Als webshop eigenaar zijn zaken zoals het laten opstellen van algemene voorwaarden of privacy statement in een start up fase vaak niet de eerste prioriteit. Als je aan consumenten levert dan is het wel noodzakelijk om dit goed voor te bereiden, want steeds meer consumenten hechten steeds meer waarde aan hun privacy.
De kans is dus groot dat je als webwinkelhouder een keer te maken krijgt met een klant die wil weten wat er met zijn persoonsgegevens gebeurt. Zo voorkom je problemen met consumenten die gebruik willen maken van hun inzagerecht.
Ondernemers met een webshop moeten zich aan allerlei regels houden. Webshophouders krijgen namelijk te maken met de Wet bescherming persoonsgegevens. Ook zijn ondernemers verplicht hun klanten, als zij erom vragen, inzage te geven in de persoonsgegevens die de webwinkel van die klant bewaart. Als webwinkelier moet je het privacystatement in de gaten houden, maar ook denken aan inzagerecht, wetgeving en het correct bewaren van informatie.
Webshophouders die hun business ook maar enigszins serieus nemen, zorgen voor een privacystatement op hun website. Dat is om diverse redenen belangrijk. Via een webshop worden allerlei persoonsgegevens verzameld en verder verwerkt. Sommige webshops beperken zich tot de NAW-gegevens van de klant om de bestelling te kunnen verzenden. Anderen gaan veel verder en houden een (omvangrijk) klantprofiel bij met allerlei interesses, click data, reviewgegevens, kredietwaardigheid, enzovoort.
We sommen hieronder nog even kort op wat er in een privacy statement moet staan:
1. de identiteit van (de onderneming achter) de webshop (wie gaat deze gegevens gebruiken?)
2. de doeleinden van de verwerking (waarvoor zullen deze gegevens worden gebruikt?)
3. nadere informatie, voor zover noodzakelijk om behoorlijk en zorgvuldige verwerking te waarborgen (op welke verdere informatie heeft de betrokkene redelijkerwijze recht?)
Hier komt het privacystatement in beeld. Bij de meeste websites wordt deze informatie namelijk in het privacystatement gegeven. Het privacystatement is daarmee de praktische uitwerking van de wettelijke plicht om de hiervoor genoemde informatie te geven. Dit is in de praktijk zo gegroeid en daarmee voor de websitebezoeker ook goed herkenbaar.
Naar de letter van de wet is het niet verplicht om in een privacystatement te zetten dat iedere websitebezoeker het recht heeft op inzage in zijn persoonsgegevens. Toch doen veel webshops dat wel. Dat lijkt me verstandig. Inde privacyrichtlijn – waarop de Nederlandse wet is gebaseerd – staan namelijk de volgende voorbeelden genoemd van nadere informatie (zie punt 3 hiervoor) die ook verstrekt zou kunnen worden:
– de betrokken gegevenscategorieën;
– de ontvangers of de categorieën ontvangers;
– het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens
Je kunt hier (voorzichtig) uit afleiden dat een privacystatement dus ook (nagenoeg) altijd informatie moet bevatten over:
• het soort gegevens dat wordt verwerkt;
• de partijen waaraan de gegevens worden verstrekt; en
• informatie over het inzage- en correctierecht.
Wanneer je niet, niet adequaat of niet tijdig (=binnen vier weken) reageert op een inzageverzoek, dan kan de betrokkene naar de rechter stappen. Dit kan zowel in kort geding als middels een verzoekschriftenprocedure.
Het verzoekschrift moet door de betrokkene binnen zes weken na uw reactie op het inzageverzoek zijn ingediend (of binnen 10 weken na het inzageverzoek, wanneer je in het geheel niet antwoordt). Er is nu al enkele keren geoordeeld dat overschrijding van die termijn leidt tot niet-ontvankelijkheid. Voor een kort geding zal de betrokkene aannemelijk moeten maken dat er sprake is van een spoedeisend belang en dat de verzoekschriftprocedure niet kan worden afgewacht.
Wanneer de rechter de betrokkene gelijk geeft, dan word je waarschijnlijk veroordeeld om bepaalde gegevens alsnog aan de betrokkene te verstrekken. Het zou bovendien kunnen dat de rechtbank een dwangsom oplegt. Van de beslissing van de rechtbank kunnen partijen hoger beroep instellen. Daarna zou eventueel nog beroep in cassatie kunnen worden ingesteld; een bekende kwestie waarbij het zover is gekomen is de Santander-beschikking van de Hoge Raad.
Het is verder denkbaar dat het College Bescherming Persoonsgegevens ingrijpt. In individuele gevallen is dat gelet op haar handhavingsbeleid niet zo waarschijnlijk, maar wanneer u zich structureel niet aan de wet houdt, zou dit voor het CBP aanleiding kunnen vormen in te grijpen. Het CBP zou dan een last onder dwangsom kunnen opleggen tot verbetering van uw beleid ten aanzien van inzageverzoeken. Vooralsnog lijkt dit echter wat theoretisch.
Het inzagerecht wordt door steeds meer mensen ontdekt en is dus ook voor webshops iets om serieus rekening mee te houden. Wanneer er een inzageverzoek komt, zal daar adequaat op moeten worden gereageerd. Dat moet bovendien relatief snel gebeuren (binnen vier weken).
Dit vergt nogal wat van je organisatie. Krijg je binnen die termijn alle gegevens boven tafel en overzichtelijk gepresenteerd voor de betrokkene? Het is verstandig vooraf na te denken wat er in je organisatie moet gebeuren om adequaat aan een inzageverzoek te kunnen voldoen. Dit voorkomt vervelende discussies met de klant of zelfs voor de rechter moet verschijnen.
Ervaringen? Deel ze!
Bron: Emerce.nl
TeamViewer
