De komende weken zullen wij een webshop in het openbaar scannen waarbij we één of twee keer in de week een blog zullen schrijven waarin we één aspect van de websitescan uit zullen lichten. Daarbij zullen we de website bekijken en becommentariëren aan de hand de bestaande wettelijke eisen aangevuld met tips van onze kant. Aan het einde van de reeks ontvangt de winnaar van onze actie een juridische websitescan en ons boek.
Deze week het laatste deel. Het is echter niet het minst belangrijke deel. In een webshop kunnen bezoekers persoonsgegevens achterlaten, dat zijn de gegevens die herleidbaar zijn tot een persoon. De meest voorkomende zijn de gegevens die een bezoeker achter laat op het moment dat hij of zij een bestelling plaatst: naam, adres, telefoonnummer en het e-mailadres. Vaak vergeten maar minstens zo belangrijk, de gegevens die een bezoeker bij het schrijven van een (product) review of op de contact pagina achter laat. En zo zijn er meer voorbeelden te noemen.
Op het moment dat een webshop persoonsgegevens van consumenten verwerkt moet de webshop aan bepaalde eisen voldoen. Twee specifieke eisen wil ik graag uitlichten.
Privacy statement
Bezoekers moeten geïnformeerd worden over het gebruik van persoonsgegevens. Vaak gebeurt dit door middel van een privacy statement op de website. Net als de algemene voorwaarden moeten bezoekers deze ook gemakkelijk kunnen vinden, bijvoorbeeld door een link in de footer van de website. In een privacy statement moet minimaal het volgende staan:
Supermier.com voldoet niet aan deze eisen. Op de klantenservice pagina is informatie met betrekking tot de privacy opgenomen, maar dit is wel heel summier. Het is aan te raden om in de footer een link naar een uitgebreidere privacy statement op te nemen.
Beveiliging
Een webwinkel is verplicht om ‘passende technische en organisatorische maatregelen’ te treffen om persoonsgegevens te beveiligen. In andere woorden: een webwinkel, of in ieder geval de pagina’s waar persoonsgegevens verwerkt worden, moeten beveiligd zijn. De meest gangbare manier is door installatie van een SSL certificaat. Dit certificaat zorgt er voor dat de persoonsgegevens die de consument op de website invult via een beveiligde verbinding wordt verzonden.
Het is verplicht om het bestelformulier, een contactformulier, reviewvelden, een ‘mijn account-pagina’ en alle andere pagina’s waar de bezoeker persoonsgegevens achter kan laten te beveiligen. Nog beter en veiliger zou het zijn om de gehele website te beveiligen. Helaas schiet Supermier.com ook op dit gebied te kort. De website is in zijn geheel niet beveiligd. Buiten het feit dat dit op een boete kan komen te staan kan dit ook voor veel negatieve publiciteit zorgen als blijkt dat persoonsgegevens op straat komen te liggen door een gebrekkige beveiliging. Supermier.com is echter niet de enige onbeveiligde webshop op internet. Op dit gebied is er voor veel webshops werk aan de winkel!
Graag wil ik Supermier.com hartelijk bedanken voor de medewerking aan de openbare websitescan. Een juridische websitescan en ons boek zullen zo snel mogelijk opgestuurd worden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.