Aanmelden 

De AVG in e-commerce: Hoe ondernemingen kunnen zorgen dat webshops aan de wet voldoen

Checkout
Checkout

Stripe Checkout is een kant-en-klaar betaalformulier dat is geoptimaliseerd voor conversie. Voeg Checkout toe aan je website of stuur klanten door naar een online pagina van Stripe om eenvoudig en veilig eenmalige betalingen of abonnementsbetalingen te ontvangen.

Meer informatie 
  1. Inleiding
  2. Waarom is de AVG ingevoerd?
  3. Wat zijn de belangrijkste bepalingen van de AVG?
    1. Beginselen van gegevensverwerking
    2. Rechtmatigheid van de verwerking
    3. Rechten van de betrokkenen
    4. Verantwoordelijkheden van de verwerkingsverantwoordelijke
  4. Wat is het belang van de AVG voor e-commerce?
  5. Aan welke eisen moeten e-commercebedrijven voldoen om de AVG-regelgeving na te leven?
    1. Privacybeleid
    2. Cookiebeleid
    3. Technische en organisatorische maatregelen
    4. Toestemming voor reclame- en informatieberichten
    5. Gegevensverwerkingsovereenkomsten
    6. Benoeming van functionarissen voor gegevensbescherming
  6. Welke sancties riskeren ondernemingen als ze de AVG niet naleven?
  7. Aan de slag met Stripe 

Sinds 2018 regelt de Algemene Verordening Gegevensbescherming (AVG) alle aspecten van gegevensbescherming in Europa en op nationaal niveau. Met name e-commercebedrijven die een webshop exploiteren, moeten ervoor zorgen dat ze aan tal van vereisten voldoen bij het verwerken van persoonsgegevens.

In dit artikel leer je waarom de AVG is ingevoerd, wat de belangrijkste bepalingen van de verordening zijn en wat het betekent voor e-commercebedrijven. Ook leggen we uit aan welke eisen ondernemingen moeten voldoen om de AVG na te leven en welke boetes kunnen worden opgelegd als ze dat niet doen.

Wat staat er in dit artikel?

  • Waarom is de AVG ingevoerd?
  • Wat zijn de belangrijkste bepalingen van de AVG?
  • Wat is het belang van de AVG voor e-commerce?
  • Aan welke eisen moeten e-commercebedrijven voldoen om de AVG-regelgeving na te leven?
  • Welke sancties riskeren ondernemingen als ze de AVG niet naleven?

Waarom is de AVG ingevoerd?

De AVG is ingevoerd om gegevensbescherming in de Europese Unie (EU) te standaardiseren en om de bescherming van persoonsgegevens in een steeds digitalere wereld te verbeteren. Vóór de AVG hadden de EU-lidstaten verschillende wetten op het gebied van gegevensbescherming. Dit leidde tot aanzienlijke verschillen in het beschermingsniveau en vormde een uitdaging voor ondernemingen die in meerdere landen actief zijn. De AVG biedt één wettelijk kader dat van toepassing is op alle EU-landen.

Het primaire doel van de AVG is het beschermen van personen met betrekking tot de verwerking van persoonsgegevens. De verordening is bedoeld om het vertrouwen van burgers in de omgang met hun gegevens te bevorderen. Met de AVG kunnen ondernemingen in de EU efficiënter werken omdat ze uniforme normen voor gegevensbescherming kunnen volgen.

In Duitsland was gegevensbescherming tot de invoering van de AVG geregeld in de federale wet op de gegevensbescherming (BDSG). Deze wet is aangepast en wordt beschouwd als een aanvulling op de AVG, vooral op gebieden waar de AVG de lidstaten enige vrijheid laat.

Wat zijn de belangrijkste bepalingen van de AVG?

De AVG bevat verschillende belangrijke bepalingen in 11 hoofdstukken en 99 artikelen. Hier zetten we de belangrijkste op een rijtje:

Beginselen van gegevensverwerking

Artikel 5 van de AVG regelt de beginselen voor de verwerking van persoonsgegevens. De gegevens moeten onder andere aan de volgende eisen voldoen:

  • Ze moeten rechtmatig en transparant worden verwerkt voor de betrokkene
  • Ze moeten worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
  • Ze mogen alleen worden verwerkt voor zover dat nodig is voor het betreffende doel
  • Ze moeten actueel en juist zijn
  • Ze moeten worden verwijderd als ze niet langer nodig zijn voor het doel van de verwerking
  • Ze moeten worden beschermd door technische en organisatorische maatregelen om ongeoorloofde toegang, verlies of vernietiging te voorkomen

Rechtmatigheid van de verwerking

Artikel 6 van de AVG bepaalt dat gegevens alleen mogen worden verwerkt als een van de volgende rechtsgronden van toepassing is:

  • Toestemming van de betrokkene
  • Een contract met de betrokkene
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting
  • De verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of grondrechten van de betrokkene zwaarder wegen

Rechten van de betrokkenen

Hoofdstuk 3 van de AVG regelt de verschillende rechten van betrokkenen met betrekking tot de omgang met hun gegevens.

