Wat voor invloed heeft de AVG op jou?

De Algemene Verordening Gegevensbescherming (AVG) is van invloed op alle Shopify-merchants die in Europa zijn gevestigd of die Europese klanten van dienst zijn. Hoewel Shopify er hard aan werkt aan de AVG te voldoen en zijn merchants in staat te stellen eraan te voldoen vanaf 25 mei 2018, is het belangrijk op te merken dat de AVG ook vereist dat je onafhankelijk van het Shopify-platform actie onderneemt.

Shopify wil helpen merchants in de best mogelijke positie te plaatsen om aan de wet te voldoen. Dit artikel bevat vragen die je helpen jouw verplichtingen te beoordelen en ervoor zorgen dat je jouw winkel hebt ingesteld op een manier die aan de wet voldoet.

Desondanks is dit geen juridisch advies. De AVG is een gecompliceerde wet en is op verschillende manieren van toepassing op verschillende merchants. Je moet een advocaat raadplegen om erachter te komen wat je specifiek moet doen.

Zie AVG-gegevensaanvragen verwerken voor informatie over het verwerken van gegevensaanvragen.

Waarom kan Shopify de AVG-naleving niet verzorgen voor merchants?

De AVG legt verschillende verplichtingen op aan beheerders en verwerkers van gegevens. Als verwerker van gegevens voldoet Shopify aan zijn eigen wettelijke verplichtingen onder de AVG. Merchants (als beheerders) hebben echter ook hun eigen afzonderlijke verplichtingen waaraan ze moeten denken.

Shopify biedt merchants een platform dat kan worden geconfigureerd om AVG-compatibel te zijn, maar je moet zelf bedenken hoe je jouw bedrijf wil runnen.

Voor verdere richtlijnen hebben de volgende regelgevende instanties in de Europese Unie specifieke richtsnoeren over de AVG gegeven:

Persoonlijke gegevens verzamelen

De AVG beschermt de fundamentele rechten van personen in de Europese Unie met betrekking tot de verwerking van persoonlijke gegevens.

Voorbeelden van persoonlijke gegevens zijn onder meer:

  • Naam
  • Adres
  • E-mailadres
  • Sociale media
  • Digitale ID zoals een IP-adres of een cookie-ID.

Denk na over de volgende vragen:

  • Verzamel je persoonlijke gegevens van klanten in Europa? De meeste websites zijn beschikbaar voor inwoners van Europa en vallen onder de AVG.
  • Als je winkel externe apps of thema's gebruikt, verzamelen en verwerken ze dan gegevens in overeenstemming met de AVG? Om dit proces te vereenvoudigen, vereist Shopify dat alle apps een privacybeleid publiceren waarin hun gegevensverwerkingspraktijken worden beschreven, zodat je kunt beoordelen of je het eens bent met de gegevenspraktijken van die app. Door Shopify ontwikkelde apps vallen onder het Addendum over gegevensverwerking, en Shopify is ervoor verantwoordelijk dat ze daaraan voldoen.
  • Verzamelen en verwerken de kanalen of betalingsgateways die je gebruikt, gegevens in overeenstemming met de AVG? Je moet dat navragen om het zeker te weten.
  • Heb je een lijst met alle soorten persoonlijke gegevens die je van je klanten verzamelt en alle manieren waarop je deze gegevens gebruikt? Artikel 30 van de AVG vereist dat je een actuele lijst van je gegevenspraktijken bijhoudt.

Privacyverklaring

De AVG (en in het bijzonder artikel 12 t/m 14) vereist dat je specifieke informatie verstrekt aan personen van wie je de gegevens verwerkt, meestal in de vorm van een privacyverklaring of privacybeleid.

Je kunt de privacybeleidsgenerator van Shopify gebruiken om aan de slag te gaan. Je vindt deze in je instellingen onder Afrekenen of online.

