Als je een webshop hebt, ben je ervan bewust dat de privacywetgeving erg belangrijk en streng is in Europa. Welke gegevens mag je als een verplicht veld markeren? En wat mag je helemaal niet vragen van je klant? We gaan hierop in!
In dit artikel leer je…
⚖️ Opfrisser: Wat is de wet betreft privacybescherming?
De Europese wet Algemene Verordening Gegevensbescherming (AVG) heet in het Engels General Data Protection Regulation (GDPR). Dit geldt voor alle bedrijven die actief zijn in Europa, dus ook als je buiten Europa gevestigd bent, maar aan Europese landen verkoopt. Landen moeten zich minstens aan deze wetgeving houden, maar mogen strengere wetten toepassen. Bijvoorbeeld in Duitsland is de wetgeving soms strenger dan wat in de AVG beschreven staat.
De AVG is een privacywet en schrijft voor hoe er met persoonsgegevens omgegaan moet worden door bedrijven. Voor privégebruik mag je persoonsgegevens verzamelen; denk aan een adressenbestand van je vrienden voor verjaardagskaarten.
🗄️ Waarvoor verzamel je persoonsgegevens?
Persoonsgegevens verzamel je doorgaans als webshopeigenaar wanneer iemand een bestelling plaatst, zich aanmeldt voor de nieuwsbrief, of wanneer je een onderzoek doet (bijvoorbeeld een enquête). Het gaat echter verder dan dat. Denk aan cookies. Of heb je iemand in dienst? Dan heb je gegevens over dit persoon in de HR-dossiers, inclusief een kopie van het paspoort. Als eigenaar van een bedrijf heb je dus met veel persoonsgegevens te maken.
📖 Leestip: 'Een survey maken - hoe doe je dat?'.
🙋 Welke persoonsgegevens zijn er?
Er zijn twee typen persoonsgegevens: de gewone persoonsgegevens en bijzondere persoonsgegevens.
Wat wordt er verstaan onder persoonsgegevens?
Persoonsgegevens zijn bijvoorbeeld je naam, je adres, e‑mailadres, leeftijd, geslacht… maar ook je IP-adres. Dit zijn dus allemaal gegevens die iets persoonlijks over jou zeggen en waardoor jij te identificeren bent.
Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn gevoelige persoonsgegevens. Dit zijn dingen als je godsdienst, gezondheid, maar ook fysieke karakteristieken zoals je ras.
In principe is het wettelijk verboden om bijzondere persoonsgegevens te verzamelen en verwerken, tenzij er een uitzondering voor geldt. Hier gaan we zo op in.
Wat zijn geen persoonsgegevens?
Gegevens van overleden personen en van organisaties vallen niet onder persoonsgegevens en zijn daarbij niet beschermd volgens de AVG, schrijft de Autoriteit Persoonsgegevens.
❓ Waarom is de wetgeving rond persoonsgegevens zo belangrijk?
Privacy kan het beste worden omschreven als het rest om met rust gelaten te worden en om personen de mogelijkheid te geven om zelf te bepalen wat er met hun informatie gebeurt en wie er toegang tot heeft.
Als je de toeslagenaffaire in Nederland hebt gevolgd weet je ook waarom de bijzondere gegevens gevoelig zijn en waarom het verboden is deze te verwerken. Voor wie het niet gevolgd heeft, in het kort: duizenden ouders in Nederland zijn slachtoffer geworden van onterechte fraudeverdenkingen met de kinderopvangtoeslag. In het rapport ‘Belastingdienst/Toeslagen: De verwerking van de nationaliteit van aanvragers van kinderopvangtoeslag’ schrijft de Autoriteit Persoonsgegevens dat de Belastingdienst in overtreding was betreft onder andere het verwerken van (dubbele) nationaliteiten van aanvragers. Deze affaire heeft geleid tot het vallen van het Nederlandse kabinet.
📁 Welke gegevens mag je verzamelen?
Sommige gegevens mag je niet vragen en sommige ben je juist wettelijk verplicht of genoodzaakt om te vragen.
Als je een bestelformulier maakt, is de eerste vraag die je jezelf moet stellen: welke informatie heb ik nodig om de bestelling te kunnen afronden? Dit is naam, adres en het e‑mailadres.
Even tussendoor: heb je moeite om die klanten de bestelling te laten plaatsen en zie je veel achtergelaten (digitale) winkelmandjes?
Wij geven 7 tips om dit te voorkomen in ons gratis e‑book. Klik op de knop om te downloaden!
✔️ Wanneer mag je persoonsgegevens verwerken?
In de privacywetgeving staat precies omschreven wanneer het mag en wanneer niet. Je mag persoonsgegevens van iemand verzamelen en bewerken als:
- 🔹 Diegene heeft nadrukkelijk toestemming gegeven. Denk hierbij aan het accepteren van cookies en een ‘ik ga akkoord’-knop.
- 🔹 Er een noodzaak is om de gegevens te verzamelen. Bijvoorbeeld bij jou als webshop de naam en het adres, om het pakket bij de juiste persoon af te leveren.
- 🔹 Er een gerechtvaardigd belang is. Dit is bijvoorbeeld wanneer je een intern marktonderzoek uitvoert.
- 🔹 Er een wettelijke plicht is. Denk hierbij aan een kopie van het paspoort van je werknemer.
In de AVG zijn 10 uitzonderingen beschreven wanneer je bijzondere persoonsgegevens mag verwerken. De volledige lijst is bij de Autoriteit Persoonsgegevens te vinden. De belangrijkste vuistregel voor jou als webshopeigenaar is: je mag bijzondere persoonsgegevens verwerken, als er nadrukkelijk toestemming voor is gegeven.
📖 Leestip: 'Double opt-in: de voor- en nadelen (en wetgeving!)'.
⚠️ Wat zijn de voorwaarden voor toestemming?
Je moet ook voldoen aan een aantal voorwaarden voor toestemming. Deze staan in artikel 7 van de AVG beschreven. Hierbij gaat het erom dat de betrokkene dus nadrukkelijk aan moet geven de gegevens te willen delen voor de door jou aangegeven doeleinden. Je moet dus aangeven waarvoor je de gegevens gebruikt en mag alleen voor die doeleinden de gegevens verwerken. Het is daarbij belangrijk dat mensen de tekst ook snappen, dus gebruik gewone woorden en niet te veel jargon.
Het is verder goed om te weten dat je de klant niet mag verplichten toestemming te geven voor de nieuwsbrief wanneer iemand een product van je wilt kopen. Echter mag dit wel: als iemand zich aanmeldt voor de nieuwsbrief, mag iemand natuurlijk een gratis extraatje krijgen. Dit kan een korting zijn of een gratis gids bijvoorbeeld. Als je een extraatje aanbiedt en daarvoor de aanmelding voor een nieuwsbrief vraagt, is toegestaan.
En vergeet niet: de klant moet te allen tijde de mogelijkheid hebben om gegevens aan te passen of door jou te laten verwijderen (recht om vergeten te worden).
🔄 Kortom
De AVG is er om personen te beschermen en daarom moet je als bedrijf altijd goed nadenken: mag ik deze gegevens verzamelen en verwerken? Het is belangrijk dat de toestemming uit vrije wil is. Ook als het van de AVG mag, is het verstandig om zelf goed na te denken of het ethisch is om bepaalde gegevens van klanten te vragen. Vooral als je een onderzoek doet of een bestelformulier maakt, vraag jezelf of het echt belangrijk is om (vooral bijzondere) persoonsgegevens te vragen.
