E-commerce blogreeks (deel 3): Basis privacyregels voor webshops

In de voorgaande blogs van deze e-commerce blogreeks is ingezoomd op de basisregels voor B2C webshops en B2B webshops. In deze blog zetten we de basis privacyregels uiteen die gelden voor een webshop.

Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon (ook wel de betrokkene genoemd). Voor een webshop kunt u hierbij bijvoorbeeld denken aan namen, adresgegevens, contactgegevens, IP-adressen en cookie ID’s. Gegevens van bedrijven zoals bedrijfsnamen, bedrijfsadressen en algemene contactgegevens ([email protected] of het algemene telefoonnummer) zijn in beginsel niet aan te merken als persoonsgegevens. Uitzonderingen hierop zijn bijvoorbeeld adresgegevens van eenmanszaken (welke veelal ook het privé adres zijn), bedrijfsnamen op basis van iemands naam en rechtstreekse contactgegevens van medewerkers van bedrijven.

Zodra u via uw website persoonsgegevens verwerkt (hetgeen u eigenlijk altijd zult doen), betekent dit dat de privacywet- en regelgeving van toepassing is. Dit houdt in dat u de volgende algemene privacyregels dient op te volgen:

• U mag alleen persoonsgegevens verwerken als u hiervoor een rechtsgrond heeft en dit op een behoorlijke en transparante wijze doet (u vraagt een websitebezoeker bijvoorbeeld om toestemming voor het plaatsen van cookies en legt duidelijk uit wat deze cookies doen);
• U mag alleen persoonsgegevens verwerken voor duidelijke en gerechtvaardigde doeleinden (u gebruikt bijvoorbeeld de adresgegevens die u heeft verzameld voor toezending van de bestelling en niet ook om zomaar klantprofielen op te bouwen);
• U mag niet meer persoonsgegevens verwerken dan u nodig heeft (als u bijvoorbeeld geen producten verkoopt die leeftijdsgebonden zijn, hoeft u ook geen geboortedatum te vragen);
• U verwerkt alleen de juiste persoonsgegevens en actualiseert deze indien nodig (als u bijvoorbeeld foutmeldingen krijgt na het versturen van een e-mail, benadert u de klant om te checken of het e-mailadres nog wel klopt);
• U bewaart persoonsgegevens niet langer dan nodig (als iemand zich afmeldt voor de nieuwsbrief hoeft u het e-mailadres van deze persoon niet langer te bewaren, tenzij u deze bijvoorbeeld nog nodig heeft voor contact inzake een bestelling);
• U beveiligt persoonsgegevens op passende wijze (u slaat wachtwoorden voor accounts van klanten bijvoorbeeld gehasht op en beveiligt de verbindingen van uw webshop);
• U maakt afspraken over de zorgvuldige omgang met persoonsgegevens met partijen die in uw opdracht persoonsgegevens verwerken (zo sluit u bijvoorbeeld een verwerkersovereenkomst met de hostingprovider van uw webshop of de cookieleverancier);
• U legt alle (niet incidentele) handelingen die u verricht met persoonsgegevens vast in uw verwerkingsregister (u legt bijvoorbeeld vast dat u nieuwsbrieven met tracking pixels verstuurd, welke mailpartij u hiervoor gebruikt, wat u precies verzamelt en waar u dit voor gebruikt);
• U voert voorafgaand aan verwerkingen met een hoog privacy risico een schriftelijk assessment (DPIA) hierop uit (u wilt bijvoorbeeld bepaalde klanten wel een mogelijkheid tot achteraf betalen bieden en anderen niet, dan werkt u in een DPIA uit of de privacy inbreuk die u hiervoor maakt gerechtvaardigd is).

Voor het toezenden van digitale nieuwsbrieven is toestemming van de ontvanger nodig. Deze toestemming kan actief of passief worden gegeven, afhankelijk van de klantrelatie en inhoud van de digitale nieuwsbrief.

• Toestemming zonder klantrelatie

Als u toestemming vraagt voor een nieuwsbrief moet uit uw vraag duidelijk blijken:

• Namens wie u de nieuwsbrief verstuurt (bijv.: Bedrijf X B.V.);
• Hoe vaak u deze verstuurt (bijv.: 1x per week);
• Waarover de nieuwsbrief gaat (bijv.: wekelijkse aanbiedingen van Bedrijf X B.V.);
• Via welk kanaal deze wordt verstuurd (bijv.: e-mail);
• Waar meer informatie kan worden verkregen (link privacy- en cookieverklaring).