  • Betrokkenen hebben het recht om te weten welke persoonsgegevens over hen zijn opgeslagen, hoe deze worden verwerkt en met wie deze worden gedeeld (artikel 15 AVG).
  • Onjuiste of onvolledige persoonsgegevens moeten op verzoek van de betrokkene worden gecorrigeerd (artikel 16 AVG).
  • Betrokkenen kunnen, onder bepaalde voorwaarden, verzoeken om verwijdering van hun gegevens (artikel 17 AVG).
  • Betrokkenen hebben het recht om hun gegevens van de verwerkingsverantwoordelijke in een gestructureerde, gangbare en machineleesbare vorm te krijgen (artikel 20 AVG).
  • Betrokkenen kunnen om bepaalde redenen bezwaar maken tegen de verwerking van hun gegevens, in het bijzonder de verwerking ten behoeven van direct marketing (artikel 21 AVG).

Verantwoordelijkheden van de verwerkingsverantwoordelijke

Hoofdstuk 4 somt de verplichtingen van de verwerkingsverantwoordelijken en verwerkers op. Het gaat onder meer om de volgende verplichtingen:

  • Verwerkingsverantwoordelijken moeten ervoor zorgen dat degenen die namens hen persoonsgegevens verwerken, ook voldoen aan de vereisten van de AVG (artikel 28 AVG).
  • Gegevenslekken moeten door de verantwoordelijken binnen 72 uur worden gemeld aan de bevoegde toezichthouder als ze een risico vormen voor de rechten en vrijheden van personen (artikel 33 AVG).
  • Voor bepaalde vormen van gegevensverwerking die een hoog risico inhouden voor de rechten en vrijheden van betrokkenen, moeten verwerkingsverantwoordelijken een gegevensbeschermingseffectbeoordeling uitvoeren (artikel 35 AVG).

Wat is het belang van de AVG voor e-commerce?

De AVG is van cruciaal belang voor e-commercebedrijven omdat ze grote hoeveelheden persoonsgegevens verwerken. Klantinformatie zoals namen, adressen, betalingsgegevens en bestelgeschiedenis zijn essentieel voor de werking van een webshop. Dit betekent dat de AVG een aanzienlijke impact heeft op het ontwerp en het juridische kader van e-commercebusinessmodellen.

Nalatige omgang met persoonsgegevens in webshops kan resulteren in een schending van de gegevensbescherming, wat kan leiden tot juridische geschillen, wettelijke sancties en imagoschade voor de onderneming. Daarom moeten met name exploitanten van webshops bekend zijn met de AVG en de verplichtingen die deze oplegt.

Een onderneming mag bijvoorbeeld geen telefoonnummer verzamelen als dit niet nodig is voor bestelling en bezorging. Alleen gegevens die nodig zijn voor de levering en betaling van de bestelde goederen mogen worden verzameld.

Ook marketinginformatie, zoals e-mailadressen voor nieuwsbrieven, mag alleen met uitdrukkelijke toestemming van de klant worden verzameld en gebruikt. Creditcardgegevens mogen ook niet langer worden bewaard als nodig is om het betalingsproces te voltooien. Informatie zoals een geboortedatum mag alleen worden verzameld als deze nodig is voor leeftijdsverificatie, bijvoorbeeld bij de verkoop van goederen waarvoor een leeftijdsbeperking geldt. Bekijk meer informatie over e-commercebetalingen.

Aan welke eisen moeten e-commercebedrijven voldoen om de AVG-regelgeving na te leven?

E-commercebedrijven moeten aan verschillende vereisten voldoen om de AVG-regelgeving na te leven. Deze vloeien grotendeels voort uit de bovengenoemde rechten van de betrokkenen (hoofdstuk 3 van de AVG) en de verplichtingen van de verwerkingsverantwoordelijken (hoofdstuk 4 van de AVG).

Privacybeleid

E-commercebedrijven moeten een uitgebreid privacybeleid verstrekken. Hierin moet transparant en uitgebreid worden uitgelegd welke persoonsgegevens worden verzameld, met welk doel, hoe de gegevens worden verwerkt en welke rechten de betrokkenen hebben. Het privacybeleid moet gemakkelijk te vinden zijn (bijvoorbeeld in de voettekst van de website of als een directe link bij het openen van de pagina). Artikel 13 van de AVG geeft een overzicht van alle informatie die vereist is in een AVG-conforme privacyverklaring, waaronder:

  • De naam en contactgegevens van de verwerkingsverantwoordelijke
  • Indien van toepassing, de naam en contactgegevens van de functionaris voor gegevensbescherming
  • De rechtsgrond en de doeleinden van de verwerking van persoonsgegevens
  • Een indicatie van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, indien de gegevensverwerking daarop is gebaseerd (zie artikel 1, lid 1, punt f) van de AVG)
  • De ontvangers van de persoonsgegevens in geval van openbaarmaking
  • De duur van de opslag van persoonsgegevens
  • De rechten van de betrokkenen, waaronder het recht op toegang, rectificatie, verwijdering, bezwaar, herroeping en beperking van de verwerking
  • De beschrijving van de gevolgen van het niet verstrekken van persoonsgegevens

Cookiebeleid

Voor de verwerking van persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van het contract is de geïnformeerde toestemming van de gebruiker vereist. Dit geldt in het bijzonder voor het gebruik van cookies. Dit zijn tekstbestanden die tijdelijk in de browser van de gebruiker worden opgeslagen. Technisch noodzakelijke cookies worden bijvoorbeeld gebruikt om de juiste taal van de website weer te geven aan de gebruiker of om de inhoud van het winkelwagentje op te slaan.