Denk na over de volgende vragen:

  • Heb je een privacybeleid op je site dat alle informatie bevat die je op grond van de verordening moet verstrekken? Omvat dit in ieder geval hoe klanten contact met je kunnen opnemen over privacykwesties en hoe klanten hun rechten kunnen uitoefenen, bijvoorbeeld het recht op het verwijderen of corrigeren van hun gegevens en het recht op toegang daartoe?
  • Omvat je privacybeleid hoe Shopify de persoonlijke gegevens van je klanten kan gebruiken voor geautomatiseerde risico- en fraudedetectie? De AVG vereist dat je bekendmaakt wanneer jij (of jouw serviceproviders) hun gegevens gebruiken in verband met geautomatiseerde besluitvorming. Shopify gebruikt de persoonlijke gegevens van je klanten om bepaalde transacties te blokkeren die frauduleus blijken te zijn, door middel van geautomatiseerde besluitvorming. De privacybeleidsgenerator van Shopify bevat deze informatie. Zie Geautomatiseerde besluitvorming voor meer informatie over dit systeem.

Een gegevensbeschermingsfunctionaris aanstellen

Een gegevensbeschermingsfunctionaris (Data Protection Officer, DPO) overziet hoe je organisatie persoonlijke gegevens verzamelt en verwerkt. Als de kernactiviteiten van je bedrijf bestaan uit grootschalige online-tracking, vereist de AVG dat je een DPO aanstelt en in je privacybeleid contactgegevens voor de DPO verstrekt.

De AVG bevat specifieke taken die een DPO moet uitvoeren, zoals het beoordelen van de impact van gegevensbescherming wanneer jouw organisatie de manier veranderd waarop persoonlijke gegevens worden verzameld en verwerkt. De DPO kan een interne persoon zijn die deskundig is op het gebied van de AVG en gegevensbeschermingsvereisten, maar je kunt ook overwegen om met een consultant of bedrijf als externe DPO samen te werken.

Denk na over de volgende vragen:

  • Hoeveel mensen worden beïnvloed door tracking-technologieën op jouw storefront? Dit kunnen gedragsgerichte advertentie-apps zijn, of zelfs retargeting-apps. Of het aantal beïnvloede mensen 'grootschalig' is, is een wettelijke beslissing, en afhankelijk van je omstandigheden moet je een advocaat raadplegen.
  • Moet je vrijwillig een DPO aanstellen? Zelfs als je niet wettelijk verplicht bent een DPO aan te stellen kun je, als je aanwezigheid in Europa groot genoeg is, dit vrijwillig doen om te garanderen dat je de gegevens van je klanten voldoende beschermt.

Gegevensverwerkingsovereenkomsten

Als gegevensbeheerder onder de AVG vereist artikel 28 dat wanneer je een gegevensverwerker (zoals Shopify) inschakelt om de gegevens van je klanten te verwerken, je strikte contractuele vereisten oplegt aan de manier waarop zij die gegevens mogen gebruiken en verwerken. Dit gebeurt meestal via een Addendum over gegevensverwerking, oftewel Data Processing Addendum (DPA).

Shopify heeft automatisch een gegevensverwerkingsovereenkomst (https://www.shopify.com/legal/dpa) opgenomen in zijn servicevoorwaarden, die is ontworpen om aan de vereisten van artikel 28 te voldoen.

Voor Shopify Plus-merchants beheersen hun onderhandelde contracten hun relatie met Shopify. Plus-merchants kunnen een Addendum over gegevensverwerking ondertekenen om aan hun behoeften te voldoen. Shopify Plus-merchants die geen Addendum over gegevensverwerking ondertekenen, zijn onderworpen aan het online Addendum over gegevensbescherming van Shopify.

Denk na over de volgende vragen:

  • Zijn andere gegevensverwerkers dan Shopify waarmee je samenwerkt contractueel verplicht om de gegevens van jouw klanten te beschermen? Veel externe apps, kanalen, betalingsgateways of andere gegevensverwerkers nemen ook automatisch een gegevensverwerkingsovereenkomst op in hun voorwaarden. Heb je met elk van deze externe partijen overleg gepleegd?

  • Ben je een Shopify Plus-ondernemer met een onderhandeld contract? Als je een Addendum over gegevensverwerking wil ondertekenen, neem dan contact op met je Shopify Plus-ondersteuning. Hij kan je het DPA-sjabloon van Shopify geven om te ondertekenen.

Toestemming van de klant

Onder de AVG moet je mogelijk toestemming verkrijgen om de persoonlijke gegevens van jouw klanten te verwerken of de manier wijzigen waarop je die toestemming momenteel verkrijgt.

Je moet mogelijk bijvoorbeeld toestemming van je klanten verkrijgen als je hen marketingberichten stuurt of als je online advertentie- of retargeting-apps gebruikt.

