Wat betekent de GDPR voor jouw webshop?

Op 25 mei 2018 treedt de General Data Protection Regulation in werking. GDPR is de Engelse benaming voor de Algemene verordening gegevensbescherming (AVG). Deze regelgeving geldt voor alle sectoren die gebruik maken van individuele consumenten data, zo ook e-Commerce. In dit artikel vertellen we waar je als webshopeigenaar rekening mee moet houden.

Consumenten-data bevat een schat aan informatie die je kan helpen je helpen bij efficiënte en doelgerichte marketing. Het verzamelen van persoonlijke gegevens voor bijvoorbeeld het versturen van gerichte nieuwsbrieven en advertenties brengt echter ook verantwoordelijkheden met zich mee. Deze zijn nu op Europees niveau vastgelegd in de General Data Protection Regulation. Hierin staan regels over verkrijgen van data en hoe hier mee om te gaan.

Hoewel de GDRP enkele nieuwe eisen stelt, is een groot gedeelte al in lijn met de Nederlandse regels over het beschermen van persoonsgegevens. Als je al aan deze regels voldoet hoef je dus zeker niet vanaf nul te beginnen. Toch denken wij dat de invoering van de GDPR een mooi moment is om je huidige processen eens goed tegen het licht te houden.

Toestemming voor het gebruik van persoonsgegevens

Een onmisbare tool binnen e-Commerce is natuurlijk e-mail marketing. Op dit gebied zijn er een aantal dingen waar je rekening mee moet gaan houden. Onder het GDRP moeten organisaties heel helder hebben op welke manier klanten toestemming geven voor re-marketing. Er moet sprake zijn van ‘duidelijk instemmende actie’. Ook moet vooraf duidelijk zijn welke informatie wordt vergaard en waar het nodig voor is.

Er zijn een aantal eisen waaraan deze toestemming moet voldoen:

  • Het vragen naar toestemming moeten ‘opt-in’ geformuleerd worden. Dit klinkt fancy, maar in de praktijk komt het er vaak op neer dat vooraf ingekleurde hokjes niet meer mogen.
  • Toestemming voor re-marketing moeten gescheiden zijn van andere condities en voorwaarden en mag dus niet ‘verstopt’ worden in de algemene voorwaarden.
  • Ook moet het duidelijk zijn wie na toestemming allemaal van de gegevens gebruik mogen maken. Zijn er derde partijen die gegevens gebruiken?
  • Tenslotte moet worden bijgehouden hoe en wanneer de consument toestemming heeft gegeven.

Toegang tot je eigen data: het recht om vergeten te worden

Uiteindelijk is deze regelgeving is natuurlijk voor bedoeld om consumenten meer controle en zeggenschap te geven over data die wordt gebruikt. Consumenten moeten ten alle tijden in kunnen zien welke gegevens er van hun verzameld zijn en deze eventueel te laten verwijderen. Dit is het recht om vergeten te worden. In de praktijk moet het voor consumenten dus relatief eenvoudig worden om hun gegevens te downloaden (waar mogelijk). Voor de e-commerce branche geldt dus bijvoorbeeld consumenten hun klantaccount + gegevens eenvoudig moeten kunnen inzien en verwijderen.

Het beschermen van gegevens

Als webshopeigenaar ben je verantwoordelijk voor de gegevens van je klanten. Het is daarom natuurlijk erg belangrijk de beveiliging van je shop up-to-date te houden. Gaat er iets mis, en liggen persoonsgegevens van je klanten op straat? Dan heb je 72 uur de voor een zogenaamde Data Breach Notification. Het melden van datalekken doe je bij de autoriteit persoonsgegevens.

Op Hypernode is je shop in veel gevallen goed beschermd en toch loont het altijd om de veiligheid van je shop eens goed door te lichten. In ons whitepaper ‘Hoe houd je hackers buiten?‘ geven we je een aantal waardevolle tips.

Daarnaast is het sommige gevallen nodig een Data Protection Officer aan te aanwijzen. Deze ziet toe op de bescherming van gegevens en het naleven van privacyregelgeving. Dit geldt echter alleen voor bedrijven met meer dan 250 werknemers of als het werken met persoonsgegevens op grote schaal gebeurd en een kernactiviteit van je onderneming is. Voor de gemiddelde webshop is dit dus niet van toepassing.

Wat als ik een fout maak?

Het juist beheren en gebruiken van klantgegevens hoort voor elke e-Commerce onderneming hoge prioriteit te hebben. De autoriteiten zijn in staat grote boetes op te leggen: 20 miljoen of tot 4% van de omzet. Verder zul je eventuele schade moet vergoeden. Hoewel dit om grote bedragen kan gaan, zullen boetes waarschijnlijk alleen opgelegd worden bij een serieuze inbreuk en worden ze gezien als een laatste middel.

Voorbij GDPR compliance

We zouden boeken vol kunnen schrijven over alle gevolgen die GDPR kan hebben voor jouw onderneming. Mazzeltje voor jou, hier gaan zullen we je niet mee lastig vallen. Wat we je wel willen meegeven, is dat het belangrijk is goed na te denken over het gebruik van persoonsgegevens en alle facetten van de GDPR.

Bedenk dat de regels er zijn ter bescherming van consumenten. Handel ik in het belang van de consument? Gebruik ik de gegevens van mijn klanten om ze net wat blijer te maken? We willen je graag uitnodigen na te denken over de volgende punten:

  • Transparantie: geef de consument controle over zijn gegevens. Welke gegevens heb je van de consument en welke ga je gebruiken? Je kunt er daarnaast ook voor kiezen om pro-actief te communiceren waarom je de consument een bepaalde marketing-boodschap laat zien. “dit hebben we getoond omdat…”
  • Denk aan het actueel maken van de door jouw verzamelde gegevens. Zo voorkom je dat de consument irrelevante of gedateerde marketing boodschappen krijgt
  • Kijk kritisch naar het gebruik van persoonsgegevens en bepaal of de consument hiermee gediend is.
  • Doe ik er alles aan om de gegevens van mijn klanten te beschermen?

Nog niet uitgelezen? Op de site van de autoriteit persoonsgegevens vind je alles wat je weten moet.

 op

Hette is als sales- en marketingmedewerker altijd bezig met nieuwe kansen voor Byte en het schrijven van nieuwe content. Buiten het werk houdt hij van wielrennen, Ajax en op z’n tijd een festival of feestje!