Wat voor invloed heeft de AVG op u?

De Algemene Verordening Gegevensbescherming (AVG) is van invloed op alle Shopify-merchants die in Europa zijn gevestigd of die Europese klanten van dienst zijn. Hoewel Shopify er hard aan werkt aan de AVG te voldoen en zijn merchants in staat te stellen eraan te voldoen vanaf 25 mei 2018, is het belangrijk op te merken dat de AVG ook vereist dat u onafhankelijk van het Shopify-platform actie onderneemt.

Shopify wil helpen merchants in de best mogelijke positie te plaatsen om aan de wet te voldoen. Dit artikel bevat vragen die u helpen uw verplichtingen te beoordelen en ervoor zorgen dat u uw winkel hebt ingesteld op een manier die aan de wet voldoet.

Desondanks is dit geen juridisch advies. De AVG is een gecompliceerde wet en is op verschillende manieren van toepassing op verschillende merchants. U moet een advocaat raadplegen om erachter te komen wat u specifiek moet doen.

Zie AVG-gegevensaanvragen verwerken voor informatie over het verwerken van gegevensaanvragen.

Waarom kan Shopify de AVG-naleving niet verzorgen voor merchants?

De AVG legt verschillende verplichtingen op aan beheerders en verwerkers van gegevens. Als verwerker van gegevens voldoet Shopify aan zijn eigen wettelijke verplichtingen onder de AVG. Verkopers (als beheerders) hebben echter ook hun eigen afzonderlijke verplichtingen waaraan ze moeten denken.

Shopify biedt merchants een platform dat kan worden geconfigureerd om AVG-compatibel te zijn, maar u moet zelf bedenken hoe u uw bedrijf wil runnen.

Voor verdere richtlijnen hebben de volgende regelgevende instanties in de Europese Unie specifieke richtsnoeren over de AVG gegeven:

Persoonlijke gegevens verzamelen

De AVG beschermt de fundamentele rechten van personen in de Europese Unie met betrekking tot de verwerking van persoonlijke gegevens.

Voorbeelden van persoonlijke gegevens zijn onder meer:

  • Naam
  • Adres
  • E-mailadres
  • Sociale media
  • Digitale ID zoals een IP-adres of een cookie-ID.

Denk na over de volgende vragen:

  • Verzamel uw persoonlijke gegevens van klanten in Europa? De meeste websites zijn beschikbaar voor inwoners van Europa en vallen onder de AVG.
  • Als u winkel externe apps of thema's gebruikt, verzamelen en verwerken ze dan gegevens in overeenstemming met de AVG? Om dit proces te vereenvoudigen, vereist Shopify dat alle apps een privacybeleid publiceren waarin hun gegevensverwerkingspraktijken worden beschreven, zodat u kunt beoordelen of u het eens bent met de gegevenspraktijken van die app. Door Shopify ontwikkelde apps vallen onder het Addendum over gegevensverwerking, en Shopify is ervoor verantwoordelijk dat ze daaraan voldoen.
  • Verzamelen en verwerken de kanalen of betalingsgateways die u gebruikt, gegevens in overeenstemming met de AVG? U moet dat navragen om het zeker te weten.
  • Heeft u een lijst met alle soorten persoonlijke gegevens die u van uw klanten verzamelt en alle manieren waarop u deze gegevens gebruikt? Artikel 30 van de AVG vereist dat u een actuele lijst van uw gegevenspraktijken bijhoudt.

Privacyverklaring

De AVG (en in het bijzonder artikel 12 t/m 14) vereist dat u specifieke informatie verstrekt aan personen van wie u de gegevens verwerkt, meestal in de vorm van een privacyverklaring of privacybeleid.

U kunt de privacybeleidsgenerator van Shopify gebruiken om aan de slag te gaan. U vindt deze in uw instellingen onder Afrekenen of online.

Denk na over de volgende vragen:

  • Heeft u een privacybeleid op uw site dat alle informatie bevat die u op grond van de verordening moet verstrekken? Omvat dit in ieder geval hoe klanten contact met u kunnen opnemen over privacykwesties en hoe klanten hun rechten kunnen uitoefenen, bijvoorbeeld het recht op het verwijderen of corrigeren van hun gegevens en het recht op toegang daartoe?
  • Omvat uw privacybeleid hoe Shopify de persoonlijke gegevens van uw klanten kan gebruiken voor geautomatiseerde risico- en fraudedetectie? De AVG vereist dat u bekendmaakt wanneer u (of uw serviceproviders) hun gegevens gebruiken in verband met geautomatiseerde besluitvorming. Shopify gebruikt de persoonlijke gegevens van uw klanten om bepaalde transacties te blokkeren die frauduleus blijken te zijn, door middel van geautomatiseerde besluitvorming. De privacybeleidsgenerator van Shopify bevat deze informatie. Zie Geautomatiseerde besluitvorming voor meer informatie over dit systeem.

