Webwinkel opzetten
lightspeed ecommerce
Webwinkel Opzetten.nl | Zelf een webwinkel beginnen

Wet Bescherming Persoonsgegevens

De Nederlandse wet Bescherming Persoonsgegevens is op 25 mei 2018 vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG). De wet omschrijft de rechten en plichten van iedere persoon van wie de gegevens worden gebruikt, evenals de bedrijven en instanties die deze gegevens gebruiken. Voldoe je niet aan de regels, dan kan een boete tot 20 miljoen euro worden opgelegd.

Bij het kopen van producten online verschaffen klanten hun naam en adresgegevens aan de webwinkel. Soms geven klanten ook hun rekening- of creditcardnummer bij het betalen. Als webwinkelier dien je zorgvuldig met deze gegevens om te gaan om niet in strijd te handelen met de AVG-wet. De volgende regels zijn hierbij belangrijk:

  • Je mag persoonsgegevens alleen verzamelen en verwerken als je daar een geldige reden voor hebt, of als de betrokken persoon hier toestemming voor heeft gegeven
  • Je mag niet meer gegevens verzamelen dan strikt noodzakelijk is voor het doel waarvoor de gegevens nodig zijn
  • Je moet passende maatregelen treffen om deze gegevens te beschermen
  • Je bent verplicht de betrokken persoon uitgebreid te informeren over welke gegevens je verzamelt en waarom
De Autoriteit Persoonsgegevens controleert of bedrijven zich aan deze regels houden. Als bedrijf heb je een verantwoordingsplicht om aan te tonen dat je de privacyregels in acht neemt.

Verantwoordingsplicht

Als webwinkelier verwerk je structureel persoonsgegevens van klanten. Daarom draag je verantwoordingsplicht: je moet inkomende en uitgaande stromen van persoonsgegevens duidelijk in kaart brengen. Dit leg je vast in een zogeheten verwerkingsregister. Je mag zelf weten hoe je dit register opstelt (bijvoorbeeld in Excel), als de volgende informatie er maar in staat:
  • Wat voor soort persoonsgegevens worden er verzameld?
  • Op welke wettelijke grondslag verzamel je de gegevens?
  • Welke interne medewerkers hebben toegang tot de gegevens?
  • Welke externe partijen hebben toegang tot de gegevens?
  • Waar worden de gegevens opgeslagen?
  • Wat zijn de (voorgenomen) bewaartermijnen?
  • Welke beveiligingsmaatregelen worden er genomen?
Als de Autoriteit Persoonsgegevens erom vraagt, moet je het register van verwerkingsactiviteiten meteen kunnen laten zien. Dit gebeurt om openheid te bereiken en controleerbaarheid te bewerkstelligen voor de klanten van je webwinkel, die natuurlijk bepaalde rechten hebben als het aankomt op de verwerking van hun persoonsgegevens.

SSL-certificaat verplicht

Onder de AVG-wet ben je verplicht een veilige verbinding te faciliteren. Als een klant online betaalt of op een andere manier data verzendt (zoals persoonlijke gegevens), dan moet die data-overdracht versleuteld plaatsvinden. Voor zo’n veilige verbinding wordt een SSL-protocol gebruikt. Veilige urls beginnen dan met ‘https’ in plaats van ‘http’. Afhankelijk van het soort webwinkel dat je runt, kun je kiezen voor SSL-certificaten met domeinvalidatie, met bedrijfsvalidatie of met uitgebreide bedrijfsvalidatie.