boozd your online journey

Voorkom boetes en maak jouw webshop AVG ready

AVG wat? Ja, dat kan ik mij voorstellen. Zo stond ik ook te klapperen met mijn oren toen ik het voor de eerste keer hoorde. Het blijkt een nieuwe wet te zijn met betrekking tot de privacy van jouw klanten. En dus is de AVG of de GDPR niet iets om te negeren als webshop eigenaar. Want als je de AVG niet naleeft, kun je rekenen op een flinke boete. En let op, de overheid is voornemens zowel kleine als grote webshops hierop te gaan controleren.

Maak jij je al zorgen?

"Terecht!" moet ik eigenlijk zeggen.. Want ... de AVG privacy wetgeving is een Europese regel die per 25 mei 2018 ingaat. "Ooooh" zal je dan nu wellicht denken, dat duurt nog even. Maar denk daar niet te licht over. Lees eerst maar eens verder wat de impact is voor jou als webshop eigenaar.

Mag ik je voorstellen: Jeroen de webshop eigenaar

Jeroen is 40 jaar, heeft een succesvolle webshop, houdt webshop statistieken bij via Google Analytics en Hotjar, gebruikt Hypernode van Byte voor zijn webshop hosting, verstuurt emailmarketing berichten via Spottler, heeft voor Multisafepay als zijn betaalprovider gekozen en besteedt de gehele orderverwerking aan een ander bedrijf uit. Jeroen heeft het goed voor elkaar. Met zijn focus op catalogusbeheer en de optimalisatie van zijn webshop kan hij zijn dagen goed vullen.

 
 

AVG, GDPR, privacy persoonsgegevens... Wat houdt dat in?

Goede vraag! De AVG bestaat eigenlijk al sinds 2016, maar omdat er een overgangsperiode geldt van 2 jaar hebben we lang achterover geleund en gedacht (gehoopt) dat het niet zo'n vaart zou lopen. Welnu.. Het is 2018 en 25 mei komt steeds dichterbij.

De AVG staat voor Algemene Verordening Gegevensbescherming en is ook bekend als de GDPR: General Data Protection Regulation. Niks meer of minder dan de Engelse vertaling van de AVG.

De nieuwe Europese wet AVG moet zorgen voor bescherming van de persoonsgegevens en het legt meer verantwoording neer bij de bedrijven. Grofweg betekent het dat als je persoonsgegevens verzamelt, beheert en distribueert, je moet kunnen aantonen wat je met die gegevens doet. De AVG zorgt er ook voor dat mensen meer mogelijkheden hebben om 'grip' te krijgen op hun gegevensverwerking door bijvoorbeeld webshops.

Van theorie naar de AVG in de praktijk

Jeroen, die ik zojuist heb voorgesteld, moet zijn klanten dus helpen meer grip te krijgen op de gegevensverwerking door zijn webshop.

Dit betekent onder andere:

  • De klant actief om toestemming vragen om zijn of haar gegevens te gebruiken.
    In de regel zal het plaatsen van een order al een actieve handeling zijn waarmee hij of zij toestemming geeft.
  • Inzage in de persoonsgegevens: Wat ga je verwerken, waarom ga je dit verwerken en welke gegevens heb je daarvoor nodig.
  • De klant moet altijd zijn toestemming kunnen intrekken.
    En dan zal jij als webshop eigenaar, de informatie van de klant volledig uit al je systemen en applicaties moeten verwijderen.

Verwerkingsregister

Je moet dus een procedure vastleggen hoe je met persoonsgegevens omgaat. Dat klinkt zwaar, maar dat valt mee. Dit kan een Excel bestand zijn, waarin je vastlegt wat je aan informatie verzamelt, waar je het voor gebruikt, wie er toegang heeft tot deze informatie, waar gegevens opgeslagen staan, hoelang je de gegevens bewaart en hoe je het regelt dat gegevens verwijderd worden als dat nodig is.

Bijzondere gegevens

Dan is er trouwens ook nog zoiets als Bijzondere persoonsgegevens. Denk aan ras, geloof, seksuele geaardheid, ethische gegevens. En tja... aan bijzondere gegevens hangen bijzondere regels. Je bent dan namelijk verplicht een FG, Functionaris Gegevensbescherming, aan te stellen. Die FG mag geen beslissingsbevoegdheid hebben in jouw organisatie. Ben jij de directeur? Dan mag je dus niet jezelf als FG benoemen. Maar bijvoorbeeld wel jouw ICT-er die dan natuurlijk kennis moet hebben van de nieuwe privacywet.

Klaar? Nope!