Een gegevensbeschermingsfunctionaris aanstellen

Een gegevensbeschermingsfunctionaris (Data Protection Officer, DPO) overziet hoe uw organisatie persoonlijke gegevens verzamelt en verwerkt. Als de kernactiviteiten van uw bedrijf bestaan uit grootschalige online-tracking, vereist de AVG dat u een DPO aanstelt en in uw privacybeleid contactgegevens voor de DPO verstrekt.

De AVG bevat specifieke taken die een DPO moet uitvoeren, zoals het beoordelen van de impact van gegevensbescherming wanneer uw organisatie de manier veranderd waarop persoonlijke gegevens worden verzameld en verwerkt. De DPO kan een interne persoon zijn die deskundig is op het gebied van de AVG en gegevensbeschermingsvereisten, maar u kunt ook overwegen om met een consultant of bedrijf als externe DPO samen te werken.

Denk na over de volgende vragen:

  • Hoeveel mensen worden beïnvloed door tracking-technologieën op uw webwinkel? Dit kunnen gedragsgerichte advertentie-apps zijn, of zelfs retargeting-apps. Of het aantal beïnvloede mensen 'grootschalig' is, is een wettelijke beslissing, en afhankelijk van uw omstandigheden moet u een advocaat raadplegen.
  • Moet u vrijwillig een DPO aanstellen? Zelfs als u niet wettelijk verplicht bent een DPO aan te stellen kunt u, als uw aanwezigheid in Europa groot genoeg is, dit vrijwillig doen om te garanderen dat u de gegevens van uw klanten voldoende beschermt.

Gegevensverwerkingsovereenkomsten

Als gegevensbeheerder onder de AVG vereist artikel 28 dat wanneer u een gegevensverwerker (zoals Shopify) inschakelt om de gegevens van uw klanten te verwerken, uw strikte contractuele vereisten oplegt aan de manier waarop zij die gegevens mogen gebruiken en verwerken. Dit gebeurt meestal via een Addendum over gegevensverwerking, oftewel Data Processing Addendum (DPA).

Shopify heeft automatisch een gegevensverwerkingsovereenkomst (https://www.shopify.com/legal/dpa) opgenomen in zijn servicevoorwaarden, die is ontworpen om aan de vereisten van artikel 28 te voldoen.

Voor Shopify Plus-ondernemers beheersen hun onderhandelde contracten hun relatie met Shopify. Plus-ondernemers kunnen een Addendum over gegevensverwerking ondertekenen om aan hun behoeften te voldoen. Shopify Plus-ondernemers die geen Addendum over gegevensverwerking ondertekenen, zijn onderworpen aan het online Addendum over gegevensbescherming van Shopify.

Denk na over de volgende vragen:

  • Zijn andere gegevensverwerkers dan Shopify waarmee u samenwerkt contractueel verplicht om de gegevens van uw klanten te beschermen? Veel externe apps, kanalen, betalingsgateways of andere gegevensverwerkers nemen ook automatisch een gegevensverwerkingsovereenkomst op in hun voorwaarden. Hebt u met elk van deze externe partiun overleg gepleegd?

  • Bent u een Shopify Plus-ondernemer met een onderhandeld contract? Als u een Addendum over gegevensverwerking wilt ondertekenen, neem dan contact op met uw Shopify Plus-ondersteuning. Hij kunt u het DPA-sjabloon van Shopify geven om te ondertekenen.

Toestemming van de klant

Onder de AVG moet u mogelijk toestemming verkrijgen om de persoonlijke gegevens van uw klanten te verwerken of de manier wijzigen waarop u die toestemming momenteel verkrijgt.

U moet mogelijk bijvoorbeeld toestemming van uw klanten verkrijgen als u hen marketingberichten stuurt of als u online advertentie- of retargeting-apps gebruikt.