Wanneer je toestemming moet verkrijgen, moet deze volgens de AVG:

  • Vrijelijk worden gegeven: de toestemming moet volledig vrijwillig zijn en mag niet worden gebundeld met andere goederen of services.
  • Specifiek zijn: de toestemming moet aan duidelijk omschreven use-cases zijn gekoppeld.
  • Geïnformeerd zijn: de toestemming kan alleen worden gegeven als de betrokkene voldoende informatie heeft over de persoonlijke gegevens die worden verzameld en gebruikt.
  • Ondubbelzinnig zijn: de toestemming moet worden gedemonstreerd door een bevestigende actie van de merchant (dat wil zeggen, niet alleen door gebruik te blijven maken van de services).

Dit betekent dat de klant gedetailleerde informatie over de specifieke use-case moet krijgen en dat de consument een bevestigende actie moet ondernemen om toestemming te geven.

Tot slot: Als jij je klanten de mogelijkheid biedt om toestemming te geven, vereist de AVG ook dat je klanten een manier hebben om hun toestemming in te trekken. Dit kan vaak worden bereikt via een afmeldingsfunctie. Als je vragen hebt over wanneer en hoe je toestemming moet verkrijgen voor het verzamelen van persoonlijke gegevens, of in hoeverre het je klanten moet zijn toegestaan om hun toestemming in te trekken, moet je met een advocaat praten die bekend is met gegevensbeschermingswetten.

Toestemming is echter slechts één van de vele rechtsgrondslagen in de AVG die de verwerking van persoonlijke gegevens kunnen rechtvaardigen. Je kunt ook persoonlijke gegevens verwerken om aan contractuele vereisten te voldoen, of als je wettelijk verplicht bent om gegevens te verwerken.

Sommige Europese regelgevende instanties hebben gesuggereerd dat als je in eerste instantie om toestemming vraagt en jouw klant weigert of akkoord gaat maar zijn toestemming vervolgens intrekt, je dan niet langer kunt vertrouwen op een andere rechtsgrondslag om persoonlijke gegevens te verwerken. Je moet daarom alleen vertrouwen op toestemming als je niet van plan bent te vertrouwen (of moet vertrouwen) op een andere rechtsgrondslag om persoonlijke gegevens te verwerken.

Denk na over de volgende vragen:

  • Wat is de rechtsgrondslag voor alle verschillende manieren waarop je de gegevens van je klanten gebruikt of verwerkt? Verwerk je ze op basis van hun toestemming? Verwerk je ze om een contractuele verplichting jegens de klant na te komen? Verwerk je ze om je legitieme zakelijke belangen te bevorderen? Je moet de rechtsgrondslag opnemen als onderdeel van je lijst van je gegevenspraktijken, zoals beschreven in Persoonlijke gegevens verzamelen.
  • Wanneer je op toestemming vertrouwt, is de toestemming die je verkrijgt dan gebundeld met de goederen of services die je aanbiedt? Verklaringen zoals by purchasing these goods, you agree to our use of your personal information zijn mogelijk bijvoorbeeld niet langer toegestaan onder de AVG.
  • Verstrek je voldoende informatie over de manier waarop je de betreffende persoonlijke gegevens zult gebruiken om ervoor te zorgen dat de toestemming van de klant geïnformeerd is?
  • Wordt de toestemming van de klant geregistreerd en ergens opgeslagen?
  • Heb je toestemming nodig om marketingcommunicatie naar je klanten te sturen? Zelfs als je geen toestemming op grond van de AVG nodig hebt, kan lokale wetgeving al dan niet vereisen dat je toestemming verkrijgt om marketingcommunicatie naar je klanten te sturen. Praat met een advocaat over de specifieke vereisten die van toepassing kunnen zijn op jouw winkel.
  • Als je van mening bent dat je toestemming nodig hebt om marketingcommunicatie te sturen, is het selectievakje voor marketingtoestemming voor jouw winkel dan standaard uitgeschakeld? Overweeg je storefront zodanig in te stellen dat het aan klanten gepresenteerde selectievakje voor marketingtoestemming niet standaard vooraf is ingeschakeld, om ervoor te zorgen dat je klanten een bevestigende actie moeten ondernemen om toestemming te geven.

