Privacyverklaringen in webshops: hoe eigenaren hun webshop AVG-proof maken

Privacyverklaringen in webshops: hoe eigenaren hun webshop AVG-proof makenPrivacyverklaringen in webshops: hoe eigenaren hun webshop AVG-proof maken
Nick Knuppe
Product Marketing Manager
Customer-centric marketer en Go-To-Market perfectionist.

Het is wettelijk vastgelegd dat elke webshop een privacyverklaring moet hebben. Welke informatie daarin moet staan, is voor webshopeigenaren niet altijd duidelijk. In dit artikel leggen we uit waarmee je rekening moet houden bij het opstellen van een privacyverklaring en welke andere AVG-richtlijnen belangrijk zijn.

Wat is de privacyverklaring van een webshop?

Op elke website waar persoonsgebonden gegevens worden verwerkt, moet een privacyverklaring staan. Hierin geeft de webshopeigenaar bezoekers informatie over de aard, omvang en het doel van de gegevensverwerking. Ook is het belangrijk de bezoeker te informeren over de mogelijkheden om de opslag van hun gegevens in te trekken. 

Webshops met een ontbrekende of onvolledige privacyverklaring lopen het risico op een officiële waarschuwing van de Autoriteit Persoonsgegevens (AP). De wettelijke basis voor de privacyverklaring is de privacywet Algemene Verordening Gegevensbescherming (AVG).

Wat is de AVG?

In 2016 heeft het Europees Parlement de Europese Verordening Gegevensbescherming (AVG) aangenomen. Binnen de tweejarige overgangstermijn moest je als webshopeigenaar enkele veranderingen in je webshop aanbrengen. Deze hebben betrekking op:

  • gegevensverwerking

  • informatieplicht

  • versturen nieuwsbrief

  • opdrachtverwerking

Het doel van de AVG is om de online gegevensbescherming voor alle EU-lidstaten te standaardiseren. Dit biedt niet alleen voordelen voor de klant, maar ook voor de webshopeigenaar. Zo stimuleert de One Stop Shop-regeling (OSS) de internationale e-commerce. Webshopeigenaren hoeven op grond van dezelfde gegevensverwerking met slechts één centraal punt te communiceren, in plaats van met meerdere toezichthoudende instanties. 

Waarom is een privacyverklaring belangrijk voor online shops?

Waarom is een privacyverklaring belangrijk voor online shops?

Elke webshop verzamelt gegevens – niet alleen bij het sluiten van een koopovereenkomst. Ook tracking tools, socialmedia-plug-ins en cookies verzamelen informatie over bezoekers van een webshop. Om er zeker van te zijn dat de webshopeigenaar verantwoord met deze gegevens omgaat en er geen misbruik van maakt, zijn een privacyverklaring en impressum verplicht voor elke webshop. Je riskeert een officiële waarschuwing en een hoge geldboete.

Bovendien zorgt een privacyverklaring voor vertrouwen bij potentiële klanten. De consument wil weten welke gegevens de webshop verwerkt en of deze gegevens beschermd zijn. Alleen als hij een website vertrouwt, is hij bereid iets te kopen. Een volledige privacyverklaring, het impressum en een veilige betalingsmethode zijn de belangrijkste maatregelen om het vertrouwen van de klant te winnen.

Hoe ziet een correcte privacyverklaring eruit?

  • Volgens de AVG moet een privacyverklaring voor webshops aan de volgende eisen voldoen:

  • nauwkeurig

  • transparent

  • begrijpelijk

  • toegankelijk

Ten eerste moet ervoor worden gezorgd dat de privacyverklaring in de webshop openbaar is en vanaf elke pagina gevonden kan worden. Op deze manier heeft de klant ook midden in het koopproces de mogelijkheid om de algemene informatie over gegevensbescherming na te lezen. Verder moet de inhoud begrijpelijk zijn. De privacyverklaring van een webshop bevat vier elementen:

1. Verantwoordelijke en contact

Vaak begint de privacyverklaring met informatie over degene die verantwoordelijk is voor de gegevensverwerking. Volgens artikel 13 § 1 letter a en b van de AVG moeten webshopeigenaren het volgende vermelden:

  • de verantwoordelijke voor de gegevensverwerking

  • zijn vertegenwoordiger

  • de verantwoordelijke voor de gegevensbescherming

2. Persoonsgebonden gegevens

Veel webshops geven in hun privacyverklaring eerst aan wat persoonsgebonden gegevens zijn. Dit is volgens de AVG niet vereist, maar maakt de verklaring voor de klant begrijpelijker.

