Plaats direct je vraag

Privacy en advocaat

De Wet Bescherming Persoonsgegevens waakt over de privacy van gebruikers. In de meeste gevallen moet iemand toestemming geven voor het gebruik van zijn persoongegevens. Dit laatste is een ruim begrip. Het gaat uiteraard om je naam, maar ook je foto, IP-adres en e-mailadres zijn persoonlijke gegevens. Stelregel is dat het gaat om data die ‘tot jouw persoon te herleiden zijn’ (identificeerbaar). Als verantwoordelijke (eigenaar website) voor de gegevens dien je de gebruiker op de hoogte te stellen van de omgang met zijn of haar persoonsgegevens. Meestal wordt hiervoor een privacyverklaring (privacy statement) opgenomen op de site. Met daarin: hoe wordt omgegaan met – bijvoorbeeld – de gegevens van de consument, wat is het beleid t.a.v. cookies, wat is het beveiligingsniveau van de gegevens, etc. De precieze juridische status van een privacy statement is niet volkomen helder, maar algemeen wordt aangenomen dat het de betrokkene beschermt tegen oneigenlijk gebruik van zijn gegevens. En dus wordt de verantwoordelijke, eigenaar van de data, door het privacy statement beperkt in zijn handelen. Afwijken van de verklaring kan worden opgevat als onrechtmatig.

Bij het beheren van een webshop is vaak sprake van verwerking van persoonsgegevens. Door klanten worden naam en adres gegevens achtergelaten bij het plaatsen van een bestelling. Als beheerder van de webshop dien je hier voorzichtig mee om te gaan. Zaak dus om je voor jouw handel via internet goed te laten informeren omtrent de privacy regelgeving. Advocaatzoeken.nl beschikt over een breed netwerk van advocaten internetrecht. Worden jouw gegevens door een wederpartij oneigenlijk gebruikt en wil je dit aanvechten? Ook dan is het verstandig om advies in te winnen en een plan van aanpak op te stellen met de hulp van een advocaat met ervaring in het internetrecht.

Welke privacy regels gelden er voor webshops?

Persoonsgegevens mogen alleen worden verwerkt (dus verzamelt, bewaart, gebruikt etc) als de persoon op wie die gegevens betrekking heeft daarvoor toestemming heeft gegeven of als er een goede reden is voor het verwerken van de gegevens. De persoon (klant van de webshop) moet zelf actief toestemming hebben gegeven en het moet voor deze persoon duidelijk zijn waarvoor hij of zij toestemming geeft. Een klant kan toestemming geven door akkoord te gaan met de privacy verklaring bij het inschrijven op de webshop of bij het plaatsen van een bestelling. De klant moet namelijk goed geïnformeerd zijn over welke gegevens gebruikt zullen worden en met welk doel de toestemming gegeven wordt. Je zult als eigenaar van een webshop daarom verplicht zijn om een privacyverklaring op jouw website te plaatsen. In de privacy verklaring moet staan welke gegevens van de klanten worden verzameld, wat er met de gegevens gebeurd en waarom de gegevens verwerkt worden. Je zult persoonsgegevens hiernaast niet meer mogen gebruiken of langer mogen bewaren dan strikt noodzakelijk voor de werking van de webshop. Ook moet de toegang tot deze gegevens worden beperkt. Je zult de gegevens dus moeten beschermen.

Voor je persoonsgegevens gaat verwerken in het licht van jouw webshop, dien je dit te melden aan de Autoriteit persoonsgegevens. Op die manier kan toezicht worden gehouden en kunnen klanten hun gegevens indien gewenst inzien. Meld je niet dat je persoonsgegevens verwerkt? Dan loop je het risico een boete opgelegd te krijgen van maximaal 4500 euro.

Wat is een privacyverklaring?