Cookies zijn essentieel voor de goede werking van websites en worden gebruikt om gebruikersprofielen te maken voor gepersonaliseerde advertenties. Dit kan in sommige gevallen van cruciaal belang zijn omdat statistische en persoonsgegevens worden opgeslagen. Om deze reden moeten gebruikers de mogelijkheid krijgen om toestemming te geven voor het opslaan en verwerken van cookies. Een eenvoudige "cookiebanner" is alleen voldoende als deze de mogelijkheid biedt om cookie-instellingen te weigeren of aan te passen.

Technische en organisatorische maatregelen

Om persoonsgegevens te beschermen tegen onder meer toegang door derden, moeten webshops technische veiligheidsmaatregelen nemen. Deze omvatten de versleuteling van de gegevensoverdracht, bijvoorbeeld via het hypertext transfer protocol secure (HTTPS) (artikel 32 AVG). Hiervoor is een Secure Sockets Layer- (SSL) of Transport Layer Security-certificaat (TLS) vereist. Webshops moeten er ook voor zorgen dat persoonsgegevens veilig worden opgeslagen (bijvoorbeeld in versleutelde databases). Ook het maken van back-ups van gegevens is verplicht.

Toestemming voor reclame- en informatieberichten

E-mailadressen van klanten kunnen niet automatisch worden gebruikt voor het verzenden van nieuwsbrieven, advertenties of informatieberichten. Hiervoor is actieve toestemming van klanten vereist. Met de inwerkingtreding van de AVG is de procedure voor dubbele opt-in verplicht op basis van artikel 7 en artikel 8 van de verordening. "Opt-in" kan losjes worden vertaald als "ergens over beslissen" of "kiezen". Bij een dubbele opt-in moeten klanten twee keer bevestigen. Ze moeten eerst de vraag krijgen of ze bijvoorbeeld een nieuwsbrief willen ontvangen. Als dit wordt bevestigd door de registratie en de bijbehorende overdracht van het e-mailadres, volgt een tweede stap: ondernemingen moeten een bevestigingslink sturen waarop moet worden geklikt om het aanbod te activeren.

Gegevensverwerkingsovereenkomsten

Als externe dienstverleners persoonsgegevens van een webshop verwerken, moeten gegevensverwerkingsovereenkomsten worden gesloten. Dit is verplicht voor de overdracht van gegevens aan derden. Gegevensverwerkingsovereenkomsten zorgen ervoor dat ook derden de AVG naleven. Veelgebruikte dienstverleners voor webshops zijn betaaldienstverleners of aanbieders van clouddiensten en Software-as-a-Service-oplossingen (SaaS).

Stripe Checkout kan je hierbij helpen: Het biedt een kant-en-klaar betaalformulier dat een soepel afrekenproces mogelijk maakt. Checkout kan worden geïntegreerd in je website of klanten doorverwijzen naar een pagina die wordt gehost door Stripe. Daar kunnen betalingen of abonnementen eenvoudig, veilig en in overeenstemming met de AVG worden geaccepteerd.

Benoeming van functionarissen voor gegevensbescherming

Volgens artikel 37 van de AVG is de benoeming van functionarissen voor gegevensbescherming voor een webshop onder bepaalde voorwaarden verplicht. Zij houden toezicht op de naleving van de AVG en fungeren als aanspreekpunt voor toezichthouders en betrokkenen.

Welke sancties riskeren ondernemingen als ze de AVG niet naleven?

Volgens artikel 83 van de AVG kunnen ondernemingen hoge boetes krijgen als ze de regels inzake gegevensbescherming overtreden. Deze kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van de onderneming. Het is bijvoorbeeld een administratieve overtreding om opzettelijk, bewust of uit nalatigheid de afzender of het commerciële karakter van een bericht te verbergen. Hetzelfde geldt voor het verzamelen, verwerken of opslaan van persoonsgegevens in strijd met de wet. Daarnaast moeten de betrokkenen altijd geïnformeerd worden over het verzamelen van gegevens.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Checkout

Checkout

Integreer Checkout op je website of stuur klanten door naar een online pagina van Stripe om eenvoudig en veilig eenmalige betalingen of abonnementsbetalingen te ontvangen.

Documentatie voor Checkout

Maak met weinig code een betaalformulier en integreer het op je site of laat het door Stripe hosten.