Aansluitend vermeld je:

  • welke gegevens de webshop verzamelt en verwerkt;

  • op welk moment de gegevensverwerking plaatsvindt;

  • voor welk doel dit gebeurt;

  • wie de gegevens ontvangt;

  • hoelang ze worden opgeslagen.

3. Wettelijke basis

Voor elke gegevensverwerking noem je ook de wettelijke basis. Webshopeigenaren verwijzen hier meestal naar een bepaald artikel van de AVG. Een veelvoorkomende wettelijke basis is bijvoorbeeld artikel 6 § 1 letter f: ”De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde (...)”. Hierbij moet je dan ook de gerechtvaardigde belangen vermelden. In onderstaande tabel staan de wettelijke basis en belangen voor de verwerking van een IP-adres.

Persoonsgebonden gegevens IP-adres
Tijdstip van verwerking tijdens het leggen van de verbinding
Wettelijke basis artikel 6 § 1 letter f AVG
Doel en gerechtvaardigd belang zodat u onze website kunt bezoeken

4. Rechten van betrokkenen

De AVG verplicht webshops om bezoekers uitleg te geven over hun rechten. Hiertoe hoort het volgende bij:

artikel AVG soort recht van betrokkenen uitleg
15 recht van inzage Bezoekers hebben het recht om van de webshopeigenaar een bevestiging te ontvangen of hij de persoonsgebonden gegevens verwerkt. Indien ja, dan moet worden vermeld welke dit zijn en op welke manier de gegevensverwerking plaatsvindt.
16 recht op rectificatie Klanten hebben het recht om bij onjuiste gegevens rectificatie ervan te verlangen.
17 recht op vergetelheid Betrokkenen hebben het recht het wissen van hun persoonsgebonden gegevens te verlangen wanneer deze niet meer noodzakelijk zijn voor het oorspronkelijke doel, de wettelijke basis ontbreekt of vergelijkbare redenen volgens artikel 17 van de AVG van toepassing zijn.
18 recht op beperking van de verwerking Klanten hebben het recht om beperking van de verwerking te verlangen.
20 recht op dataportabiliteit Dit recht is van toepassing bij gegevens die voor de invulling van een contract noodzakelijk zijn, of waar voor de verwerking ervan, klanten toestemming hebben gegeven. Hier kunnen klanten verlangen dat de verwerkingsverantwoordelijke hun de verwerkte gegevens in een overzichtelijk, gangbaar en machinaal leesbaar formaat overhandigt, om deze vervolgens aan een andere verwerkingsverantwoordelijke over te dragen. Als alternatief is er de mogelijkheid dat webshopeigenaren naar wens de gegevens zelf aan deze persoon overdragen.
21 recht van bezwaar Betrokkenen hebben bij speciale redenen het recht om tegen de verwerking van hun persoonsgegevens bezwaar in te dienen, dat vervolgens volgens artikel 6 van de AVG als rechtmatig kan worden geclassificeerd. Bij de verwerking van gegevens voor direct marketing bestaat altijd het recht om bezwaar in te dienen.
77 recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens Bezoekers hebben het recht, te allen tijde een klacht in te dienen bij de Autoriteit Persoonsgegevens, wanneer zij van mening zijn dat de verwerking van hun persoonsgegevens in strijd is met het geldende recht.

Is er een voorbeeld van een privacyverklaring voor webshops?

Er is geen uniform voorbeeld dat voor elke webshop gebruikt kan worden. De AVG schrijft webshopeigenaren niet voor hoe nauwkeurig ze hun klanten uitleg moeten geven over de verwerking van persoonsgegevens. Daarom zijn er privacyverklaringen in diverse vormen. Sommige webshopeigenaren schrijven ze op als algemene voorwaarden, anderen stellen de privacyverklaring op als een FAQ-pagina. Zo zorgen ze ervoor dat de informatie voor de consument begrijpelijk is. Ze beantwoorden hierin bijvoorbeeld de volgende vragen:

  • Hoe verzamelen we je gegevens?

  • Waarvoor gebruiken we je gegevens?

  • Welke rechten heb je met betrekking tot je gegevens?

Op internet staan verschillende modellen die geschikt zijn als voorbeeld voor een privacyverklaring. Omdat iedere webshopeigenaar de bezoekersgegevens op een andere manier verwerkt, moet het voorbeeld aan jouw eigen werkwijze worden aangepast. Het is aan te raden de privacyverklaring op te laten stellen door een advocaat of om deze in elk geval door een advocaat te laten controleren. Dan ben je er zeker van dat de privacyverklaring juist en volledig is.

