De Algemene Verordening Gegevensbescherming (AVG of ook wel GRPR) werd op 25 mei 2018 van kracht.
Ze zijn voor jou van toepassing als:
- je klanten hebt in de EU
- je e-mails stuurt naar EU-burgers
- je bezoekers hebt uit de Europese Unie op je website
De regelgeving probeert de persoonlijke informatie van EU-burgers te beschermen door te definiëren:
- de gegevens die je mag verzamelen van klanten en bezoekers in de EU
- wat je kunt doen met de gegevens en
- de rechten van de mensen geïdentificeerd door de gegevens
- hoe je die gegevens moet beveiligen
Het is niet zo slecht als ze op het eerste gezicht lijkt
De boetes voor niet-naleving zijn enorm: tot 20 miljoen euro of 4% van de jaaromzet: afhankelijk van welke hoger is. Dat maakt het negeren van de AVG een risicovolle optie.
Toch zijn dingen niet zo slecht als ze lijken voor online verkopers. Dat komt omdat de regelgeving rekening houdt met verkopers om het naleven gemakkelijker te maken.
En ze zijn niet helemaal nieuw. Ze verfijnen en versterken de bestaande regels die al langere tijd bestaan.
Onze online systemen en services voldoen aan de AVG en helpen je daarbij.
De volgende informatie legt uit hoe de regels jou raken. Houd er wel rekening mee dat dit geen juridisch advies is. Als je twijfelt, zoek dan altijd juridisch advies voor jouw specifieke situatie.
Wat zijn de persoonlijke gegevens die de AVG beschermt?
De AVG definieert alle gegevens als persoonlijk die direct of indirect de identificatie van een persoon, de zogenaamde gegevenssubject, toelaten. Als je persoonlijke gegevens wilt gebruiken, moet je toestemming hebben van de betrokkene.
Dat omvat de naam, contactgegevens en adressen. Maar ook online gebruikersnamen, creditcardnummers, tracking-cookies, tracking-afbeeldingen in e-mails en zelfs IP-adressen.
Daarbovenop zijn speciale categorieën persoonlijke gegevens. Zoals geslacht, religie, haar- en huidskleur, politieke voorkeuren en meer. Deze zijn zelfs meer gereguleerd en zijn verboden terrein voor online verkopers.
Welke gegevens kun je verwerken?
Je mag alle persoonlijke gegevens verwerken die je nodig hebt om een bestelling uit te voeren zonder speciale toestemming te vragen. Dat komt omdat het plaatsen van een bestelling - of zelfs de intentie om een bestelling te plaatsen, zoals het aanvragen van een offerte - automatische toestemming impliceert volgens de AVG.
Dat betekent de naam, verzend- en afleveradres, contactgegevens en betalingsgegevens.
Verwerken is trouwens alles wat je doet met de persoonlijke gegevens. Van verzamelen, opslaan, weergeven en afdrukken tot het doorlopen van geautomatiseerde processen. Bijvoorbeeld om betalingen goed te keuren of om een e-mail te sturen.
Maar hoe zit het met het toevoegen van klanten aan je directmarketinglijst? Dat is niet vereist om een bestelling uit te voeren. Dus, mag je in de toekomst nog steeds je klanten speciale aanbiedingen en nieuwsbrieven sturen zonder hun uitdrukkelijke toestemming?
Het verzenden van marketing e-mails naar uw klanten
Ja, dat mag.
Omdat de AVG een andere vrijstelling heeft die in jouw voordeel werkt. Net als bij de oude regels geeft de AVG je het recht om de persoonlijke gegevens die je verzamelt te gebruiken voor jouw legitieme belangen (artikel 6, onder f).) En legitieme belangen vereisen geen toestemming.
De GDRP definieert direct marketing duidelijk als een "legitiem belang" in overweging 47. U bent dus volledig gedekt als het gaat om e-mailmarketing aan uw klanten.
Hoe zit het met marketing aan potentiële klanten?