Een privacyverklaring moet op de webshop worden geplaatst, zodat voor klanten duidelijk is welke gegevens worden verwerkt en wat ermee gebeurt. In een privacyverklaring moet ten eerste de bedrijfsgegevens van de webshop worden opgenomen, zoals de naam, adres en contactgegevens. Ook moet duidelijk zijn welke gegevens van klanten precies worden verzameld en wanneer. Bij het bestelproces zullen doorgaans persoonsgegevens worden verzameld. Ook het doel van het verzamelen van deze gegevens moet duidelijk worden gemaakt en het moet duidelijk zijn waar de gegevens worden opgeslagen. Bij webshops zullen persoonsgegevens worden verzameld zodat de bestelling kan worden verzonden. Indien je op jouw webshop gebruik maakt van cookies zal ook vermeld moeten worden welke cookies worden gebruikt en waarom. Als klanten nieuwsbrieven zullen ontvangen is het zaak om hen ook hier attent op te maken en toestemming te verkrijgen. Je kunt klanten tevens attent maken op hun inzage recht, hetgeen later nog besproken zal worden. Tot slot dien je klanten te informeren over de wijze waarop de persoonsgegevens beveiligd zijn. Welke technische en organisatorische maatregelingen zijn er genomen om te voorkomen dat gegevens gehackt worden?

Klanten moeten akkoord gaan met de privacyverklaring als zij een bestelling plaatsen en gegevens achterlaten. Het is verstandig om de privacyverklaring duidelijk op de webshop te vermelden en te zorgen dat het makkelijk vindbaar is.

Voorbeeld
Een klant maakt een account aan op jouw webshop en laat persoonsgegevens achter, zoals naam, adres, e-mail adres en rekeningnummer. Als eigenaar van de webshop dien je hier zorgvuldig mee om te gaan. Het moet voor de klant bovendien duidelijk zijn waar deze gegevens voor gebruikt zullen worden en of ze worden bewaard. Laat de klant daarom akkoord gaan met de privacyverklaring. Dit kan door klanten hiervoor een vakje aan te laten vinken bij het aanmaken van een account of gedurende het bestelproces.

Hoe dien je persoonsgegevens op jouw webshop te beschermen?

Je dient altijd met grote zorgvuldigheid om te gaan met persoonsgegevens van klanten. Je dient als eigenaar van een webshop de persoonsgegevens van gebruikers dus te beveiligen tegen diefstal of misbruik. Er moeten voldoende technische en organisatorische maatregelen genomen worden. Er moet moderne techniek gebruikt worden om persoonsgegevens te beschermen tegen bedreigingen van buitenaf. Hackers mogen geen kans krijgen om bij persoonsgegevens te komen doordat er gebruik wordt gemaakt van verouderde techniek. Ook binnen de organisatie moet de toegang tot de persoonsgegevens beperkt zijn. De persoonsgegevens mogen niet verder worden gebruikt dan noodzakelijk voor de werking van de webshop. Niet iedereen binnen een bedrijf heeft voor het uitvoeren van zijn werkzaamheden toegang nodig tot de persoonsgegevens van gebruikers van de website.

Wat moet je doen als er sprake is van een datalek?

Is er sprake van diefstal of misbruik van persoonsgegevens via jouw website? Dit wordt ook wel datalekken genoemd. Als de lek ernstige nadelige gevolgen kan hebben voor de privacy van de personen op wie de persoonsgegevens betrekking hebben, moet dit volgens de “meldplicht datalekken” zo snel mogelijk melden bij worden aan de Autoriteit Persoonsgegevens. Meld je niet op tijd dat er sprake is van datalekken? Of blijkt dat de beveiliging van jouw systeem niet op orde is? Dan kun je een boete opgelegd krijgen.

