Om ervoor te zorgen dat jouw winkel voldoet aan de GDPR, is een privacybeleid essentieel. Maar er zijn ook andere regels waar je rekening mee moet houden. Deze regels hebben betrekking op:
Webformulieren
Website-versleuteling
E-mailmarketing
Cookies
Social media plugins
Webformulieren
Wanneer een klant op jouw site persoonlijke gegevens wil invoeren (bijvoorbeeld tijdens het afrekenen of bij het inschrijven voor je nieuwsbrief), moeten ze een webformulier invullen. Om ervoor te zorgen dat de webformulieren op je site voldoen aan de GDPR, moeten ze twee belangrijke eisen nastreven:
Data minimalisatie: Als winkeloperator mag je alleen de minimale hoeveelheid gegevens vragen die nodig zijn om aan je contractuele verplichting te voldoen (bijvoorbeeld om een bestelling te vervullen). Dus tijdens het afrekenen hoef je eigenlijk alleen naar de naam en het adres van de klant te vragen. Als je klant zich alleen wil aanmelden voor je e-mailnieuwsbrief, kun je niet vereisen dat ze je ook hun postadres en telefoonnummer geven.
Vertrouwelijkheid: Als online retailer ben je verplicht ervoor te zorgen dat alle persoonlijke gegevens van je klanten beschermd zijn tegen ongeautoriseerde of onrechtmatige verwerking. Dat betekent dat elke gegevensoverdracht versleuteld moet zijn.
Website-versleuteling
Artikel 32.1.a van de GDPR vereist van winkeloperators dat zij hun gegevensoverdracht versleutelen. Het is een goed idee om het HTTPS-protocol te gebruiken om communicatie op je website te beveiligen. Je kunt ook een SSL-certificaat gebruiken om ervoor te zorgen dat…
… communicatiepartners geautoriseerd zijn via een asymmetrisch versleutelingsproces.
… gegevensoverdracht van begin tot eind beveiligd is met een symmetrisch versleutelingsproces.
… de integriteit van de getransporteerde gegevens niet is aangetast.
Om meer te weten te komen over hoe je een SSL-certificaat kunt verkrijgen en welke andere beveiligingsmaatregelen je kunt nemen, bekijk ons artikel over e-commercebeveiliging.
E-mailmarketing
Sinds de GDPR van kracht geworden is, zijn online winkels verplicht om een dubbele opt-in procedure te gebruiken om toestemming van de klant te krijgen voor het verwerken van hun gegevens (bijvoorbeeld wanneer een klant zich aanmeldt voor je nieuwsbrief). Dat betekent dat een klant die geïnteresseerd is in het ontvangen van informatie of reclame van je, hier toestemming voor moet geven wanneer ze je hun contactgegevens verstrekken (bijvoorbeeld door een vakje aan te vinken om aan te geven dat ze reclame-e-mails van je willen ontvangen). Daarna moet je ze ook een bevestigingslink via e-mail sturen, die ze moeten aanklikken om het aanmeldproces te voltooien. Dit betekent dat ze tweemaal hun toestemming geven om in de toekomst informatie/aanbiedingen van je te ontvangen. Als je deze dubbele toestemming niet verkrijgt, mag je geen reclame- of marketingberichten naar het e-mailadres van de klant sturen. Als de klant niet op de bevestigingslink klikt, mag je hun e-mailadres niet gebruiken of opslaan voor marketingdoeleinden.
Cookies
Cookies zijn een ander belangrijk onderwerp als het gaat om gegevensbeveiliging. Veel online winkels gebruiken cookies om een meer gebruiksvriendelijke ervaring te creëren. Zo kunnen cookies informatie opslaan zodat gebruikers bij elk bezoek aan de site niet steeds hun gegevens opnieuw hoeven in te vullen. Deze omvatten informatie zoals:
Taalinstellingen
Items in de winkelwagen
Inloggegevens
De EU-cookierichtlijn (2009/136/EG) is een andere wetgeving die nauw samenhangt met de GDPR. Volgens deze richtlijn kan een winkelhouder alleen cookies gebruiken zonder toestemming van de bezoeker als ze strikt noodzakelijk zijn vanuit technisch oogpunt. Daarnaast moet je website altijd een banner bevatten die bezoekers informeert dat er cookies worden gebruikt. En je moet altijd vooraf toestemming vragen voor het gebruik van cookies die niet noodzakelijk zijn om je site naar behoren te laten functioneren.
De tabel hieronder toont voorbeelden van welke soorten cookies technisch noodzakelijk worden geacht en welke niet:
Social media plugins
In het verleden konden social media plugins beginnen met het verzamelen van gebruikersgegevens zodra een bezoeker op je site kwam. De GDPR heeft dat allemaal veranderd. Onder de nieuwe regels moeten social media plugins standaard inactief zijn wanneer een gebruiker op een site aankomt. Wanneer een plugin correct op je site is ingebed, is het een passieve knop die alleen actief wordt wanneer de gebruiker erop klikt. Door op de knop te klikken, geeft de gebruiker toestemming voor de overdracht van hun gegevens aan welk social media platform de plugin ook is. Als een gebruiker op de knop klikt, is het logisch om aan te nemen dat ze deze willen gebruiken (bijvoorbeeld om inhoud van je website te delen via social media).
Social media plugins zijn zeer gebruikelijk in e-commerce en verschijnen meestal in de vorm van Shariff-knoppen. Daarnaast kun je een tweestaps toestemmingsprincipe voor social media-knoppen op je site gebruiken (vergelijkbaar met het dubbele opt-in principe voor nieuwsbrieven). Met het tweestapssysteem klikt de gebruiker eerst op de social media-knop die ze willen gebruiken. Daarna vraagt jouw winkel uitdrukkelijk of ze toestemming geven voor de overdracht van hun gegevens naar het social media platform.
Orderverwerking
Als winkeloperator werk je waarschijnlijk samen met veel dienstverleners, zoals:
Betaaldienstverleners
SaaS-leveranciers
Cloudservices
Deze dienstverleners verwerken ook persoonlijke gegevens die betrekking hebben op je klanten, dus de GDPR vereist dat je met elke partner een gegevensverwerkingscontract (DPA) aangaat. Zonder DPA heb je geen wettelijke basis om klantgegevens door te geven aan een derde partij. Hoewel het creëren van een DPA een beetje extra moeite kost, biedt het je meer zekerheid dan je in het verleden had. Zo definieert een DPA duidelijk wie verantwoordelijk is in het geval van een gegevenslek.