Ouderlijke toestemming

De AVG bevat specifieke vereisten voor ouderlijke toestemming voor het verwerken van de persoonlijke gegevens van gebruikers onder de 16 jaar (hoewel deze leeftijd in bepaalde landen lager kan zijn).

Denk na over de volgende vragen:

  • Moet je de manier wijzigen waarop je klantgegevens verwerkt om te stoppen met het verwerken van de gegevens van die gebruikers onder de 16 jaar of om ouderlijke toestemming te verkrijgen? Je kunt dit doen door gebruikers onder de 16 jaar te verbieden toegang tot je site te verkrijgen met behulp van een leeftijdscontrole-app in de App Store van Shopify of door bezoekers te vragen te bevestigen dat ze meerderjarig zijn.

Geautomatiseerde besluitvorming

De AVG vereist dat je klanten op de hoogte stelt als je hun persoonlijke gegevens gebruikt voor geautomatiseerde besluitvorming.

Geautomatiseerde besluitvorming betekent dat er automatische algoritmen worden gebruikt om te beslissen of een individu in aanmerking komt voor bepaalde services of aanbiedingen, een bepaalde prijs moet betalen of waarschijnlijk geïnteresseerd is in bepaalde soorten goederen of services.

Als je processen gebruikt die volledig geautomatiseerde besluitvorming omvatten (dat wil zeggen, zonder menselijke tussenkomst) en een aanzienlijk wettelijk gevolg voor de klant hebben, moet je toestemming van de klant verkrijgen.

Verwerken Vereiste
Geautomatiseerde besluitvorming Melding
Volledig geautomatiseerde besluitvorming met een aanzienlijk wettelijk gevolg Toestemming

Over het algemeen past Shopify geen volledig geautomatiseerde besluitvorming toe op de persoonlijke gegevens van je klanten.

De enige uitzondering is de risico- en fraudescreening van Shopify, waarbij Shopify automatisch een betaalkaartnummer of IP-adres blokkeert na een bepaald aantal onsuccesvolle pogingen tot betaling. Shopify gelooft niet dat dit een aanzienlijk wettelijk gevolg voor klanten heeft, omdat de automatische blokkering slechts van korte duur is.

Denk na over de volgende vragen:

  • Heb je in je privacybeleid opgenomen dat de risico- en fraudescreening van Shopify persoonlijke gegevens van klanten kan gebruiken voor geautomatiseerde besluitvorming? In sectie 13 van het Privacybeleid kun je meer lezen over de geautomatiseerde besluitvormingspraktijken van Shopify. Op basis van je specifieke omstandigheden moet je ook bij een advocaat bevestigen dat deze service geen aanzienlijk wettelijk gevolg voor jouw klanten heeft.
  • Gebruik je externe apps die mogelijk betrokken zijn bij geautomatiseerde besluitvorming? Je moet vooral externe risico- of fraudeservices controleren die je gebruikt in verband met je storefront, en elk soort marketing- of advertentie-app die profielen kan bouwen of die segmenten van je klanten target.
  • Als je externe apps gebruikt die betrokken zijn bij geautomatiseerde besluitvorming, moet je dan je klanten op de hoogte stellen of toestemming verkrijgen om deze apps te gebruiken?

Melding van gegevenslekken

Als de AVG op je van toepassing is en je een gegevenslek ondervindt, moet je mogelijk de getroffen gebruikers of specifieke regelgevende instanties op de hoogte stellen.

In het bijzonder vereist de AVG melding wanneer een gegevenslek waarschijnlijk een hoog risico van nadelige gevolgen voor de rechten en vrijheden van individuen met zich mee zal brengen.

Dit is meestal het geval als de gelekte gegevens:

  • betalingsgegevens bevatten;
  • kunnen worden gebruikt om gênante of persoonlijke informatie te onthullen;
  • kunnen worden gebruikt om toegang tot iemands accounts of services te verkrijgen.

Indien van toepassing moet je het gegevenslek maximaal 72 uur nadat je zich ervan bewust bent geworden, melden.

Denk na over de volgende vragen:

  • Heb je met een advocaat gesproken om te bepalen welke gegevens die je verzamelt en verwerkt, mogelijk vereisen dat je gebruikers of instanties op de hoogte stelt als je een gegevenslek ondervindt?
  • Beschik je over een reactieplan voor gegevenslekken voor je bedrijf, zodat je voorbereid bent op een dergelijk incident?
  • betalingsgegevens bevatten;
  • kunnen worden gebruikt om gênante of persoonlijke informatie te onthullen;
  • kunnen worden gebruikt om toegang tot iemands accounts of services te verkrijgen.

