Als webwinkelier heeft u uiteraard zeer veel te maken met de persoonsgegevens van uw (potentiële) klanten. Maar wat mag wel er wat mag niet? Hier vind u 5 tips om op een juiste wijze met persoonsgegevens om te gaan.
Eerst nog even een korte update: wat zijn persoonsgegevens ook alweer? Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (art.1 sub a Wbp).
Voorbeelden zijn onder meer NAW gegevens, telefoonnummer, e-mailadres, geboortedatum, en geslacht. Kortom: zodra het gegeven tot een persoon te herleiden is, is het een persoonsgegeven.
1. Beveilig!
De belangrijkste tip van allemaal: zorg ervoor dat u uw website goed heeft beveiligd met bijvoorbeeld een SSL certificaat. Dit geldt voor alle plaatsen op de website waar men persoonsgegevens invoert.
Denk hierbij aan het bestelproces , uw contactformulieren, online klacht- en/of retourformulieren, banners waar men zich kan aanmelden voor de nieuwsbrief, invulvelden voor een Tell-a-Friend systeem, etc.
Gevolg als u hier niet aan voldoet: u kunt rekenen op zeer boze klanten indien uw website gehackt wordt, maar onder voorwaarden kan het OM u ook vervolgen of kan de College Bescherming Persoonsgegevens (CBP) actie jegens u ondernemen.
2. Privacy Statement
Zorg ervoor dat u een privacy statement heeft. In een privacy statement geeft u onder andere aan wat u doet met de persoonsgegevens van uw (potentiële) klanten. Hierkunt u vinden wat er zoal in uw privacy statement moet staan.
3. Tell- a- Friend Systemen
Eigenlijk niet de bedoeling. Mocht u deze toch graag op uw website hanteren, let er dan op dat deze alleen zijn toegestaan onder de voorwaarden dat:
* Het versturen van de e-mail gebeurt op eigen initiatief van de gebruiker / afzender en de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger;
* Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij er niet van gediend is;
* De afzender moet volledige inzage hebben in de informatie die namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht; en
* De website mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doelen dan het eenmalig verzenden van het bericht namens de afzender.
4. Spam?
U mag de verkregen persoonsgegevens niet zomaar gebruiken voor commerciële mailings dergelijke. De gemiddelde “nieuwsbrief” valt hier ook onder omdat deze meestal ook een commercieel oogmerk hebben.
Stuurt u uw klanten een nieuwsbrief zonder toestemming te hebben gevraagd? Dat mag! Zolang het maar om gelijksoortige producten gaat. Iemand die bij u een tv heeft gekocht kunt u dus geen nieuwsbrief sturen met een aanbieding voor een koelkast.
Let op: een klant is iemand die daadwerkelijk iets bij u heeft gekocht. Iemand die een offerte heeft aangevraagd of u per mail een vraag heeft gesteld is geen klant!
Wilt u uw klanten graag over al uw producten een nieuwsbrief kunnen sturen? Dan zult u hiervoor de expliciete toestemming van de consument moeten hebben. Dit kunt u krijgen door hem een hokje te laten aanvinken (opt-in) bij een zin zoals ‘ja, ik meld mij aan voor de nieuwsbrief’. Een ‘nieuwsbrief-banner’ waar men zelf op moet klikken om vervolgens aan te melden is uiteraard ook akkoord.
Bij het niet voldoen aan bovenstaande voorwaarden loopt u wederom het risico een boete van de OPTA te krijgen. Deze boetes kunnen hoog oplopen.
5. Derdenverstrekking persoonsgegevens?
In het verlengde van punt 4, maar voor de overzichtelijkheid apart behandeld. Verstrekt u uw gegevens aan al dan niet ‘zorgvuldig geselecteerde’ derden? Let dan goed op. U heeft daar altijd (!) de expliciete toestemming van de consument voor nodig. Hierop zijn geen uitzonderingen.
De OPTA stelt aan het verkrijgen van deze toestemming aanvullende eisen. Een zin ‘ja, ik ga akkoord met het verstrekken van mijn persoonsgegevens aan zorgvuldig geselecteerde derden/partners’ is uitdrukkelijk niet voldoende.
U dient namelijk ook precies aan te geven wie die derden allemaal zijn. Zijn dat er veel om bij de opt-in te plaatsen? Dan kunt een link plaatsen naar de lijst met deze derden. Wat ook erg belangrijk is: noem ze allemaal, en zet onder aan de lijst vooral geen zin zoals ‘… en mogelijk andere derden’. Een dergelijke zin maakt de toestemming ongeldig, met alle gevolgen van dien.
Bovendien moet men zich via u weer gemakkelijk af kunnen melden voor de nieuwsbrieven van deze derden. Het niet voldoen aan de voorwaarden kan ook hier een flinke boete van de OPTA opleveren.
Succes!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.