Net als in het verleden moet je ze altijd om toestemming vragen om ze toe te voegen aan je e-maillijst. Een eenvoudig selectievakje "Stuur me speciale aanbiedingen" als onderdeel van een contactformulier is alles wat je nodig hebt (overweging 32). Zorg ervoor dat het niet vooraf is aangevinkt, want dat telt niet.
Nieuw is wel dat je deze toestemming moet opslaan. Dus je moet kunnen bewijzen dat de toestemming gegeven is, in de toekomst, indien nodig.
White Paper Marketingstrategieën
Als je White Papers, afbeeldingen of andere gratis geschenken weggeeft op uw website, heeft u geen extra selectievakje nodig, maar u moet wel duidelijk maken dat u het e-mailadres aan uw marketinglijst toevoegt.
Dat komt omdat de AVG een duidelijke en geïnformeerde actie van een bezoeker vereist om toestemming aan te geven.
Om dit te bereiken, voeg je gewoon de juiste tekst toe aan je download- of bestemmingspagina - idealiter direct boven de downloadknop. Zoals: "Door dit document te downloaden, gaat u ermee akkoord om te worden toegevoegd aan onze e-maillijst. U kunt zich op elk gewenst moment afmelden. "
Wat moet ik doen met mijn oude e-mailcontacten?
Je mag je vorige klanten blijven e-mailen. Je mag doorgaan met e-mailen naar iemand die volgens de oude regels heeft gekozen voor jouw e-maillijsten.
Vergeet niet om altijd een afmeldingslink op te nemen in uw marketing e-mails.
Hoe zit het met cookies?
Volgens de AVG zijn cookies persoonlijke gegevens, als ze een specifieke gebruiker kunnen identificeren.
De enige cookies die ShopFactory en Santu gebruiken zijn zogenaamde sessie- en winkelwagentje-cookies. Deze zijn vrijgesteld van de AVG en zelfs van de zogenaamde cookiewet.
Tenzij je andere scripts op je website hebt, hoef je de Cookie-waarschuwing zelfs niet aan je EU-klanten te laten zien. (Artikel 29 Werkgroep richtlijnen).
Hoe zit het met Google Analytics en andere scripts? **
Google, Facebook, online chatprogramma's en andere scripts gebruiken vaak tracking-cookies om je bezoekers te volgen en identificeren. Niet alleen op jouw website, maar soms ook op internet. E-mailmarketingprogramma's voegen trackingafbeeldingen toe aan marketing-e-mails.
Wij zijn van mening dat het gebruik van elementaire websitetracking via Google Analytics en vergelijkbare diensten ook onder artikel 6 (f) valt. Dit betekent dat je geen toestemming nodig hebt wanneer je ze gebruikt. We denken zelfs niet dat je de waarschuwing voor cookies hoeft te laten zien, omdat je duidelijk een legitiem belang kunt betwisten.
Hetzelfde kan worden gezegd van cookies voor sociale media die je gebruikt om je producten en diensten te verkopen, te verbeteren.
Als je echter cookies gebruikt die persoonlijke gegevens verzamelen volgens de AVG, moet je bezoekers hiervan wel even op je privacypagina op de hoogte stellen. En je moet toestaan dat ze zich afmelden voor deze cookies.
ShopFactory is aangepast om aan deze vereisten te voldoen. Dit betekent dat ShopFactory automatisch een opt-out-functie toevoegt aan je privacypagina, indien nodig. Pas de AVG-instellingen in ShopFactory Central / Mijn Winkel naar wens aan.
We raden je ook aan om wat tekst toe te voegen onderaan je privacypagina, waarin je aangeeft dat je cookies gebruikt en waarom. We voegen vervolgens een opt-out-functie toe aan de onderkant van de privacypagina.
Hier is een mogelijk voorbeeld van zo'n tekst:
Wij gebruiken cookies of soortgelijke methoden op onze website en in onze e-mails voor onze legitieme belangen volgens artikel 6 (f) van de AVG.
