Bewaak de privacy

Meer omzet, zichtbaar zijn op social media en bekendheid genereren, dat zijn allemaal belangrijke onderwerpen voor webshops. Maar er is meer. De consument van nu is kritisch, niet alleen voor wat betreft de aankoop en levertermijn, maar ook betreffende zijn privacy. Dat is niet gek als je bedenkt hoeveel persoonsgegevens er rondzwerven bij allerlei soorten organisaties. Wat moet je regelen op het gebied van privacy?

Tekst: Beryl Hetharia

Privacy- en cookieverklaring

Begin bij het begin. Webshops zijn verplicht om betrokkenen (bijvoorbeeld websitebezoekers, klanten, maar ook sollicitanten en eigen medewerkers) te informeren over de verwerking van persoonsgegevens. Dat betekent dat webshops moeten uitleggen voor welke doeleinden persoonsgegevens worden verwerkt, wat de wettelijke grondslag is en hoelang gegevens bewaard blijven. Ook zal uitgelegd moeten worden naar welke derde partijen de persoonsgegevens worden doorgestuurd. Het is niet noodzakelijk om de bedrijfsnaam te vermelden, een categorie zoals IT-dienstverleners of betalingsdienstverleners is voldoende.

Ook over het gebruik van socialmediabuttons en cookies moet worden geïnformeerd. Voor wat betreft de cookies geldt dat aangegeven moet worden wat voor soort cookies (functioneel, analytisch, marketing et cetera) worden gebruikt en van welke cookiedienstverleners ze afkomstig zijn. Als deze zich buiten de Europese Economische Ruimte bevinden, moet ook de ‘passende waarborg’ worden genoemd. Daarnaast moet er een verwijzing naar de privacyverklaring van deze dienstverleners worden opgenomen. Verder moet er geïnformeerd worden over wat de cookies doen en hoelang de gegevens bewaard blijven.

Kortom, in een privacy- en cookieverklaring moet de volgende informatie staan:

• identiteit en contactgegevens van de organisatie;
• contactgegevens van de functionaris voor gegevensbescherming (FG) indien de organisatie een FG heeft;
• verwerkingsdoeleinden;
• grondslagen;
• categorieën van ontvangers;
• doorgifte van persoonsgegevens naar een derde land;
• bewaartermijnen;
• rechten van betrokkenen, waaronder het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens;
• informatie over geautomatiseerde besluitvorming (inclusief profilering);
• naam + privacyverklaring van social media platform;
• naam + privacyverklaring + land (+ passende waarborg) + soort cookie + uitleg van het cookie + bewaartermijn van het cookie.

Welke persoonsgegevens een webshop verwerkt, hoeft niet in de privacy- en cookieverklaring te staan. In het kader van transparantie is het wel verstandig om betrokkenen daarover te informeren.

Cookiebanner

Wanneer cookies worden gebruikt, dan is daar in de meeste gevallen toestemming voor nodig. Toestemming vraag je via een zogenaamde cookiebanner. Voor functionele en analytische cookies – mits privacy-vriendelijk ingesteld – is geen toestemming nodig. Voor vergaande analytische -, marketing- of tracking cookies moet een webshop wel toestemming vragen aan de bezoeker. Zonder toestemming mogen die cookies niet worden geplaatst.

Het vragen van toestemming gaat niet altijd goed. Vaak zijn analytische -en marketing- of tracking cookies vooraf aangevinkt. Dit mag niet. Ook een zogenaamde cookie wall, waarbij een websitebezoeker alleen toegang krijgt tot de webshop als alle cookies worden geaccepteerd, is niet toegestaan. De websitebezoeker moet zelf toestemming geven via het aanvinken van een vakje of door te klikken op een accepteerknop. Daarnaast moet uit de cookiebanner volgen wat voor soort cookies er worden gebruikt. Het moet namelijk voor de websitebezoeker wel duidelijk zijn waar hij toestemming voor geeft.

Nieuwsbrieven

Bij veel webshops kun je je aanmelden voor een nieuwsbrief. Sommige consumenten vinden het fijn om die te ontvangen, zo zijn ze op de hoogte van de laatste producten en aanbiedingen. Anderen zien nieuwsbrieven als spam. Wanneer een webshop nieuwsbrieven wil versturen, dan is daar in principe toestemming voor nodig. De toestemmingsvraag moet voldoen aan de volgende eisen:

• Uit de vraag blijkt duidelijk namens wie de berichten worden verzonden;
• De frequentie van het versturen van de nieuwsbrief wordt benoemd;
• Er wordt aangegeven wat voor soort informatie in de nieuwsbrief staat;
• Uitleg over via welke weg de communicatie wordt verstuurd;
• Er moet een verwijzing zijn naar de privacy- en cookieverklaring;
• De toestemming mag niet gekoppeld zijn aan het verkrijgen van (gratis) producten of diensten.

Een geldige toestemmingsvraag is bijvoorbeeld: ‘Ik ontvang graag wekelijks per e-mail de nieuwsbrief van webshop X met daarin informatie over nieuwe producten en aanbiedingen. Klik hier voor meer informatie.’ De laatste zin moet doorlinken naar de pagina waar de privacy- en cookieverklaring te vinden is.

Het is aan de websitebezoeker om zijn e-mailadres in te vullen. Indien er een vakje vóór de toestemmingsvraag wordt geplaatst, dan mag dit vakje niet vooraf aangevinkt zijn. Dat moet de websitebezoeker zelf doen. Dit is anders wanneer er een klantrelatie ontstaat; in dat geval mag het vakje wel vooraf aangevinkt zijn, en is het aan de klant om het vakje uit te vinken als hij geen nieuwsbrief wil. Dit opt-out systeem wordt veel gebruikt bij webshops wanneer het bestelproces wordt doorlopen en een bestelling wordt geplaatst.

Verwerkingsregister

Het verwerkingsregister is een verplicht nummer uit de Algemene Verordening Gegevensbescherming. Eigenlijk is het register een overzicht van wat de organisatie doet met persoonsgegevens. In het register staat de volgende informatie:
• naam en contactgegevens van de webshop en eventueel de FG
• verwerkingsdoeleinden
• categorieën persoonsgegevens en betrokkenen
• categorieën van ontvangers
• doorgifte van persoonsgegevens naar een derde land • bewaartermijnen
• beveiligingsmaatregelen

Privacy op orde?

Het lijkt veel, maar ga er even goed voor zitten en breng in kaart wat er allemaal speelt binnen de organisatie. Klanten hechten steeds meer waarde aan privacy. En elke webshop wil toch een tevreden klant!

Beryl Hetharia is juridisch adviseur bij ICTRecht.