Waar moet je bij gegevensbescherming in e-commerce nog meer op letten?

Waar moet je bij gegevensbescherming in e-commerce nog meer op letten?

Om je website AVG-proof te maken, moet je ook nog rekening houden met andere richtlijnen. Deze hebben betrekking op:

  • formulieren

  • websiteversleuteling

  • e-mailmarketing

  • cookies

  • socialmedia-plug-ins

Formulieren

Waar moet je bij gegevensbescherming in e-commerce nog meer op letten? - Formulieren

In je webshop heb je te maken met verschillende formulieren waarmee klantgegevens worden verwerkt, bijvoorbeeld in het winkelmandje of bij aanmelding voor de nieuwsbrief. Hier gelden volgens de AVG-richtlijnen twee basisprincipes:

  • Minimaal gebruik van gegevens. Webshopeigenaren mogen alleen klantgegevens opvragen die voor de uitvoering van de opdracht strikt noodzakelijk zijn. Voor het winkelmandje zijn naam en adres nodig om de online bestelling te kunnen verzenden. Maar om een nieuwsbrief via de mail te ontvangen, zijn adres en telefoonnummer niet noodzakelijk. In at geval mag de webshopeigenaar deze niet opvragen.

  • Vertrouwelijkheid. Elke overdracht van gegevens moet versleuteld gebeuren. Daarom is de webshopeigenaar verplicht persoonsgebonden gegevens te beschermen tegen onbevoegde of onwettige verwerking.

Websiteversleuteling

Waar moet je bij gegevensbescherming in e-commerce nog meer op letten? - Websiteversleuteling

Volgens artikel 32 § 1 letter a AVG moeten webshopeigenaren een versleutelde gegevensoverdracht garanderen. Hiervoor is het aan te bevelen de webshop te beveiligen door middel van het https-communicatieprotocol. Met behulp van een zogeheten SSL-certificaat garanderen webshopeigenaren:

  • de verificatie van communicatiepartners door asymmetrische versleutelingsprocedures;

  • de vertrouwelijke end-to-end-encryptie door middel van symmetrische versleutelingsprocedures;

  • de integriteit van de verstrekte gegevens.

In ons uitgebreide artikel over webshopveiligheid lees je hoe je aan het SSL-certificaat komt en met welke verdere veiligheidsrichtlijnen je rekening moet houden.

E-mailmarketing

Waar moet je bij gegevensbescherming in e-commerce nog meer op letten? - E-mailmarketing

Sinds de invoering van de AVG zijn webshops verplicht om de dubbele opt-inprocedure in te stellen. Hiermee geef je toestemming voor gegevensverwerking, bijvoorbeeld bij aanmelding voor de nieuwsbrief. Dit betekent dat geïnteresseerden eerst toestemming geven voor het ontvangen van informatie of reclame wanneer ze hun contactgegevens invullen, bijvoorbeeld door een selectievakje aan te vinken. Vervolgens ontvangen ze een bevestigingslink via de mail. Ze gaan nu voor de tweede keer akkoord met het ontvangen van toekomstige aanbiedingen. Pas dan mogen webshopeigenaren nieuwsbrieven en soortgelijke inhoud naar het opgegeven adres sturen. Als de bevestigingslink niet wordt aangeklikt, mag het e-mailadres niet worden gebruikt of opgeslagen.

Cookies

Waar moet je bij gegevensbescherming in e-commerce nog meer op letten? - Cookies

Cookies spelen ook een belangrijke rol bij gegevensbescherming. Veel webshops gebruiken cookies om hun usability te verhogen. Ze slaan informatie op zodat de gebruiker niet bij elk bezoek opnieuw gegevens hoeft in te vullen. Denk daarbij aan:

  • taalinstellingen;

  • inhoud van de winkelmand;

  • inloggegevens.

Als aanvulling op de AVG is er daarom de zogeheten EU-cookiewet (richtlijn 2009/136/EG). Hierin staat dat webshopeigenaren alleen cookies mogen gebruiken die technisch noodzakelijk zijn. Een banner moet wijzen op het gebruik van deze cookies. De klant moet vooraf toestemming geven voor cookies die niet technisch noodzakelijk zijn voor het functioneren van de webshop.

