Stappenplan GDPR / AVG voor jouw webshop
Voor de GDPR / AVG moeten webwinkeliers een paar zaken op orde krijgen. Je zult er in ieder geval veel voor moeten doen. Wij willen hier een handje bij helpen door stapsgewijs te laten zien wat er moet gebeuren voor de GDPR / AVG. Stoom je webwinkel klaar voor de GDPR / AVG met ons stappenplan!
De volgende stappen gaan wij doornemen:
- Inzicht krijgen voor GDPR / AVG.
- Verwerkersovereenkomsten verzamelen.
- Privacy Policy updaten.
- Een register maken.
1. Inzicht krijgen voor GDPR/AVG
Het internet staat al vol met ‘waarom?’ maar weinig met ‘hoe dan?’, daarom gaan we meteen van start met een stappenplan voor de GDPR / AVG. Je zult moeten schrijven, noteren en mailen. Voor het gemak gaan we er vanuit dat je Word of Excel bezit/gebruikt.
Inzicht krijgen is erg belangrijk voor de GDPR / AVG. Sommige persoonsgegevens spreken voor zich en anderen zijn wat lastiger te bepalen. Het is echter belangrijk dat je deze gegevens vaak in combinatie met andere gegevens verzameld. Je kunt veel achterhalen door die combinaties te maken! En wist je dat er ook speciale gegevens zijn, zoals: politieke voorkeur of ras? Die mag je vaak niet zomaar verzamelen zonder toestemming. Kijk goed naar deze lijst en ga alvast na wat wellicht voor jou van toepassing is.
Noteer de volgende dingen:
- Welke gegevens je verzamelt.
(denk aan NAW-gegevens (klantgegevensvelden als naam, adres en woonplaats) en andere contactgegevens, wat komt er bij jou binnen?) - Waar deze gegevens vandaan komen en blijven staan; welke diensten gebruik je in jouw situatie?
(denk aan bijvoorbeeld: hostingpartijen, webwinkelsoftware, mailproviders en beoordelingsplatformen) - Waar deze gegevens voor nodig zijn!
(denk bij NAW-gegevens bijvoorbeeld: aan levering van producten, email voor nieuwsbrieven)
Een overzicht zou er bijvoorbeeld zo uit kunnen zien (let wel dat er in dit voorbeeld geen bedrijfsnamen zijn ingevoerd, dit moet wél gebeuren):
- Noteer hoelang jij gegevens bewaart van klanten, ga vervolgens na hoelang diensten die jij gebruikt dit ook doen.
(vraag aan derde partijen na hoelang zij gegevens bewaren, mail ze en kijk in hun voorwaarden en Privacy Policy).
Met al deze informatie komt het er wellicht als volgt uit te zien:
Je hebt nu al een soort overzicht. Aan de hand van dit overzicht gaan we een kijkje nemen naar de bedrijven die je gebruikt. Wanneer ze persoonsgegevens verwerken/gebruiken namens jou dan moet je een overeenkomst hebben met deze partijen. Een overeenkomst kan een apart document zijn maar ook een aanpassing binnen de algemene voorwaarden van de desbetreffende partij waar je mee akkoord gaat.
2. Verwerkersovereenkomsten
Bekijk het bestand dat je zojuist hebt opgesteld en ga na welke bedrijven daadwerkelijk gegevens namens jou verwerken. Schrijf deze partijen op en mail ze vervolgens met het verzoek tot een verwerkersovereenkomst. Er zijn 4 situaties waar je voornamelijk tegenaan loopt:
- We zijn nog niet klaar, hij komt er aan.
- Hij is klaar, wij sturen hem je toe/je kunt hem hier vinden.
- Hij is verwerkt binnen onze nieuwe voorwaarden, je kunt hier akkoord gaan.
- Wij kunnen niets aanbieden, we zijn voor 25 mei 2018 niet klaar.
Actieplan aan de hand van de situaties:
- Heb nog even geduld, vraag regelmatig naar de stand van zaken.
- Bekijk de overeenkomst en onderteken deze als je er akkoord mee gaat.
- Ga akkoord met de nieuwe voorwaarden als je het mee eens bent.
