Webshops, persoonsgegevens en AVG, deel 1

Je hebt een webshop, of bestelt er bij één. Welke grondslagen zijn nodig en mag men jou zomaar nieuwsberichten toesturen?

Wat ons betreft, zeer zeker niet. De AVG laat één ieder vooral stil staan bij de privacy van gebruikers (zoals webshop-klanten) en dus bescherming van persoonsgegevens. In het geval van een webshop, lijkt het in de basis vrij overzichtelijk: vraag niet meer aan persoonsgegevens, dan benodigd voor het doeleind. Gebruik de persoonsgegevens bovendien enkel voor datzelfde doeleind.

En alhoewel de privacy toezichthouder voor bijvoorbeeld privacy statements voorschrijft dat dit in begrijpelijke taal gecommuniceerd moet worden, is bovenstaand dat niet direct. Want, waar moet je als webshophouder dan aan denken?

Al bekend met grondslagen en versturen van mailberichten? Lees de technische gevolgen voor een Webshop, bijvoorbeeld in geval van abonnementen en verzekeringen.

In gesprek met Autoriteit Persoonsgegevens

Vanuit praktijk poogt AVG Cloud Register een praktische handvat voor webshophouders te bieden, maar uiteraard ook voor webshop bezoekers die overgaan tot bestellen, de zogenaamde betrokkenen. Want wat is redelijk als ook bij wet toegestaan om te vragen aan persoonsgegevens, en wat niet?

Voor een zuiver antwoord op het juridisch vraagstuk, hebben we enkele scenario's voorgelegd aan de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens. Hierbij hebben we onze backend-kennis gedeeld met de AP, om tot goede antwoorden te komen.

Persoonsgegevens binnen een webshop

Via een webshop, kan er sprake zijn van fysieke producten, maar ook puur digitale producten. Wanneer je een online brochure of dienst aanschaft, kan het bestelproces volstaan met betaalgegevens (welke vaak door een nieuwe verantwoordelijke wordt verwerkt) en, binnen de eigenlijke webshop, een emailadres om een document toe te kunnen te sturen.

Voor fysieke producten waar sprake gaat zijn van bezorging aan de deur, zal opgave van adresgegevens benodigd zijn. Deze gegevens vallen onder 'gewone persoonsgegevens'. Om gewone persoonsgegevens te mogen verwerken, dient er een beroep gedaan te kunnen worden op 1 van de 6 grondslagen voor verwerking van persoonsgegevens.

Grondslag gegevensverwerking webshop

Zonder adresgegegevens kan er niet worden overgegaan tot bezorging. Zonder betaalgegevens kan er niet worden overgegaan tot betaling. De grondslagen die hier van toepassing kunnen zijn, zijn als volgt:

  • grondslag: gerechtvaardigd belang
    De verwerking is immers noodzakelijk, voor verrichting van bedrijfsactiviteiten;
  • grondslag: uitvoering overeenkomst
    Er kan sprake zijn van een overeenkomst tussen aanbieder van een dienst, en de afnemer.

Bewaartermijnen en wettelijke verplichting

Buiten de producten die worden aangeboden op een webshop en eventueel benodigde levering, zal er wegens aanwezigheid van betaalverkeer, een administratie moeten worden bijgehouden. Op een bestelling zal immers veelal een factuur volgen, waarvoor een wettelijke bewaarplicht geldt. De belastingdienst schrijft voor dat dergelijke administratie 7 jaar bewaard moet blijven. Het bewaren en daarmee verwerking van deze gegevens, valt onder grondslag wettelijke verplichting.

Rechten van betrokkenen

Een gebruiker heeft het recht om vergeten te worden (recht op vergetelheid). Dit houdt in dat een webshophouder verplicht kan worden om gegevens waarvoor geen grondslag (meer) van toepassing is, te verwijderen. Gegevens benodigd voor de administratie, kunnen daarmee onder grondslag 'wettelijke verplichting', intact blijven mits de bewaartermijn nog niet verlopen is. Wel kan er voor gekozen worden om bijvoorbeeld persoonsgegevens als geslacht, te verwijderen.

Houdt ook rekening met recht op inzage en bijvoorbeeld recht op rectificatie.

Webshop en mailberichten

De webshop heeft de ingevoerde gegevens van een gebruiker opgeslagen. Wat kan de webshophouder er vervolgens mee doen binnen de aanwezige grondslagen?

Nieuwsbrief versturen

Eerder genoemde grondslagen geeft een webshophouder niet een vrijbrief om een verkregen persoonsgegevens voor andere doeleinden te gebruiken. Met andere woorden, u mag een verkregen e-mailadres niet gebruiken voor commerciële uitingen, zolang daar geen grondslag voor aanwezig is. Toestemming is één van de zes grondslagen, waardoor bezoekers middels een checkbox die men kan aanvinken, actief toestemming kunnen geven tot toesturing van dergelijke uiting, zoals een nieuwsbrief.

Let wel: de AVG kent de bepaling "Privacy by default", oftewel: deze checkbox mag niet standaard aangevinkt zijn. Ook mag een checkbox niet verplicht worden gemaakt om over te kunnen gaan tot bestelling (een constructie die onterecht nog wel eens voor websitebezoek en cookie-acceptatie wordt gehanteerd).

Meldingen versturen

Betekent dit dat er binnen de aanwezige grondslagen voor verwerking van persoonsgegevens binnen een webshop dan helemaal geen e-mailberichten meer verstuurd mogen worden? Gelukkig niet. Een bevestigingsmail van de bestelling, mag daarbij verstuurd worden, bijvoorbeeld met bijbehorende factuur als bijlage. Dit mag echter niet verweven worden met een nieuwsbrief. Dit laatste maakt een dergelijke mail immers een commerciële uiting, waardoor er toestemming benodigd is om dergelijke e-mailberichten toe te mogen sturen.

Is er sprake van onderhoud, waarover gebruikers geïnformeerd moeten worden? Ook dan mag er, binnen het kader van de dienstverlening, een mail worden verstuurd naar betrokkenen. Ga echter -losstaand van de AVG wetgeving- voor jezelf na, of daadwerkelijk iedereen per mail bericht moet worden in geval van onderhoud.

In deel 2 van de Webshop & AVG serie, gaan we in op een specifiek scenario. Alvast aan de slag met privacy compliance van je webshop? Lees dan onze AVG & privacy serie.