De vraag rijst of jouw IT leverancier aangesproken kan worden indien blijkt dat deze niet heeft gezorgd voor voldoende beveiliging. De IT leverancier is alleen aansprakelijk indien deze is tekortgeschoten in de nakoming van de overeenkomst, ook wel wanprestatie genoemd. Of de IT leverancier aansprakelijk is, zal dus afhankelijk zijn van wat er in het IT contract is opgenomen. Zijn er afspraken gemaakt over de beveiliging? Dan zal er over het algemeen sprake zijn van een tekortkoming indien de beveiliging niet met deze afspraken overeenkomt. De tekortkoming moet de IT leverancier wel kunnen worden toegerekend.

Voorbeeld
Het software systeem van jouw bedrijf is gehackt. Er is sprake van een datalek. Je meldt dit bij de Autoriteit Persoonsgegevens en al snel blijkt dat jouw beveiliging niet op orde was. Je spreekt de IT leverancier aan. In het contract was immers opgenomen dat deze tevens voor de beveiliging zou zorgen. De IT leverancier stelt zich op het standpunt dat de verplichtingen uit de overeenkomst gewoon zijn nagekomen en dat een dergelijke hack hem niet verweten kan worden. Heeft de IT leverancier gelijk dan kun je een eventuele boete niet op de hem verhalen. Kan de IT leverancier wel een verwijt worden gemaakt, dan kun je de boete op hem verhalen. Een advocaat kan jou adviseren over jouw kansen om een gerechtelijke procedure te winnen.

Wanneer moet je als eigenaar van een webshop aan de Wet bescherming persoonsgegevens (nu: AVG) voldoen?

De Wet bescherming persoonsgegevens (Wbp) bevat regels voor het geautomatiseerd verwerken van persoonsgegevens. Als je persoonsgegevens verzamelt en gebruikt voor privé doeleinden valt dit niet onder de wet. Als je persoonsgegevens gebruikt voor een webshop via een computer moet je wel aan de regels uit de Wbp voldoen. Elke handeling die je verricht valt onder verwerking met persoonsgegevens. Denk aan het verzamelen, bewaren, bewerken, gebruiken en uitwisselen van gegevens. Persoonsgegevens zijn gegevens die tot jouw persoon te herleiden zijn. Het zijn dus gegevens aan de hand waarvan je kan worden geïdentificeerd zonder dat daarvoor een bijzondere inspanning geleverd hoeft te worden. Denk aan je naam, (e-mail) adres en foto’s. Hiernaast zijn er ook bijzondere persoonsgegevens die de privacy ernstig kunnen aantasten. Denk aan gevoelige gegevens over iemands geloofsovertuiging, ras, gezondheid, aanraking met politie en justitie of Burgerservicenummer.

Indien je een webshop beheert zul je dus op enig moment te maken krijgen met de verwerking van persoonsgegevens en aan de Wet bescherming persoonsgegevens voldoen.

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (ook wel: de AVG) van toepassing. Hiermee geldt binnen de gehele Europese Unie dezelfde privacywetgeving. Door inwerktreding van deze nieuwe regelgeving geldt de Wbp niet langer. De grootste veranderingen ten opzichte van de Wpb zijn versterking en uitbreiding van de privacyrechten, meer verantwoordelijkheden voor bepaalde organisaties en grote bevoegdheden voor alle Europese privacytoezichthouders.

Voorbeeld
Een klant plaatst een bestelling op jouw website via een account of laat adresgegevens achter. Deze gegevens zullen bewaart worden of gebruikt worden om de bestelling te kunnen verzenden. Als eigenaar van de webshop zul je dus moeten voldoen aan de regelgeving van de Wbp.

Welke rechten hebben klanten ten aanzien van hun persoonsgegevens?

Klanten van een webshop van wie persoonsgegevens worden verwerkt hebben het recht om hun persoonsgegevens in te zien en te zien op welke manier hun persoonsgegevens worden verwerkt. Indien de klant het niet eens is met de wijze waarop zijn gegevens worden verwerkt, dan kan hij zich hiertegen verzetten. Ook hebben zij het recht om hun gegevens te wijzigen of hun account en gegevens te verwijderen. Klanten hebben het recht om vergeten te worden.

Plaats direct je vraag