zoeken Nieuwsbrief
      Linkedin    Twitter   
  
checklists
 

Checklist: Webshop en de Wet bescherming persoonsgegevens


Veel webshop-exploitanten zijn zich er niet van bewust dat er nogal wat wettelijke verplichtingen gelden rondom de (gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens. Vrijwel elke webshopapplicatie heeft een database voor het beheer van persoonsgegevens.

Controleer daarom eerst of uw webshop werkt conform de Wet bescherming persoonsgegevens (Wbp). Flynth adviseurs en accountants heeft voor u alle regels op een rij gezet in een overzichtelijke white paper, die u kunt downloaden, printen en op uw gemak kunt nalezen. Inhoud van de white paper: 

Uw webshop en de Wet bescherming persoonsgegevens

Vrijwel elke webshopapplicatie heeft een database voor het beheer van persoonsgegevens. Om de bestelde artikelen aan uw klanten te kunnen leveren, heeft u immers naam- en (e-mail)adresgegevens nodig. Als u deze gegevens opslaat, bijvoorbeeld in een persoonlijk profiel waarop de online klant kan inloggen, krijgt u ook te maken met de Wet bescherming persoonsgegevens (Wbp). Deze wet verplicht partijen in de publieke en private sector om de gegevens van derden zorgvuldig te verwerken en te beheren.
Veel webshop-exploitanten houden zich onbewust bij de (gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens niet aan de wettelijke verplichtingen. Wie deze verplichtingen niet nakomt, pleegt in beginsel een strafbaar feit. Dat kan boetes of zelfs vervelender consequenties tot gevolg hebben. 

Verwerken van persoonsgegevens

Volgens de Wet bescherming persoonsgegevens is er sprake van persoonsgegevens, als gegevens informatie bevatten over een natuurlijke persoon die met de gegevens identificeerbaar is. Gegevens over een bedrijf zijn geen persoonsgegevens, maar de naam en andere gegevens van een contactpersoon bij die onderneming zijn wel persoonsgegevens. Onder het beheren of verwerken van persoonsgegevens valt een groot aantal handelingen, zoals het verzamelen, vastleggen, ordenen, bewaren en bijwerken. 

Eisen Wbp

Verzamelt u gegevens van uw klant, dan moet u aan een aantal eisen voldoen. U mag niet zomaar gegevens verwerken, hiervoor moet u een uitdrukkelijk omschreven doel hebben. U moet bij elke stap in de gegevensverwerking nagaan of die stap noodzakelijk is voor het omschreven doel. In elk geval moet u onnodige of niet-relevante verwerking van gegevens voorkomen. De gegevensverwerking moet u steeds kunnen baseren op één van grondslagen in de Wbp. Voor uw webshop zijn belangrijkste grondslagen:
• U heeft ondubbelzinnige toestemming gekregen voor het opslaan van persoonsgegevens (de betrokkene kan deze toestemming ook weer intrekken);
• De verwerking is noodzakelijk voor het uitvoeren van een overeenkomst; dit zal bij een webshop meestal het geval zijn. 

Meldingsplicht College bescherming persoonsgegevens

Online ondernemers die persoonsgegevens van hun klanten geautomatiseerd verwerken, moeten dit verplicht melden bij het College bescherming persoonsgegevens (Cbp). Deze wettelijke verplichting wordt in de praktijk nog wel eens over het hoofd gezien. De melding moet worden gedaan vóór de aanvang van de verwerking van de persoonsgegevens, maar ook wijzigingen moet u melden. U moet het Cbp melden wat het doel is van de gegevensverwerking, onder welke categorie de betrokkenen vallen, welke gegevens per categorie betrokkenen worden verzameld, welke beveiligingsmaatregelen u heeft ingesteld om de gegevens te beschermen en of er sprake is van doorgifte aan landen buiten de EU.
Wie dit niet doet, pleegt een strafbaar feit en kan een boete van maximaal 4.500 euro en zelfs een celstraf van maximaal zes maanden opgelegd krijgen. Het Cpb controleert dit steekproefsgewijs en op basis van meldingen of klachten van betrokkenen. Een paar specifieke activiteiten zijn vrijgesteld van de meldingsplicht, zoals de verwerking van gegeven ten behoeve van lidmaatschap, arbeid en pensioen. Voor journalistieke, artistieke of literaire doeleinden is de Wbp beperkt van toepassing. 

