden verzameld, welke beveiligingsmaatregelen u heeft ingesteld om de gegevens te beschermen en of er sprake is van doorgifte aan landen buiten de EU.
Wie dit niet doet, pleegt een strafbaar feit en kan een boete van maximaal 4.500 euro en zelfs een celstraf van maximaal zes maanden opgelegd krijgen. Het Cpb controleert dit steekproefsgewijs en op basis van meldingen of klachten van betrokkenen. Een paar specifieke activiteiten zijn vrijgesteld van de meldingsplicht, zoals de verwerking van gegeven ten behoeve van lidmaatschap, arbeid en pensioen. Voor journalistieke, artistieke of literaire doeleinden is de Wbp beperkt van toepassing.
Verplichte informatieverstrekking
Bij het vragen om toestemming voor het opslaan van persoonlijke gegevens moet u uw klant informeren over wie u bent en waarvoor u de gegevens verzamelt en verwerkt. Ook moet u altijd antwoord (kunnen) geven op de vraag of – en zo ja: welke – persoonsgegevens u van iemand heeft verwerkt. Betrokkenen moeten kunnen nagaan wat er met hun gegevens gebeurt.
Ook deze verplichte informatieverstrekking is opgenomen in de Wbp. U moet kunnen aangeven wie verantwoordelijk is voor de gegevensverwerking, met welk doel u de gegevens verzamelt en u moet een overzicht kunnen overleggen van alle bij u opgeslagen gegevens. Krijgt u zo’n informatieverzoek, dan moet u binnen vier weken schriftelijk (elektronisch is ook schriftelijk) antwoord geven. Wanneer de gegevens onjuist, onvolledig of in strijd met de Wbp zijn, dan moet u die op verzoek corrigeren.
Doel van deze meldingsplicht en verplichte informatieverstrekking is het zorgen voor openheid en om personen, van wie gegevens worden opgeslagen, de mogelijkheid te geven om te controleren wat er met hun gegevens gebeurt.
Welke beveiligingsmaatregelen?
De Wbp schrijft voor dat u persoonsgegevens technisch en organisatorisch moet beveiligen tegen verlies of onrechtmatige verwerking. Welke beveiligingsmaatregelen u moet treffen, is afhankelijk van de gevoeligheid van de opgeslagen persoonsgegevens. Hiervoor heeft het Cbp de ‘Richtsnoeren beveiliging van persoonsgegevens’ opgesteld.
Andere relevante regel- en wetgeving
Wie een webshop runt, moet naast de Wbp ook rekening houden met andere regels en voorschriften, zoals de wettelijke regeling voor algemene voorwaarden, regelingen inzake privacy statements, de cookiewet, voorschriften voor elektronische handel, handel met het buitenland of technische voorschriften voor ICT-systemen en de richtlijnen inzake beveiliging van uw gegevens.