De volgende tabel laat voorbeelden zien van welke cookies technisch noodzakelijk zijn en welke niet:

technisch noodzakelijke cookies technisch niet noodzakelijke cookies
Sessie-cookies voor opslag van gebruikersinstellingen zoals taalkeuze tracking- en analysetools
Flash-cookies voor de weergave van media-inhoud affiliatediensten
Opt-out-cookies voor het herroepen van cookie-toestemming remarketing- en retargetingdiensten
Betalingscookies van verbonden betalingsdiensten (die uitsluitend dienen voor de afhandeling van de betaling en die geen analyse maken van het gebruikersgedrag) socialmedia-plug-ins
Cookies uit live chatsystemen online kaartendiensten

Socialmedia-plug-ins

Waar moet je bij gegevensbescherming in e-commerce nog meer op letten? - Socialmedia-plug-ins

Socialmedia-plug-ins hebben gegevens verzameld van webshopbezoekers. Daarom zijn ze volgens de AVG-richtlijnen alleen toegestaan als ze inactief zijn. Met de juiste instellingen wordt de button pas geactiveerd als de gebruiker erop klikt. Met de activatie van de button geeft de gebruiker toestemming om de gegevens over te dragen aan het betreffende platform. Gebruikers zullen alleen op de button klikken als ze deze ook willen gebruiken, bijvoorbeeld om de inhoud van de webshop te delen. 

Bij deze gebruikelijke oplossing worden zogeheten shariff-buttons gebruikt. Daarnaast is ook de tweestapsverificatie bij het gebruik van socialmedia-buttons mogelijk. Dit komt overeen met de dubbele opt-inprocedure voor de nieuwsbrief. Bezoekers klikken eerst het gewenste socialmedia-symbool aan, en aansluitend vraagt de webshop expliciet om toestemming voor de gegevensoverdracht.

Verwerkers

Een webshopeigenaar werkt samen met een groot aantal dienstverleners, zoals:

  • betalingsdiensten

  • SaaS-aanbieders

  • cloud-diensten

Deze diensten verwerken ook persoonsgebonden gegevens van webshopklanten. Daarom is volgens de AVG een verwerkersovereenkomst (VO) vereist. Volgens de wet heb je alleen met een geldige VO toestemming om klantgegevens aan derden door te geven. Hoewel zo’n overeenkomst extra handelingen voor webshopeigenaren met zich meebrengt, is er voor hen nu ook meer zekerheid. Zo kun je aantonen dat de dienstverlener verantwoordelijk is voor het schenden van privacy.

Samenvatting van gegevensbescherming in de webshop: checklist voor de privacyverklaring

Elke webshop verzamelt persoonsgegevens van zijn bezoekers. Om deze naar behoren te beschermen, is de Algemene Verordening Gegevensbescherming in het leven geroepen. Deze verordening brengt eenheid in de richtlijnen voor gegevensbescherming op internet voor alle EU-lidstaten. Op grond hiervan moeten ondernemers in de e-commerce speciale regels in acht nemen, onder andere met betrekking tot socialmedia-buttons, formulieren en het verzenden van nieuwsbrieven. Daarnaast moeten webshopeigenaren hun bezoekers op de hoogte brengen van de gegevensverwerking en -bescherming in de webshop. Hieronder vind je een checklist om met deze privacyverklaring jouw webshop AVG-proof te maken:

inhoud uitleg voorbeeld
verantwoordelijkheid Wie is verantwoordelijk voor de verwerking van gegevens in de webshop? webshopeigenaren, personeel dat belast is met de bescherming van gegevens
soort en omvang van gegevensverwerking Welke bezoekersgegevens verzamelt en verwerkt de webshop? IP-adres, naam en adres
Op welk moment worden de gegevens verzameld? versturen van een contactformulier, openen van de webshop, socialmedia-buttons
Wat gebeurt er met de gegevens? opslag tot een bepaald moment
Wat is daar het doel van? marketingdoeleinden, uitvoeren van een bestelling
Hoelang duurt de gegevensopslag? tot het afronden van een bestelling, tot herroeping
Worden de gegevens doorgegeven aan derden en zo ja, waarom? Google Analytics, verzenddiensten
Welke maatregelen neemt de webshopeigenaar om de veiligheid van de gegevens te garanderen? https-protocol
wettelijke basis Wat is de wettelijke basis voor vastlegging van de gegevens? artikel 6 § 1 letter f AVG
recht van herroeping Wanneer heeft een gebruiker het recht de verwerking van zijn gegevens te herroepen? altijd bij direct marketing, bij alle andere doeleinden alleen op grond van bijzondere redenen
overige gebruikersrechten Welke andere rechten hebben websitebezoekers? Recht van inzage, recht op rectificatie, recht op vergetelheid

Volgende stap: een veilige online-ervaring bieden
Lees onze tips over webwinkelbeveiliging