Verplichte informatieverstrekking

Bij het vragen om toestemming voor het opslaan van persoonlijke gegevens moet u uw klant informeren over wie u bent en waarvoor u de gegevens verzamelt en verwerkt. Ook moet u altijd antwoord (kunnen) geven op de vraag of – en zo ja: welke – persoonsgegevens u van iemand heeft verwerkt. Betrokkenen moeten kunnen nagaan wat er met hun gegevens gebeurt.
Ook deze verplichte informatieverstrekking is opgenomen in de Wbp. U moet kunnen aangeven wie verantwoordelijk is voor de gegevensverwerking, met welk doel u de gegevens verzamelt en u moet een overzicht kunnen overleggen van alle bij u opgeslagen gegevens. Krijgt u zo’n informatieverzoek, dan moet u binnen vier weken schriftelijk (elektronisch is ook schriftelijk) antwoord geven. Wanneer de gegevens onjuist, onvolledig of in strijd met de Wbp zijn, dan moet u die op verzoek corrigeren.
Doel van deze meldingsplicht en verplichte informatieverstrekking is het zorgen voor openheid en om personen, van wie gegevens worden opgeslagen, de mogelijkheid te geven om te controleren wat er met hun gegevens gebeurt. 

Welke beveiligingsmaatregelen?

De Wbp schrijft voor dat u persoonsgegevens technisch en organisatorisch moet beveiligen tegen verlies of onrechtmatige verwerking. Welke beveiligingsmaatregelen u moet treffen, is afhankelijk van de gevoeligheid van de opgeslagen persoonsgegevens. Hiervoor heeft het Cbp de ‘Richtsnoeren beveiliging van persoonsgegevens’ opgesteld. 

Andere relevante regel- en wetgeving

Wie een webshop runt, moet naast de Wbp ook rekening houden met andere regels en voorschriften, zoals de wettelijke regeling voor algemene voorwaarden, regelingen inzake privacy statements, de cookiewet, voorschriften voor elektronische handel, handel met het buitenland of technische voorschriften voor ICT-systemen en de richtlijnen inzake beveiliging van uw gegevens.
 

Gratis toegang

Alleen geregistreerde abonnees hebben toegang tot deze pagina.

Registratie is volledig gratis en geeft u direct toegang tot het opgevraagde document of artikel en tot honderden andere checklists, artikelen, contracten en tests & tools.

GRATIS REGISTREREN
 
Bent u al abonnee, vul hier uw e-mailadres en wachtwoord in:

E-mailadres:
Uw persoonlijke wachtwoord:
Wachtwoord vergeten?
 
Bescherm uw data - infographic over informatiebeveiliging
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
reacties
Cybersecurity-blunders van derden vormen grootste kostenpost (3) 
Goede vragen stellen is een kunst (2) 
Mobiele professionals steeds meer verslaafd aan Wi-Fi (1) 
Hoe stel in het functoneren van mijn projectleider aan de kaak? (1) 
Nederlander verveelt zich het minst vaak op het werk (2) 
HR-verantwoordelijke mkb ligt wakker van behouden werknemers (4) 
Mobile app op zijn retour (1) 
beurs
Stijgers Dalers
Gemalto 45.6  34.6 %
Altice 8.83  8.5 %
Postnl 4.1  4.3 %
TNT express 8.45  -9.5 %
Unibail-roda 215  -4.1 %
Galapagos 73.75  -3 %
Leden FNV ook akkoord met cao PostNL
Beursupdate: AEX op Wall Street
Update: Atos doet bod op Gemalto
meer beurs
top10
Goede vragen stellen is een kunst
Een vijfde van de loonstrookjes klopt niet
HR-verantwoordelijke mkb ligt wakker van behouden werknemers
Veilig bestanden delen: zeven best practices
Nederlander verveelt zich het minst vaak op het werk
Lean & Agile: gouden huwelijk of langdurige strijd?
Cupido Festival 2017: klantenliefde? Start met bevlogen medewerkers
Strijd om tech-talent losgebroken
Belang employer branding neemt toe in recruitmentproces
Organisaties met goed risicomanagement beter bestand tegen risico’s
meer top 10
vacatures
meer vacatures