Je bent er nog niet... Er zijn ook andere partijen waarmee jij jouw informatie al dan niet anoniem deelt of waaraan je handelingen met persoonsgegevens uitbesteedt. Denk hierbij aan Google Analytics, Byte, Hotjar, Spottler, Multisafepay, de partij die jouw orders verwerkt en vergeet vooral je webbouwer niet. Want die heeft ook altijd toegang tot de persoonsgegevens van jouw klanten.

Met al deze partijen moet je gaan vastleggen welke klantgegevens je deelt. En je zult verwerkingsovereenkomsten moeten hebben. Dit is belangrijk omdat jij moet weten wat er met de persoonsgegevens gebeurt bij een ander. De verwerker mag jouw gegevens bijvoorbeeld nooit voor eigen doeleinden gebruiken.

Verwerkersovereenkomst & privacy verklaring

Eigenlijk kan je stellen dat je op 2 plaatsen 'iets' moet gaan zeggen over de informatie die je opslaat en deelt:

  • Verwerkersovereenkomst
    Met partijen die direct of indirect toegang hebben tot jouw klantgegevens (webhosting, webbouwer, emailmarketing software, betaalprovider, fulfilment partij) zal je een verwerkersovereenkomst moeten sluiten waarin onder andere staat:
    • Wat de aard en het doel is van de verwerking
      (bijv. waarom wil je een geboortedatum van iemand weten)
    • Het soort persoonsgegevens dat wordt verwerkt
    • Over welke periode hij de gegevens mag gebruiken
    • De beveiligingsmaatregelen
    • De verplichting om datalekken te melden
    • Het recht op een audit
    • Eventuele sub-verwerkers of derde partijen

Jeroen moet dus goed in kaart brengen met welke partijen hij allemaal werkt, welke informatie over en weer gestuurd wordt en met elke partij hij een verwerkersovereenkomst moet sluiten.

  • Privacy & cookie verklaring
    Partijen die anoniem informatie toegespeeld krijgen (o.a. Google Analytics, Hotjar) kan je door middel van een cookie melding of verklaring benoemen en voor akkoord vragen aan je klant.

    Jeroen moet op zijn shop voor iedere nieuwe bezoeker een melding maken dat er gegevens worden bijgehouden. Je kent ze wel.. Zo'n balk waarin je akkoord geeft om cookies te gebruiken. Uiteraard voorzien van een duidelijke link naar de privacy & cookie verklaring van jou naar jouw klanten toe.

Profieldata verrijken

Top om je profielen en klantdata te verrijken. Altijd doen! Maar, met deze nieuwe wet wordt er nog strenger op gecontroleerd dat je vooraf duidelijk hebt aangegeven waarom je de informatie wilt, hoe mensen dit zelf kunnen wijzigen en moet je jouw klant altijd de gelegenheid bieden om zich vanuit iedere mail(-ing) af te kunnen melden. Let dus wel op! Je mag alleen maar die gegevens vragen aan klanten die je daadwerkelijk nodig hebt.

Elke mail die Jeroen stuurt, of het nu een transactionele email is of een nieuwsbrief, moet voorzien worden van een duidelijke link zodat de klant zich eenvoudig kan afmelden.

Een interne datalekprocedure

Phoe.. denk je alles gehad te hebben. Met bovenstaande tips heb je aangegeven welke info je opslaat en voor welk doel. Maar wat als er iemand anders alsnog met je data aan de haal is gegaan? Dan heb je een interne datalekprocedure nodig. Oftewel, je hebt vooraf bedacht hoe je omgaat met het ongewild gebruik van de persoonsgegevens van je klanten. Je moet in ieder geval elk datalek vastleggen en ook bepalen bij welke mensen in jouw organisatie dit gemeld moet worden. Is er sprake van een datalek, dan ben je bovendien verplicht om dit te melden bij de Autoriteit Persoonsgegevens (AP). En van elk datalek moet je ook  beschrijven hoe je dit in de toekomst gaat voorkomen.

Gefeliciteerd!

Je hebt het tot hier gered. De redding is nabij wil ik bijna zeggen. Het is best taaie kost en zeker geen kost om te negeren. Misschien een goed moment om je in te gaan schrijven voor onze AVG kennis sessie waarbij je ook hele interessante tips krijgt over meer rendement uit jouw e-mailmarketing campagnes.

De AVG kennis sessie was een succes, heb je toch nog vragen? Neem dan contact op!

Oh ja..

Wil je nu de gegevens van de klant ook nog gebruiken voor andere doeleinden dan alleen voor de order verwerking, bijvoorbeeld voor je internet marketing? Dan zal je dit expliciet moeten vragen aan je klant of dat akkoord is. En standaard al zo'n vakje aanvinken is uit den boze.

Afbeeldingen zijn afkomstig van Unsplash.com.

Jouw eigen non-stop marketing team, let's go!


Ontdek de mogelijkheden