Toestemming en het recht van bezwaar volgens de AVG/GDPR

Geschreven door Mats van de Seijp.

AVG-GDPR 25 mei 2018In onze eerste blog over “de effecten van de Algemene verordening gegevensbescherming (AVG) op Magento shops” zijn enkele belangrijke aspecten naar voren gekomen die voor 25 mei 2018 op orde moeten zijn. In dit artikel gaan we dieper in op twee van deze aspecten.

  • Het vragen van toestemming
  • Het recht op bezwaar

Toestemming en het recht van bezwaar volgens de AVG/GDPR

Voor het verwerken van persoonsgegevens dient er volgens de AVG/GDPR sprake te zijn van een wettelijke basis die deze actie rechtvaardigt. Toestemming is hier natuurlijk een groot onderdeel van maar er zijn meer grondslagen die dit rechtvaardigen. Waar moet ik toestemming voor vragen en wat voor effect heeft dit op mijn Magento shop?

Moet ik volgens de AVG/GDPR overal toestemming voor vragen?

Nee, dat hoeft niet. Maar het zal vanaf 25 mei 2018 wel een groot onderdeel worden omtrent persoonsgegevens bewerking. Het nodig hebben van toestemming is vooral gericht op (her)-gebruiken van persoonsgegevens voor bijvoorbeeld marketingdoeleinden. Maar er zijn dus ook gevallen waar geen toestemming van de consument voor nodig is. Op basis hiervan mag je persoonsgegevensverzamelen:

  • Toestemming van de gebruiker
  • Vitale belangen
  • Wettelijke verplichting
  • Overeenkomst
  • Algemeen belang
  • Gerechtvaardigd belang

Hieronder enkele voorbeelden om dit te verduidelijken:

Voorbeeld 1
Stel, je hebt een online slijterij en verkoop dus alcohol op je webshop. Als verantwoordelijke ondernemer heb jij een leeftijdscontrole op je Magento shop geplaatst. Nu zou elke minderjarige die geen toestemming geeft om zijn persoonsgegevens (leeftijd) te delen dus toegang kunnen krijgen, dit kan natuurlijk niet. Je doet moeite om ervoor te zorgen dat alleen volwassen alcohol kunnen kopen en jouw klanten dienen hiervoor, zonder hun toestemming, hun leeftijd voor op te geven . Je hebt een wettelijke basis die deze actie rechtvaardigt en dus geen toestemming nodig voor het verwerken van deze (leeftijd) persoonsgegevens. Wil je deze data gebruiken voor marketingdoeleinden zoals bijvoorbeeld de leeftijden aan soorten drank koppelen voor gerichte acties? Dan dien je hier wel toestemming voor te vragen.

Voorbeeld 2
Als een klant dan toch die mooie fles whisky heeft besteld heb jij nog meer informatie nodig dan alleen zijn leeftijd, namelijk zijn adres. Immers, bij elke besteding boven de 20,- zorg jij dat deze fles gratis wordt bezorgd, je wilt graag goede service bieden. Zonder deze gegevens kun jij jouw deel van de overeenkomst niet uitvoeren en heb je voor het verzamelen van deze gegevens geen toestemming nodig. Wederom, wil je het adres van je klant gebruiken voor andere doeleinden dan het leveren van zijn fles Single Malt, dien je hier wel toestemming voor te krijgen.

Het komt er op neer dat er vooral veel transparantie naar de gebruiker wordt geëist over het gebruik van zijn persoonsgegevens en op welke grond je deze verzamelt

Recht van bezwaar

Volgens de Algemene verordening gegevensbescherming (AVG), of General Data Protection Regulation (GDPR), heeft de consument op elk moment het recht om bezwaar te maken tegen de verwerking van zijn gegevens. Je dient dan de gegevensbewerking van de betrokkene te staken. Er zijn enkele uitzonderingen waarbij er gerechtvaardigde gronden zijn die hoger wegen dan de rechten en vrijheden van de betrokkene. Wanneer het gaat om direct marketing heeft de consument altijd het recht om bezwaar te maken. In dit geval maakt het ook niet uit of er eerst toestemming is gegeven.

Wat moet ik nu in mijn Magento shop doen?

Samengevat moeten jouw bezoekers dus:

  • Toestemming kunnen geven voor het verwerken van (de meeste) van hun persoonsgegevens
  • De optie hebben om hun toestemming te kunnen intrekken
  • Een plek hebben waar precies uitgelegd staat wat er met hun gegevens gebeurd en wat hun rechten zijn
  • Jou kunnen aanspreken op de nette opvolging van deze zaken

Om hier aan te voldoen zal je op front-end en back-end gebied van je Magento shop enkele aspecten op orde moeten hebben.

AVG (GDPR) en Magento front-end aanpassingen

Op Magento front-end gebied draait het allemaal om jouw klanten zo goed mogelijk te informeren. Zorg dat jouw klanten bij elk proces waar ze persoonsgegevens moeten opgeven, de optie krijgen om hier toestemming voor te geven. Vermeld hierbij duidelijk waar de gegevens (uitsluitend) voor gebruikt worden en dus ook waar ze niet voor gebruikt gaan worden. Doe dit ook bij persoonsgegevens waar geen toestemming voor nodig is (zie voorbeelden hierboven).

Voor elke toestemming die jouw klant geeft, heeft deze ook het recht om hier ( ook achteraf) bezwaar tegen te maken, voornamelijk tegen het verdere gebruik van gegevens voor marketingdoeleinden. Zorg ervoor dat dit altijd duidelijk wordt vermeld, dat de organisatie hier altijd gehoor aan moet geven en dat het intrekken van toestemming een even makkelijk proces is als het geven ervan.

Verder moet er een plek zijn waar de klant al zijn rechten en informatie over wat er wel en niet met zijn gegevens gebeuren, overzichtelijk kan terugvinden. In de wet spreekt men hier over een “ duidelijk vindbare plaats”. Meer informatie over dit onderwerp kunt u vinden in het artikel “Informatieverplichting

AVG (GDPR) en Magento back-end aanpassingen

In de Magento back-end focussen we ons nu op de bewijslast. Immers, wanneer er een verplichting is om toestemming te vragen, is het van belang dat je dit ook kunt aantonen. Bij het ontbreken hiervan, overtreed je in feite al de wet en riskeer je een boete krijgen. Ook moet aangetoond kunnen worden dat een klant zijn toestemming heeft ingetrokken.

Voor het verwerken van persoonsgegevens van minderjarigen is toestemming van de ouders nodig. In Nederland is deze leeftijd gezet op 16 jaar maar andere landen in de EU mogen deze leeftijdsgrens zelf aanpassen. Wel is 13 jaar de minimum leeftijd. Het is voor webshops onmogelijk om te controleren of er ook daadwerkelijk toestemming is gegeven door de ouders. Wel wordt verwacht dat jij kunt aantonen een redelijke inspanning te hebben gedaan om te controleren of de ouders toestemming hebben gegeven. Zorg dat dit dus goed gedocumenteerd word.

Wil je meer over wat er wat jij volgens AVG allemaal op orde moet zijn op jouw Magento shop? Kijk voor meer relevante onderwerpen op onze eerste blog of neem gerust contact met ons op.

meer info   of   

Bel nu! 020 337 5961

Mats van de SeijpDit artikel is geschreven door Mats van de Seijp, onze spin in het web als Support, Ticket Manager, Business Intelligence analyst en Blogger.

LinkedIn

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens