Een kleine nuancering is op zijn plaats, de regels gelden niet alleen voor webwinkels, maar de regels gelden voor een ieder die op een geautomatiseerde manier omgaat met persoonsgegevens. Het zijn regels die vanuit Brussel komen. Om de Europese privacyregels te vernieuwen en te harmoniseren ligt er nu een Europese verordening, regels die dus direct in alle lidstaten gaan gelden.
In tegenstelling tot de nieuwe consumentenwet hoeven deze regels dus niet eerst omgezet te gaan worden in de Nederlandse wet. Wil dit dan zeggen dat dit wetgevingsproces sneller gaat? Nou nee, dat niet. Er wordt al jarenlang gediscussieerd over deze nieuwe regels en het is nog niet duidelijk wanneer de regels van kracht worden.
Wat wel duidelijk is, is dat het Europese Parlement deze nieuwe regels op 12 maart 2014 heeft goedgekeurd. De Europese Raad van Ministers gaat zich ook nog over het voorstel buigen voordat de regels van kracht gaan worden. Maar wat betekenen deze regels eigenlijk voor een webwinkel?
De privacyverklaring zal uitgebreid moeten worden. Zo zal onder de nieuwe regels bijvoorbeeld informatie gegeven moeten worden over het feit dat de klant een klacht in kan dienen bij de toezichthouder, in Nederland het CBP, inclusief contactgegevens van het CBP. En maakt u profielen van uw klanten? Dan dient u daar informatie over te geven.
Over dat maken van profielen, of profilering, bevatten de nieuwe regels verschillende bepalingen. Dit is onder de nieuwe regels pas toegestaan na expliciete toestemming. Deze toestemming wegstoppen in algemene voorwaarden of een privacyverklaring is niet genoeg.
Mensen krijgen het recht op vergeten te worden. Trekt men toestemming in, of geeft men aan dat alle persoonsgegevens verwijderd moeten worden, dan dient u hier als webwinkel gehoor aan te geven. Natuurlijk zijn hier uitzonderingen op gemaakt. Als u deze gegevens nodig hebt om aan een wettelijke verplichting te voldoen, dan zult u niet alle gegevens zomaar mogen verwijderen.
Overtreding van de regels kan een dure grap worden. Boetes tot € 100.000.000 (ja, daar staat echt honderd miljoen) of 5% van de jaaromzet kunnen uitgedeeld gaan worden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.