Wanneer u toestemming moet verkrijgen, moet deze volgens de AVG:

  • Vrijelijk worden gegeven: de toestemming moet volledig vrijwillig zijn en mag niet worden gebundeld met andere goederen of services.
  • Specifiek zijn: de toestemming moet aan duidelijk omschreven use-cases zijn gekoppeld.
  • Geïnformeerd zijn: de toestemming kan alleen worden gegeven als de betrokkene voldoende informatie heeft over de persoonlijke gegevens die worden verzameld en gebruikt.
  • Ondubbelzinnig zijn: de toestemming moet worden gedemonstreerd door een bevestigende actie van de merchant (dat wil zeggen, niet alleen door gebruik te blijven maken van de services).

Dit betekent dat de klant gedetailleerde informatie over de specifieke use-case moet krijgen en dat de consument een bevestigende actie moet ondernemen om toestemming te geven.

Tot slot: Als u uw klanten de mogelijkheid biedt om toestemming te geven, vereist de AVG ook dat uw klanten een manier hebben om hun toestemming in te trekken. Dit kan vaak worden bereikt via een afmeldingsfunctie. Als u vragen hebt over wanneer en hoe u toestemming moet verkrijgen voor het verzamelen van persoonlijke gegevens, of in hoeverre het uw klanten moet zijn toegestaan om hun toestemming in te trekken, moet u met een advocaat praten die bekend is met gegevensbeschermingswetten.

Toestemming is echter slechts één van de vele rechtsgrondslagen in de AVG die de verwerking van persoonlijke gegevens kunnen rechtvaardigen. U kunt ook persoonlijke gegevens verwerken om aan contractuele vereisten te voldoen, of als u wettelijk verplicht bent om gegevens te verwerken.

Sommige Europese regelgevende instanties hebben gesuggereerd dat als u in eerste instantie om toestemming vraagt en uw klant weigert of akkoord gaat maar zijn toestemming vervolgens intrekt, u dan niet langer kunt vertrouwen op een andere rechtsgrondslag om persoonlijke gegevens te verwerken. U moet daarom alleen vertrouwen op toestemming als u niet van plan bent te vertrouwen (of moet vertrouwen) op een andere rechtsgrondslag om persoonlijke gegevens te verwerken.

Denk na over de volgende vragen:

  • Wat is de rechtsgrondslag voor alle verschillende manieren waarop u de gegevens van uw klanten gebruikt of verwerkt? Verwerkt u ze op basis van hun toestemming? Verwerkt u ze om een contractuele verplichting jegens de klant na te komen? Verwerkt u ze om uw legitieme zakelijke belangen te bevorderen? U moet de rechtsgrondslag opnemen als onderdeel van uw lijst van uw gegevenspraktijken, zoals beschreven in Persoonlijke gegevens verzamelen.
  • Wanneer u op toestemming vertrouwt, is de toestemming die u verkrijgt dan gebundeld met de goederen of services die u aanbiedt? Verklaringen zoals by purchasing these goods, you agree to our use of your personal information zijn mogelijk bijvoorbeeld niet langer toegestaan onder de AVG.
  • Verstrekt u voldoende informatie over de manier waarop u de betreffende persoonlijke gegevens zult gebruiken om ervoor te zorgen dat de toestemming van de klant geïnformeerd is?
  • Wordt de toestemming van de klant geregistreerd en ergens opgeslagen?
  • Hebt u toestemming nodig om marketingcommunicatie naar uw klanten te sturen? Zelfs als u geen toestemming op grond van de AVG nodig hebt, kan lokale wetgeving al dan niet vereisen dat u toestemming verkrijgt om marketingcommunicatie naar uw klanten te sturen. Praat met een advocaat over de specifieke vereisten die van toepassing kunnen zijn op uw winkel.
  • Als u van mening bent dat u toestemming nodig hebt om marketingcommunicatie te sturen, is het selectievakje voor marketingtoestemming voor uw winkel dan standaard uitgeschakeld? Overweeg uw webwinkel zodanig in te stellen dat het aan klanten gepresenteerde selectievakje voor marketingtoestemming niet standaard vooraf is ingeschakeld, om ervoor te zorgen dat uw klanten een bevestigende actie moeten ondernemen om toestemming te geven.

Ouderlijke toestemming

De AVG bevat specifieke vereisten voor ouderlijke toestemming voor het verwerken van de persoonlijke gegevens van gebruikers onder de 16 jaar (hoewel deze leeftijd in bepaalde landen lager kan zijn).

Denk na over de volgende vragen:

  • Moet u de manier wijzigen waarop uw klantgegevens verwerkt om te stoppen met het verwerken van de gegevens van die gebruikers onder de 16 jaar of om ouderlijke toestemming te verkrijgen? U kunt dit doen door gebruikers onder de 16 jaar te verbieden toegang tot uw site te verkrijgen met behulp van een leeftijdscontrole-app in de App Store van Shopify of door bezoekers te vragen te bevestigen dat ze meerderjarig zijn.

Geautomatiseerde besluitvorming

De AVG vereist dat uw klanten op de hoogte stelt als u hun persoonlijke gegevens gebruikt voor geautomatiseerde besluitvorming.

Geautomatiseerde besluitvorming betekent dat er automatische algoritmen worden gebruikt om te beslissen of een individu in aanmerking komt voor bepaalde services of aanbiedingen, een bepaalde prijs moet betalen of waarschijnlijk geïnteresseerd is in bepaalde soorten goederen of services.

Als u processen gebruikt die volledig geautomatiseerde besluitvorming omvatten (dat wil zeggen, zonder menselijke tussenkomst) en een aanzienlijk wettelijk gevolg voor de klant hebben, moet u toestemming van de klant verkrijgen.

Vereisten voor automatische besluitvormingsprocessen
Verwerken Vereiste
Geautomatiseerde besluitvorming Melding
Volledig geautomatiseerde besluitvorming met een aanzienlijk wettelijk gevolg Toestemming

Over het algemeen past Shopify geen volledig geautomatiseerde besluitvorming toe op de persoonlijke gegevens van uw klanten.

De enige uitzondering is de risico- en fraudescreening van Shopify, waarbij Shopify automatisch een betaalkaartnummer of IP-adres blokkeert na een bepaald aantal onsuccesvolle pogingen tot betaling. Shopify gelooft niet dat dit een aanzienlijk wettelijk gevolg voor klanten heeft, omdat de automatische blokkering slechts van korte duur is.

Denk na over de volgende vragen:

  • Hebt u in uw privacybeleid opgenomen dat de risico- en fraudescreening van Shopify persoonlijke gegevens van klanten kan gebruiken voor geautomatiseerde besluitvorming? In sectie 13 van het Privacybeleid kunt u meer lezen over de geautomatiseerde besluitvormingspraktijken van Shopify. Op basis van uw specifieke omstandigheden moet u ook bij een advocaat bevestigen dat deze service geen aanzienlijk wettelijk gevolg voor uw klanten heeft.
  • Gebruik uw externe apps die mogelijk betrokken zijn bij geautomatiseerde besluitvorming? U moet vooral externe risico- of fraudeservices controleren die u gebruikt in verband met uw webwinkel, en elk soort marketing- of advertentie-app die profielen kan bouwen of die segmenten van uw klanten target.
  • Als u externe apps gebruikt die betrokken zijn bij geautomatiseerde besluitvorming, moet u dan uw klanten op de hoogte stellen of toestemming verkrijgen om deze apps te gebruiken?

Melding van gegevenslek

Als de AVG op u van toepassing is en u een gegevenslek ondervindt, moet u mogelijk de getroffen gebruikers of specifieke regelgevende instanties op de hoogte stellen.

In het bijzonder vereist de AVG melding wanneer een gegevenslek waarschijnlijk een hoog risico van nadelige gevolgen voor de rechten en vrijheden van individuen met zich mee zal brengen.

Dit is meestal het geval als de gelekte gegevens:

  • betalingsgegevens bevatten;
  • kunnen worden gebruikt om gênante of persoonlijke informatie te onthullen;
  • kunnen worden gebruikt om toegang tot iemands accounts of services te verkrijgen.

Indien van toepassing moet u het gegevenslek maximaal 72 uur nadat u zich ervan bewust bent geworden, melden.

Denk na over de volgende vragen:

  • Hebt u met een advocaat gesproken om te bepalen welke gegevens die u verzamelt en verwerkt, mogelijk vereisen dat u gebruikers of instanties op de hoogte stelt als u een gegevenslek ondervindt?
  • Beschikt u over een reactieplan voor gegevenslekken voor uw bedrijf, zodat u voorbereid bent op een dergelijk incident?
  • betalingsgegevens bevatten;
  • kunnen worden gebruikt om gênante of persoonlijke informatie te onthullen;
  • kunnen worden gebruikt om toegang tot iemands accounts of services te verkrijgen.