Vervolgens moet de beoogde ontvanger zelf een actieve handeling verrichten om toestemming te geven. Dit kan bijvoorbeeld door een vakje aan te vinken, zijn/haar e-mailadres in te vullen en/of op een button te klikken. Opzeggen van de nieuwsbrief moet net zo makkelijk gaan als aanmelden, en veelal wordt hiertoe standaard onderaan iedere nieuwsbrief een afmeldmogelijkheid geboden.

• Toestemming met klantrelatie

Als aan de volgende voorwaarden is voldaan, is actieve toestemming niet vereist. In dat geval is het bieden van een bezwaarmogelijkheid, bijvoorbeeld door het bieden van een vooraf aangevinkt vakje dat ‘ontvinkt’ kan worden, voldoende:

• De beoogde ontvanger heeft iets gekocht (en dus voor betaald);
• De nieuwsbrief gaat over producten en/of diensten die soortgelijk zijn met hetgeen de beoogde ontvanger heeft gekocht; en
• De beoogde ontvanger is duidelijk geïnformeerd over de nieuwsbrief die hij/zij gaat ontvangen en heeft de mogelijkheid gehad om hiertegen bezwaar te maken.

Ook voor deze nieuwsbrieven geldt dat opzeggen van de nieuwsbrief net zo makkelijk moet gaan als aanmelden.

Let op: Plaatst u tracking pixels in uw nieuwsbrieven en/of maakt u gebruik van gepersonaliseerde nieuwsbrieven? Zo ja, dan moet u hiervoor ook een rechtsgrond hebben en dient dit duidelijk uit de informatie die u over o.a. uw nieuwsbrieven verstrekt naar voren te komen.

Voor het plaatsen van technische of functionele cookies en/of analytische cookies met geen of een geringe privacy inbreuk is geen toestemming van de websitebezoeker nodig (websitebezoekers moeten hierover wel worden geïnformeerd!). Voor het plaatsen van tracking cookies is daarentegen wel toestemming van de websitebezoeker vereist. Deze toestemming moet worden gevraagd vóórdat de cookies worden geplaatst en kan alleen met een actieve, vrije, specifieke en geïnformeerde handeling worden gegeven. Het gebruik van een cookiewall en/of vage omschrijvingen is dan ook niet toegestaan. Daarnaast moet de webshophouder kunnen bewijzen dat hij/zij toestemming heeft gekregen voordat de cookies zijn geplaatst.

Let op: Social media buttons die op een webshop worden geplaatst (bijvoorbeeld om producten eenvoudig te kunnen delen via social media kanalen of om met één druk op de knop de social media pagina van de webshop te bezoeken) kunnen ook tracking cookies plaatsen. Deze cookies mogen eveneens pas worden geplaatst nadat de websitebezoeker hiervoor toestemming heeft gegeven.

Als webshophouder dient u transparant te zijn over alle handelingen die u met persoonsgegevens verricht en dient u betrokkenen hierover te informeren. Dit betekent dat u op een makkelijk vindbare plaats, die via ieder pagina te bereiken is (veelal in de header of de footer), een link naar de privacy- en cookieverklaring plaatst evenals op iedere plek waar persoonsgegevens op basis van toestemming worden verzameld (zoals voor de digitale nieuwsbrief en in de cookiebanner). In de privacy- en cookieverklaring geeft u vervolgens informatie over:

• Uw identiteit en contactgegevens, en (indien aangesteld) van de interne privacy toezichthouder (de functionaris voor gegevensbescherming);
• De persoonsgegevens die u verwerkt, het doel waarvoor u dit doet en de rechtsgrond waarop u dit baseert;
• De categorieën ontvangers van de persoonsgegevens;
• Eventuele doorgifte van persoonsgegevens naar landen/organisaties buiten de Europese Economische Ruimte;
• Hoe lang u de persoonsgegevens bewaart;
• De wettelijke privacy rechten die de betrokkene heeft en hoe deze kunnen worden uitgeoefend;
• Of sprake is van geautomatiseerde besluitvorming.

Deze informatieplicht geldt voor alle persoonsgegevens die via de webshop worden verwerkt. Denk aan bijvoorbeeld persoonsgegevens die worden verwerkt via bestelformulieren, nieuwsbrieven, tracking pixels, chatfuncties, reviews, cookies, contact met de klantenservice, etc.

Dit was de derde blog van deze e-commerce blogreeks. In het laatste deel van deze blogreeks zal worden ingegaan op ‘Nieuwe regels voor consumentenkoop vanaf 1 januari 2022’.

Wilt u meer weten over de privacyregels die gelden voor webshops of wenst u een juridische check van uw webshop? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity