Nieuwe privacywetgeving in de maak

wet en regelgeving voor webshops

De Wet bescherming persoonsgegevens (hierna: ‘’Wbp’’) gaat op de schop. Dit werd al in januari 2013 door de Europese Commissie aangekondigd, en ondertussen begint de plaatsvervanger van de Wbp steeds meer een definitieve vorm te krijgen.

De Wbp, die is gebaseerd op een Europese richtlijn uit 1995, gaat namelijk plaatsmaken voor de ‘General Data Protection Regulation’ (hierna: verordening). De verordening zal in heel Europa voor dezelfde regels rondom privacy gaan zorgen en brengt heel wat veranderingen met zich mee voor het bedrijfsleven.

Hoofdpunten verordening

De inhoud van de verordening is nog niet helemaal definitief, maar wij hebben de volgende hoofdpunten alvast voor u op een rij gezet.

  • Bewerkersovereenkomst: het sluiten van een overeenkomst tussen de verantwoordelijke van de persoonsgegevens, en de partij die de persoonsgegevens ten behoeve van de verantwoordelijke verwerkt (de bewerker), is al verplicht in onze huidige wet. De verordening benoemt echter nog een aantal extra punten die verplicht opgenomen dienen te worden in deze overeenkomst zoals: de duur en de specifieke doeleinden van de gegevensverwerking, het soort persoonsgegevens dat verwerkt wordt en de betrokkenen op wie de gegevens zien. Bovendien zal de bewerker voortaan niet meer, zonder voorafgaande toestemming van de verantwoordelijke, een externe partij mogen inschakelen om persoonsgegevens te verwerken.

Vertalend naar webwinkeliers betekent dat dat de webwinkel de verantwoordelijke is. Deze krijgt immers persoonsgegevens van zijn klanten, en de hosting partij of bijvoorbeeld het webwinkelplatform de verantwoordelijke. Er zal een overeenkomst tussen beide gesloten moeten worden.

  • Privacy by design and by default: gedurende het gehele ontwikkelingsproces van producten en diensten dient u rekening te houden met privacy. Daarnaast moeten de ‘standaard’ instellingen van een product of dienst ook altijd zo privacyvriendelijk mogelijk zijn. Producten en diensten moeten dus ‘privacy proof’ ontwikkeld worden en ingesteld zijn. Bovendien moet er altijd rekening gehouden worden met de gebruikers, en er zorg voor gedragen worden dat zij hun rechten (zoals het inzage- en correctierecht) eenvoudig kunnen uitoefenen.

Wat betekent dit voor webshops, want wordt immers geen product of dienst ontwikkeld? Het antwoord is simpel, u mag niet meer persoonsgegevens vragen dan noodzakelijk is. Het gaat dan om gegevens die gevraagd worden in het bestelproces. U moet zich afvragen, is leeftijd noodzakelijk, of is een geslacht vragen nog noodzakelijk?

Meldplicht datalekken

  • Meldplicht datalekken: naast de Nederlandse wettelijke meldplicht voor datalekken kent ook de verordening een meldplicht voor datalekken. Op het moment dat er per ongeluk, of opzettelijk, data verloren gaan, gestolen of vernietigd worden, of op een andere manier op straat terecht gekomen zijn, moet dit aan de toezichthouder gemeld worden. Als het lek hoogstwaarschijnlijk ook nadelige gevolgen heeft voor de betrokkenen (de personen waar de gegevens betrekking op hebben), dan moeten zij ook van het lek op de hoogte worden gesteld.

Webwinkels hebben een database met klantgegevens, dat is deels ook noodzakelijk. Als deze gegevens, zoals bijvoorbeeld creditcardgegevens, op straat komen te liggen (door bijvoorbeeld een hack) moet dat gemeld worden.

  • Boetes: de (Europese) toezichthouder krijgt met de komst van de verordening tanden. Oorspronkelijk was het voorstel dat er boetes kunnen worden opgelegd van max.1 miljoen of max. 2% van de wereldwijde jaaromzet. Dit voorstel is echter recent aangepast en nationale toezichthouders/overheden mogen aan de boetebevoegdheid zelf nadere regels en bedragen stellen. Het is nog even afwachten wat het uiteindelijke maximum gaat worden.
  • Privacy officer: waar het aanstellen van een functionaris gegevensbescherming in de Wbp niet verplicht is, is het aanstellen van een privacy officer voor organisaties die aan bepaalde voorwaarden voldoen wél verplicht met de komst van de verordening. De privacy officer moet onafhankelijk kunnen functioneren als privacyvraagbaak in een organisatie. In het oorspronkelijke voorstel staat dat een privacy officer al verplicht is als een organisatie persoonsgegevens van minimaal 5000 personen op jaarbasis verwerkt. Dat is echter nu ook nog een open punt en mag door lidstaten zelf worden ingevuld.

De verplichting tot het aanstellen van een Privacy officer lijkt voor kleine shops ver weg en niet nodig. Maar stel dat de eis van het aantal van 5000 klanten gehandhaafd blijft, dan zullen heel veel shops hier aan moeten voldoen, omdat u vrij snel aan dit aantal klanten zit.

‘Tijdig aan de slag met aanpassingen’

De verordening is nog niet definitief en lijkt daardoor misschien nog ver weg, maar tijd verstrijkt snel. Naar verwachting is de impact van bovengenoemde vijf hoofdpunten groot en zullen vele organisaties tijdig aan de slag moeten gaan om een basis te leggen voor een goede implementatie. Bovendien is de wetswijziging “Meldplicht van datalekken” in de Eerste Kamer aangenomen en ook de bestuurlijke boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP) uitgebreid. Het is dan ook verstandig om bijvoorbeeld bewerkersovereenkomsten meer aandacht te geven en deze nu al ‘verordening proof’ te maken.

Dit expertblog is een bijdrage van Maarten Braun, juridisch adviseur bij ICTRecht. Lees ook de overige publicaties die Maarten exclusief voor internetkassa.nu schreef.

Bent u al klaar voor de nieuwe privacywet?

Bent u op zoek zijn naar de juiste documentatie om uw webshop te optimaliseren of willen weten hoe u de voorwaarden juist toepast? In samenwerking met ICTRecht en JuriDox bieden wij u toegang tot de juiste documenten en voorwaarden voor de webwinkel!

Gerelateerde publicaties

In de serie Webwinkelregels:

In de serie Nieuwe consumentenwetgeving:

In de serie Nieuwe BTW-Regels:

Privacywetgeving (GDPR):

ICTRecht biedt handige tools voor webwinkeliers (merchants), waaronder de juidische generatoren. Hiermee stel je heel gemakkelijk algemene voorwaarden, terms and conditions en een privacy policy voor jouw webwinkel op. Je vindt de generatoren van ICTRecht hier.


Een Expert Blogger is een bijdrage geschreven door een specialist uit de branche. Dit kan iemand zijn met expertise op Online Betalen, FinTech, Wet en Regelgeving of PSD2, maar ook op het gebied van online marketing of e-commerce in het algemeen! Kortom; actueel en informatief, gericht op de online ondernemer. Heb jij expertise en wil jij die delen met de achterban van Internetkassa.nu? Pitch jouw idee op redactie@internetkassa.nu