De AVG legt vereisten op aan elk bedrijf dat externe leveranciers en serviceproviders gebruikt om de persoonlijke gegevens van zijn gebruikers te verwerken.

Shopify gebruikt een aantal subverwerkers om de gegevens van uw klanten te verwerken. Zie Subverwerkers van Shopify voor meer informatie over de subverwerkers van Shopify.

Denk na over de volgende vragen:

  • Hebt u de privacypraktijken van de leveranciers en serviceproviders die u gebruikt, waaronder Shopify, bekeken om te controleren of u het eens bent met de manier waarop ze de persoonlijke gegevens van uw klanten beschermen?

Externe apps

De AVG vereist dat u een aantal bevestigende stappen onderneemt met betrekking tot het verzamelen en gebruiken van persoonlijke gegevens door u en uw externe serviceproviders. Dit omvat Shopify, maar ook externe apps die u in verband met uw Shopify-winkel gebruikt.

Shopify heeft actie ondernomen om u gemakkelijker te laten begrijpen tot welke persoonlijke gegevens de apps die u installeert toegang hebben.

Stappen:

  1. Klik in de Shopify-beheerder op Apps.

  2. Klik op Details weergeven bij de app waarvoor u machtigingen wilt bekijken.

U kunt app-machtigingen ook bekijken op het installatiescherm in de App Store voordat u een app installeert.

Daarnaast is er voor elke app een gedeelte van de App Store dat linkt naar een privacybeleid waarin gedetailleerder wordt uitgelegd welke gegevens app-ontwikkelaars verzamelen en hoe ze deze gebruiken.

Hoewel Shopify het u zo gemakkelijk mogelijk wil maken om de gegevenspraktijken te beoordelen van de apps die u wil installeren, is het aan u om ervoor te zorgen dat uw externe apps gebruikt op een manier die aan de AVG voldoet.

Denk na over de volgende vragen:

  • Gebruik uw externe apps op een manier die aan de AVG voldoet, op basis van uw locatie, de locaties van uw klanten, de locaties van uw app-ontwikkelaars en uw implementatie van elke app? Raadpleeg een advocaat als u niet zeker weet of de gegevenspraktijken van een bepaalde app extra aandacht of werk van u vereisen om te garanderen dat de AVG wordt nageleefd.

Internationale gegevensoverdrachten

De AVG verbiedt het exporteren van de persoonlijke gegevens van Europeanen buiten Europa, tenzij die gegevens voldoende worden beschermd.

Shopify beschermt persoonlijke gegevens volgens de vereisten van de AVG terwijl deze worden overgedragen aan en verwerkt in de Verenigde Staten en Canada.

Shopify heeft zijn gegevensstromen zodanig ingesteld dat deze vereisten worden verzorgd voor verkopers. Zoals beschreven in sectie 12 van het Privacybeleid van Shopify, worden alle Europese persoonlijke gegevens aanvankelijk ontvangen van verkopers en verwerkt in Ierland door Shopify's Ierse dochteronderneming Shopify International Ltd. Shopify draagt die gegevens vervolgens verder over in overeenstemming met de AVG:

AVG internationale gegevensoverdrachten

Raadpleeg het AVG-whitepaper (in het Engels) van Shopify voor meer informatie over hoe persoonlijke gegevens uit de Europese Economische Ruimte (EER) worden ontvangen en verwerkt door Shopify volgens AVG-standaarden en aanbevolen procedures voor gegevensbescherming.

Denk na over de volgende vragen:

Hebt u ervoor gezorgd dat andere partijen waaraan uw gegevens overdraagt, die gegevens internationaal zullen overdragen op een manier die aan de AVG voldoet? U kunt dit doen door in het privacybeleid van uw externe apps, kanalen, betalingsgateways of andere leveranciers te kijken of ze uitleggen hoe zij Europese gegevens beschermen.

De AVG-whitepaper van Shopify downloaden

Voor meer informatie over hoe Shopify aan de AVG voldoet, en om te controleren of u in staat bent om eraan te voldoen in verband met uw gebruik van Shopify, downloadt u de AVG-whitepaper van Shopify (in het Engels).

Klaar om te beginnen met verkopen met Shopify?

Probeer het gratis