Steeds meer ondernemers breiden hun activiteiten uit naar online verkoop via een webshop. Bij het uitvoeren van de online verkoopactiviteiten worden persoonsgegevens van klanten en bezoekers verwerkt. Met deze persoonsgegevens dient prudent te worden omgegaan. Overtreding van de regels kan immers leiden tot reputatieschade, aansprakelijkstelling en/of boeteoplegging. Voldoet uw bedrijf aan de – recent gewijzigde – privacyregels?
Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat u als webshopwinkelier passende technische en organisatorische maatregelen moet nemen ter beveiliging van persoonsgegevens. Op 1 januari 2016 is de Wbp op een aantal onderdelen gewijzigd. De meest besproken wijziging ziet op de invoering van de zogenaamde meldplicht bij datalekken.
Meldplicht bij datalekken
De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Met de Wet Meldplicht Datalekken wordt een nieuw artikel 34a aan de Wbp toegevoegd. Dat bepaalt dat melding moet worden gemaakt van iedere inbreuk op de maatregelen ter beveiliging tegen verlies of onrechtmatige verwerking van persoonsgegevens. Bij een inbreuk kan worden gedacht aan een hack of een technisch falen, maar ook aan verlies of diefstal van een gegevensdrager waarop persoonsgegevens staan. Een ‘datalek’ kan dus in meerdere vormen voorkomen.
De wettelijke meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop). De melding dient te worden gedaan aan de Autoriteit Persoonsgegevens. Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon waar de gegevens betrekking op hebben, dan moet ook de betrokkene zelf in kennis worden gesteld van het lek.
Uitbreiding boetebevoegdheden CBP
In deze nieuwe wet worden ook de boetebevoegdheden van het CBP aanzienlijk verruimd. Waar de privacytoezichthouder voorheen slechts een maximale boete kon opleggen van € 4.500,-, bedraagt met ingang van 1 januari 2016 de maximale boete € 810.000,- of 10% van de jaaromzet van de rechtspersoon.
De bewerkingsovereenkomst
In de praktijk wordt de verwerking van persoonsgegevens vaak uitbesteed aan een andere partij (de bewerker). In het verleden was het al voldoende om slechts enkele bepalingen in een bewerkingsovereenkomst vast te leggen. Die tijd is inmiddels voorbij. Met de komst van de Meldplicht Datalekken zullen in alle bewerkingsovereenkomsten zeer specifieke bepalingen moeten worden opgenomen waaruit blijkt hoe er in de praktijk door partijen met een datalek en de wettelijke meldplicht dient te worden omgegaan.
Privacycheck
Het is verstandig om periodiek te beoordelen of uw webshop (nog) ‘privacy compliant’ is. Niet alleen met het oog op een mogelijke boete, maar ook omdat uw klant dit van u verwacht. Aarzelt u of uw webshop aan de regelgeving voldoet? Neem dan gerust contact met mij op.
Dit artikel verscheen eerder in Careality, het onafhankelijk vakblad voor managers in de drogisterijbranche.