- Overweeg te stoppen met de dienstverlening, eigen risico als je door gaat.
Voor situatie 2 en 3 moet je na gaan of je akkoord gaat met de beveiligingsmaatregelen omtrent gegevens van deze partijen. Ze gaan namens jou met gegevens om en dat moet netjes verlopen. Ga je niet akkoord dan is dit misschien niet het bedrijf voor jou om mee in zee te gaan.
Voor situatie 4 moet je een keuze maken. Wettelijk gezien moet er een soort overeenkomst zijn wanneer jij gegevens laat verwerken door een derde partij. Het is dus een risico als je dit door een partij laat doen die zaken niet in orde hebben. Je riskeert niet alleen boetes maar ook de veiligheid van de gegevens van jouw klanten. Ook hier kan het zijn dat je de samenwerking moet beëindigen.
3. Privacy Policy updaten
Het is tijd om via de Privacy Policy te communiceren over wat jij en derden namens jou doen met de gegevens. Dit blijft lastig omdat je in begrijpbare taal moet vertalen wat een bedrijf namens jou met gegevens doet. Dit zal kort maar krachten moeten gebeuren. Je kunt hiervoor kijken in de verwerkersovereenkomsten van deze partijen, hier staat immers hun beleid.
WebwinkelKeur heeft naast een stappenplan, ook een Privacy Policy generator opgezet. Hier staan veel gebruikte partijen al in. Hun beleid is hierin verwerkt waardoor je dit zelf niet meer hoeft uit te zoeken. Ook zijn er via de generator eventuele voorbeeldteksten die je kunt gebruiken. Zoek voor de voorbeeldteksten altijd uit of dit ook daadwerkelijk klopt en onderzoek de overeenkomst die je met een partij hebt gesloten. De generator vind je hier:
Privacy Policy op maat genereren voor de GDPR/AVG?
Genereer gratis online een privacy policy op maat voor jouw webwinkel.
Gratis Privacy Policy Generator
4. Een register maken
Als laatste stap bij het stappenplan heb je vanuit de nieuwe wet ook een register nodig; dit is vaak een overzicht in Excel (of een ander spreadsheetprogramma) dat de processen in jouw webwinkel weergeeft. Een register kan uitermate uitgebreid echter is dit vaak ingewikkeld voor kleinere organisaties.
We kiezen derhalve voor een soort instapmodel van een register; iets om te tonen en te bekijken als het ooit nodig is. Het belang is dat je kunt aantonen hoe alles bij jou is geregeld, dit kan er zo uit zien (let wel: dat wij in onze voorbeelden geen bedrijfsnamen gebruiken, dit moet je zelf wel doen!):
Op deze manier probeer je alle processen binnen jouw webwinkel te weerleggen. In dit voorbeeld hebben we even twee belangrijke processen gekozen binnen webwinkelland. Verkopen en nieuwsbrieven versturen. Probeer aan de hand van de uitleg en het inzicht dat je hebt zelf een Excel in te vullen.
Als je eenmaal de processen hebt opgeschreven op deze manier is het ook belangrijk om toe te voegen of je overeenkomsten hebt met jouw verwerkers. Pak je Excel-bestand er weer bij en maak eventueel een nieuw blad in hetzelfde bestand van verwerkers die jij gebruikt. Dit kan er bijvoorbeeld zo uit gaan zien:
Voeg als laatste nog een kolom toe met de contactgegevens van jou/jouw webwinkel. Het is handig hier aan te geven wie over privacy zaken gaat. Sommige bedrijven moeten hier iemand voor aanstellen, een zogeheten Data Protection Officer.
We hebben opzet gemaakt van een dergelijk register. Deze kun je eventueel gebruiken, aanpassen en aanvullen.
Download hier het voorbeeldregister GDPR / AVG
Je voorbereiden voor de GDPR / AVG kan altijd beter maar de hoeveelheid tijd die erin kan zitten is voor de meeste webwinkeliers niet makkelijk realiseerbaar. Voor nu willen we je feliciteren met de stappen die je wellicht al hebt gezet of nog gaat zetten dankzij ons stappenplan.