Ze stellen ons in staat om:
- onze online winkel functies uit te voeren
- uw bezoekerservaring te verbeteren
- websiteverkeer bij te houden om ons te helpen bij het beheren van onze website
- social media-functies aan te bieden
- websiteverkeer te analyseren voor marketingdoeleinden
- reacties op marketing-e-mails te analyseren
Niet iedereen is het eens met deze aanpak. Dus als uw juridisch adviseur u vertelt dat u uw klanten toestemming moet geven om trackingcookies te gebruiken, kunt u dat ook instellen.
Recht om persoonlijke gegevens te verwijderen en te corrigeren
De AVG geeft betrokkenen ook meer rechten op hun persoonlijke gegevens. Zij kunnen je vragen om persoonlijke gegevens te corrigeren en te verwijderen.
ShopFactory heeft een functie waarmee je persoonlijke gegevens kunt bijwerken zoals vereist in jouw ShopFactory Cloud- of Santu-accounts
Het recht om te worden vergeten betekent dat een klant of andere persoon je kan vragen om hun persoonlijke gegevens volledig van jouw systemen te verwijderen.
Dit recht is echter niet van toepassing, omdat u de gegevens moet opslaan voor fiscale of andere regelgevende redenen. In de meeste landen moet u contracten bewaren voor zeven of acht jaar, en soms zelfs langer. Gedurende die periode is het 'recht om te worden vergeten' niet van toepassing.
Zodra de tijd verstreken is, kun je de gebruikers en de bestellingen die zij geplaatst hebben makkelijk verwijderen.
We zullen ook een functie ter beschikking stellen waarmee je de bestellingen kunt bijwerken door het verwijderen van de persoonlijke gegevens, zodra de officiële opslagtermijn is verstreken. Op die manier kun je de orders voor statistische doeleinden bewaren en toch voldoen aan de AVG.
Beveiliging van gegevens
Wij accepteren en verwerken de persoonlijke gegevensvan je klanten veilig online in het kader van het afrekenen en ordermanagement. Tijdens de overdracht en bij de opslag namens jou in onze databases in Europe worden de gegevens versleuteld. De versleuteling vindt dus plaats bij de overdacht en 'in rust'.
We maken ook voortdurend een veilige back-up van je gegevens, om verlies te voorkomen.
Dus als je jouw bestellingen online bij ons opslaat, ben je zeker van gegevensbeveiliging.
Zorg er dus voor dat je een gegevensverwerkingsovereenkomst met ons hebt. En met jouw andere dienstverleners, zoals vereist door de AVG (meer hierover kun je hieronder lezen).
Houd er rekening mee dat de AVG ook van toepassing is als je contactgegevens accepteert, bijvoorbeeld via de telefoon, en deze noteert op papier. Of als je drukwerk als direct mail via de post verstuurt. Je moet er dan zorgen dat jouw bedrijf ook deze persoonlijke gegevens beschermt.
Gelukkig heb je geen effectbeoordeling van de gegevensbescherming of een privacymedewerker nodig als je een normale webwinkel runt.
Gegevensverwerking overeenkomst
Als het gaat om het verzamelen en verwerken van persoonlijke gegevens, ben jij als winkeleigenaar verantwoordelijk voor wat er met de gegevens gebeurt. Maar als je een deel van dit werk aan ons uitbesteedt, worden wij jouw gegevensverwerker volgens de AVG.
Dit betekent dat de AVG vereist dat je een gegevensverwerkingsovereenkomst met ons hebt, zodat je er zeker van kunt zijn dat wij namens jou aan de AVG zullen voldoen.
Dit geldt niet alleen voor ons. Dit is van toepassing op elke dienst die je gebruikt om gegevens namens jou te verwerken. Bijvoorbeeld je betaalproviders, verzendproviders en online boekhoudsystemen.
Je kunt onze verwerkingsovereenkomst downloaden door in te loggen op je ShopFactory Cloud- of Santu-account en naar de sectie 'Mijn account' te gaan. Je hoeft het alleen maar te medeondertekenen en per e-mail naar ons te sturen, zoals in het document wordt uitgelegd, om de overeenkomst bindend te maken.
Wat moet je nog meer doen?
Zodra je de veiligheid van persoonlijke gegevens online hebt gegarandeerd door gebruik te maken van onze diensten en verwerkingsovereenkomsten af te sluiten met de verschillende gegevensverwerkers die je gebruikt, blijft er nog wat papierwerk over.
Dat komt omdat de AVG vereist dat je als online winkeleigenaar documenteert welke gegevens je verzamelt, en wat je ermee doet.
Hieronder volgt een eenvoudig voorbeeld. Zorg ervoor dat je dit met jouw juridisch adviseur bespreekt als je het voor je eigen doeleinden aanpast. Wij kunnen je geen juridisch advies geven.
Bedrijfsnaam: Koekenbakkers BV
Eigenaar: Egon Bakker, Bakkerstraat 25, 1111 AA, Amsterdam, Nederland
Wij verwerken persoonlijke gegevens van websitebezoekers en klanten op onze website en in e-mails.
Wij verzamelen en verwerken persoonlijke gegevens om bestellingen uit te voeren, waaronder namen, contactgegevens, adresgegevens en betalingsgegevens. We verzamelen ook gegevens via cookies en soortgelijke traceringstechnologieën om het gedrag van bezoekers op onze website en in e-mails te monitoren, zodat we de bezoekerservaring op onze website en in e-mails kunnen verbeteren, bijvoorbeeld door geschikte productaanbevelingen te doen. We gebruiken ook persoonlijke gegevens die zijn verzameld voor legitieme marketingdoeleinden.
Wij gebruiken Santu Pty Ltd als verwerker om namens ons klantgegevens te verzamelen. Wij gebruiken PayPal als verwerker om namens ons betalingen te verwerken. Wij gebruiken XYZ Couriers als verwerker om producten namens ons te verzenden. Wij gebruiken Google Analytics om het verkeer op onze website te volgen. We gebruiken Mailchimp als processor om marketing e-mails te versturen en te volgen.
Persoonlijke gegevens worden 8 jaar bewaard om te voldoen aan overheidsvoorschriften.
Als we ons bewust worden van een inbreuk op de beveiliging waarbij persoonlijke gegevens geopenbaard zijn, zullen wij binnen 72 uur contact opnemen met onze toezichthoudende autoriteit, in het bijzonder: Naam van de autoriteit en contactgegevens.
De personen van wie persoonlijke gegevens zijn geopenbaard zullen ook onverwijld op de hoogte worden gebracht via hun geregistreerde e-mailadres.
Je privacybeleid
Zorg ervoor dat je jouw privacybeleid en je voorwaarden op je website bijwerkt om ze AVG-conform te maken. Dit valt echter buiten het bestek van dit artikel.
Maar u vindt ook een aantal goede online hulpmiddelen voor een AVG-conform privacybeleid, zoals op https://www.webwinkelkeur.nl/webwinkel/gdpr-avg-privacy-policy-generator/ en op https://goo.gl/piu79B (engelstalig).
AVG-conform met ShopFactory 14 en ShopFactory Cloud
We hebben veel werk verzet om je te helpen AVG-conform te worden.
Wijzigingen die je in staat stellen om tracking-cookies en andere scripts op je website te gebruiken zijn opgenomen in ShopFactory 14. Door je orders op te slaan in de ShopFactory Cloud krijg je toegang tot online verwerking conform de AVG en een gegevensverwerkingsovereenkomst.
Als je nog geen upgrade hebt uitgevoerd naar ShopFactory 14, raden wij je ten zeerste aan dit zo snel mogelijk te doen. Je kunt ShopFactory 14 op dezelfde computer uitvoeren als eerdere versies. Je kunt jouw bestaande winkel importeren en ermee blijven werken. ShopFactory Cloud is het eerste jaar gratis inbegrepen bij elke upgrade.