Als een klant een bestelling plaatst, verwerkt de webshop de persoonsgegevens van deze klant. Welke gegevens vallen aan te merken als persoonsgegevens? En hoe gaat u hier zorgvuldig mee om?
Tekst: Steven Ras
Persoonsgegevens zijn alle gegevens die u tot een natuurlijk persoon kunt herleiden. Deze definitie is vrij ruim. In ieder geval kunnen de volgende gegevens als zodanig worden aangemerkt:
- foto van een persoon
- e-mailadres
- naam
- IP-adres
- telefoonnummer.
De Wet bescherming persoonsgegevens (Wbp) is al vrij snel van toepassing. Als een klant via de website een bestelling plaatst, valt dat onder de Wbp. Maar ook het aanmelden van een klant voor een nieuwsbrief. Het moet dan wel gaan om zijn eigen e-mailadres en niet om het algemene e-mailadres van het bedrijf. Dat is namelijk geen persoonsgegeven en daarop is de Wbp niet van toepassing.
Privacyverklaring
De Wbp staat toe dat een webwinkelier persoonsgegevens verwerkt. Wel dient de webwinkelier aan de hierna genoemde informatieplichten te voldoen. Deze informatieplichten kunnen worden opgenomen in een zogenaamde 'privacyverklaring'. Een duidelijke verwijzing naar een privacyverklaring waarin de volgende informatie wordt opgenomen, is voldoende.
Identiteit: De webwinkelier dient zijn bedrijfsnaam te vermelden, inclusief de adresgegevens van zijn bedrijf.
Doeleinden: De webwinkelier dient aan te geven met welk doel de gegevens worden verwerkt. Denk dan aan zaken als 'het uitvoeren van de koopovereenkomst' (bijvoorbeeld de adresgegevens voor het kunnen versturen van een bestelling) of 'beveiliging en optimalisering van de webwinkel' (bijvoorbeeld het vastleggen van IP-adressen). Let op: het verwerken van de persoonsgegevens moet noodzakelijk zijn voor het genoemde doel. Het vragen om adresgegevens voor het leveren van een ringtone is bijvoorbeeld niet noodzakelijk.
Verzoek om correctie: Een klant heeft altijd recht op inzage in zijn gegevens. Daarbij kan hij verzoeken om correctie of verwijdering van zijn persoonsgegevens.
Beveiliging: De Wbp verplicht webwinkeliers tot het treffen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze norm is vrij open. De webwinkelier moet bekijken wat een passend beveiligingsniveau is. Denk bijvoorbeeld aan het gebruik van Secure Sockets Layer (SSL). SSL zorgt er voor dat de persoonsgegevens versleuteld over het internet worden verzonden. Let op: bij de maatregelen dient rekening te worden gehouden met de stand van de techniek
Stel uw vraag
Steven Ras is ICT-jurist bij ICTRecht. In deze rubriek gaat hij in op de juridische aspecten van webwinkels. Daarbij hebben de lezers de mogelijkheid om per e-mail vragen te stellen. Stel een vraag aan Steven via s.ras@ictrecht.nl.
Dit artikel verscheen eerder in Twinkle 5-2008
DigiNotar is nooit de enige geweest die de ev certificaten kan uitgeven, het is wel de enige Nderlandse partij welke zelf de validatie mag doen.
@Paul: Dat ben ik niet met je eens. DigiNotar is naar mijn weten wel de enige partij in Nederland, die EVSSL certificaten kan uitgeven en de controles daarvoor doet. Misschien doel je op de Nerderlandse resellers van Verisign en Comodo. Deze geven het certificaat feitelijk niet uit. Zij geven het door.