Webshops, persoonsgegevens en AVG, deel 2

Je hebt een webshop en weet alles over grondslagen en mailberichten. Maar welke gegevens mag je nou vragen?

De grondslagen en daarmee de AVG in zijn algemeen, laten ruimte voor interpretatie. In praktijk heeft dit als gevolg dat webshophouders onvoldoende stil staan bij technische aanpassingen, of bewust kiezen om niet alle persoonsgegevens te verwijderen binnen een systeem.

Onbekend met grondslagen voor gegevensverwerking? Nieuwsgierig of er na bestelling mailberichten verstuurd mogen worden naar betrokkenen? Lees onze eerdere Webshop en AVG blog.

Bestelproces en geslacht/aanhef conform AVG

Om meer tot de verbeelding te spreken, geven we in dit bericht enkele praktische handvaten, om te illustreren hoe stil gestaan kan worden bij verwerking van persoonsgegevens onder de AVG wetgeving.

Maakt het voor de bestelling, voor het product of voor de bezorging uit wat iemand zijn geslacht is? Buiten de discussie om, is dit binnen de AVG voer voor discussie. Want, als het voor de uitvoering van een overeenkomst dient, zou gesteld kunnen worden dat dit gegeven niet gevraagd hoeft te worden.

Voor een zuiver antwoord, hebben we dit als vraagstuk gedeponeerd bij de Autoriteit Persoonsgegevens, de Nederlandse privacy-toezichthouder. Hierover werden we uiteindelijk teruggebeld, voor meer input en de nodige feedback. De strekking van het antwoord was als volgt:

Het geslacht vragen, is maatschappelijk aanvaard (c.q. gebruikelijk) voor een persoonlijke benadering van klanten in een al dan niet geautomatiseerde mail. Hierbij dient echter de kanttekening gemaakt te worden, dat het geslachtsveld niet verplicht gemaakt moet worden, wanneer dit voor het doeleind niet benodigd is.

Webshop, abonnementen en verzekeringen

Bovenstaand was een duidelijk antwoord, waar we vooraf op geanticipeerd hadden. In het verlengde daarvan, hebben we een aanvullend vraagstuk van complexere aard voorgeschoteld aan de Autoriteit Persoonsgegevens, zoals ook terug kan komen in een bestaande Webshop situatie.

Want, wat als een webshop verschillende producten aanbiedt of verkoopt. Denk aan een opticien die online brillen verkoopt, maar ook verzekeringen. Of een webshop voor smartphones, welke ook abonnementen verkoopt.

Webshop en verzekeringen

Bij het afsluiten van verzekeringen, dient een webshop veelal als tussenportaal voor de betreffende verzekering en uiteindelijke verzekeraar. De uiteindelijke verzekeringsmaatschappij bereikt hiermee immers meer mensen. Voor het afsluiten van een verzekering is veelal meer informatie benodigd dan voor een enkele bestelling.

Soms zijn betaalgegevens benodigd. Deze zijn natuurlijk sowieso benodigd voor afrekening voor een online aankoop, maar blijven dan veelal enkel rondcirkelen bij de payment provider zelf. Ook kunnen BSN gegevens benodigd zijn voor het afsluiten van een verzekering. De webshop doet dan een beroep op een subverwerker (of nieuwe verantwoordelijke, afhankelijk van de hierarchie), waarnaar deze gegevens doorgestuurd worden.

Webshop en abonnementen

Hetzelfde gaat ook op voor bijvoorbeeld abonnementen. Hiervoor dienen gegevens, zoals financiele gegevens, door de webshop verzameld te worden, om door te kunnen zetten naar de abonnement verstrekker.

Webshop en gevoelige data

In de programmatuur zal dus rekening gehouden moeten worden met de invoer van dergelijke data. Echter, deze data is dus niet benodigd wanneer een simpel product wordt besteld. Mag je deze gegevens vragen, of moet er technisch onderhoud plaats vinden, om te zorgen dat de betreffende velden zich alleen aandienen als het besteld product er om vraagt c.q. nodig heeft? Hierover zei Autoriteit Persoonsgegevens het volgende:

Wanneer de omschreven technische aanpassing te veel voeten in de aarde heeft, zou er tekstueel toegelicht kunnen worden of een veld al dan niet verplicht is. Het is een manier om betrokkene te informeren over omstandigheid of BSN verplicht is om de dienstverlening op een goede manier te laten plaatsvinden of bepaald product, zoals dus BSN of bankrekeningnummer, te verwerken.

Technische maatregelen

Ga in geval van persoonsgegevens, anders dan gewone persoonsgegevens, over op technische maatregelen. Alhoewel hierin niet vanuit techniek op in werd gegaan door de Autoriteit Persoonsgegevens, kunnen we de juiste technische maatregelen als volgt uitdenken: anonimiseren, pseudonimiseren of verwijderen.

Denk ook aan andere algehele of externe technische maatregelen:

  • Een SSL certificaat zorgt ervoor dat persoonsgegevens dat wordt ingevoerd in bijvoorbeeld een bestelproces, over een versleuteld verstuurd wordt tussen browser en server;
  • Overweeg voor doorsturen van informatie, protocollen als SOAP, waarbij bepaalde persoonsgegevens en/of gehele berichtgevingen aanvullend versleuteld kunnen worden;
  • Plugin of packages (al dan niet open source) kunnen kwetsbaarheden introduceren. Sluit onbekende bronnen uit;
  • Voorkom, zeker in geval van transacties of invloedrijke mutaties, session hijacking via XSS of CSRF;
  • Overweeg in het geval van gevoelige data dat herhaaldelijk opgevraagd kan worden, maatregelen als Two Factor Authenticatie.

Vragen over een specifiek scenario? Schroom niet om contact met ons op te nemen.