De AVG legt vereisten op aan elk bedrijf dat externe leveranciers en serviceproviders gebruikt om de persoonlijke gegevens van zijn gebruikers te verwerken.

Shopify gebruikt een aantal subverwerkers om de gegevens van je klanten te verwerken. Zie Subverwerkers van Shopify voor meer informatie over de subverwerkers van Shopify.

Denk na over de volgende vragen:

  • Heb je de privacypraktijken van de leveranciers en serviceproviders die je gebruikt, waaronder Shopify, bekeken om te controleren of je het eens bent met de manier waarop ze de persoonlijke gegevens van je klanten beschermen?

Externe apps

De AVG vereist dat je een aantal bevestigende stappen onderneemt met betrekking tot het verzamelen en gebruiken van persoonlijke gegevens door jou en je externe serviceproviders. Dit omvat Shopify, maar ook externe apps die je in verband met je Shopify-winkel gebruikt.

Shopify heeft actie ondernomen om je gemakkelijker te laten begrijpen tot welke persoonlijke gegevens de apps die je installeert toegang hebben.

Stappen:

  1. Klik in de Shopify-beheerder op Apps.

  2. Klik op Details weergeven bij de app waarvoor je machtigingen wil bekijken.

Je kunt app-machtigingen ook bekijken op het installatiescherm in de App Store voordat je een app installeert.

Daarnaast is er voor elke app een gedeelte van de App Store dat linkt naar een privacybeleid waarin gedetailleerder wordt uitgelegd welke gegevens app-ontwikkelaars verzamelen en hoe ze deze gebruiken.

Hoewel Shopify het je zo gemakkelijk mogelijk wil maken om de gegevenspraktijken te beoordelen van de apps die je wil installeren, is het aan jou om ervoor te zorgen dat je externe apps gebruikt op een manier die aan de AVG voldoet.

Denk na over de volgende vragen:

  • Gebruik je externe apps op een manier die aan de AVG voldoet, op basis van je locatie, de locaties van je klanten, de locaties van je app-ontwikkelaars en je implementatie van elke app? Raadpleeg een advocaat als je niet zeker weet of de gegevenspraktijken van een bepaalde app extra aandacht of werk van je vereisen om te garanderen dat de AVG wordt nageleefd.

Internationale gegevensoverdrachten

De AVG verbiedt het exporteren van de persoonlijke gegevens van Europeanen buiten Europa, tenzij die gegevens voldoende worden beschermd.

Shopify beschermt persoonlijke gegevens volgens de vereisten van de AVG terwijl deze worden overgedragen aan en verwerkt in de Verenigde Staten en Canada.

Shopify heeft zijn gegevensstromen zodanig ingesteld dat deze vereisten worden verzorgd voor merchants. Zoals beschreven in sectie 12 van het Privacybeleid van Shopify, worden alle Europese persoonlijke gegevens aanvankelijk ontvangen van merchants en verwerkt in Ierland door Shopify's Ierse dochteronderneming Shopify International Ltd. Shopify draagt die gegevens vervolgens verder over in overeenstemming met de AVG:

AVG internationale gegevensoverdrachten

Raadpleeg het AVG-whitepaper (in het Engels) van Shopify voor meer informatie over hoe persoonlijke gegevens uit de Europese Economische Ruimte (EER) worden ontvangen en verwerkt door Shopify volgens AVG-standaarden en aanbevolen procedures voor gegevensbescherming.

Denk na over de volgende vragen:

Heb je ervoor gezorgd dat andere partijen waaraan je gegevens overdraagt, die gegevens internationaal zullen overdragen op een manier die aan de AVG voldoet? Je kunt dit doen door in het privacybeleid van je externe apps, kanalen, betalingsgateways of andere leveranciers te kijken of ze uitleggen hoe zij Europese gegevens beschermen.

De AVG-whitepaper van Shopify downloaden

Voor meer informatie over hoe Shopify aan de AVG voldoet, en om te controleren of je in staat bent om eraan te voldoen in verband met je gebruik van Shopify, downloadt je de AVG-whitepaper van Shopify (in het Engels).

Klaar om te beginnen met verkopen met Shopify?

Probeer het gratis