Is jouw website of webshop wettelijk in orde?

/in /door

 

Valt jouw website onder een specifieke wetgeving?

Het antwoord is kort en duidelijk: JA!

Zowel de Europese overheid en de nationale overheden hebben een uitgebreide wetgeving voor websites, zowel voor ‘gewone’ websites als voor webshops.

In dit artikel richten we ons vooral op websites van kleine en middelgrote ondernemingen, zelfstandigen en vrije beroepen. De wetgeving voor grote bedrijven is immers nog een stuk veeleisender.

Maar vergis je niet, ook jij moet aan heel wat wettelijke vereisten voldoen. En helaas merken we dat velen wettelijk niet in orde zijn. Meer nog, zelfs niet weten aan welke vereisten ze met hun website moeten voldoen.

En dus bieden we dit artikel aan. Met een helder overzicht van de vereisten waaraan ook jij moet voldoen en de mogelijke boetes die hieruit voortvloeien. We vangen aan met enkele algemene verplichtingen voor websites en vervolgen met bijkomende verplichtingen voor webshops. Tot slot behandelen we uitgebreider de voor iedereen van toepassing zijnde Privacy Wetgeving, ook gekend als GDPR of AVG.

Aan de hand van de aangehaalde elementen zal je goed kunnen inschatten of jouw website in orde is en of je dringend stappen moet ondernemen om de (financiële) risico’s weg te nemen.

Algemene wettelijke verplichtingen voor een website

Wettelijke verplichtingen voor alle websites

Het lijkt vanzelfsprekend, maar elke website moet in elke taal waarin de website beschikbaar is een aantal gegevens vermelden:

  • De naam van het bedrijf en de commerciële naam
  • Het postadres
  • Contactgegevens
  • Het ondernemingsnummer
  • Het BTW-nummer

Niet wettelijk verplicht, maar wel warm aanbevolen is het publiceren van jouw Algemene Voorwaarden.

Waar moet je deze gegevens plaatsen? In ieder geval op een plek waar ze zeer eenvoudig toegankelijk zijn voor de bezoeker. Dit kan bijvoorbeeld in de ‘footer’ van jouw website (een blok dat onderaan elke pagina verschijnt). Eventueel kan je ze ook op jouw contactpagina plaatsen. Het principe is dat de bezoeker deze gegevens ‘zonder nadenken’ moet kunnen vinden.

Oefen jij een gereglementeerd beroep uit? Dan gelden bijkomende verplichtingen.

  • Heb je voor jouw handelsactiviteit een vergunning nodig, dan moet je de naam van de betrokken toezichthoudende autoriteit vermelden. Een vastgoedmakelaar bijvoorbeeld moet verplicht verwijzen naar het Beroepsinstituut van Vastgoedmakelaars.
  • Heb je een diploma of bekwaamheidsattest moeten halen om jouw beroep te kunnen uitoefenen (bijvoorbeeld een advocaat)? Dan moet je:
    • Vermelden bij welke beroepsorganisatie of -vereniging jouw bedrijf aangesloten is;
    • Jouw beroepstitel opgeven en aanduiden in welk land van de Europese Economische Ruimte (EER) die werd afgeleverd;
    • Verwijzen naar de eventuele regels van uw beroep.
  • Als jouw bedrijf een gedragscode heeft onderschreven die specifiek is voor jouw sector, voeg dan een link toe waar jouw bezoekers deze code kunnen raadplegen.

Sancties?

Bij vaststelling van een inbreuk kan de Economische Inspectie:

  • Een waarschuwing geven, inclusief aanmaning tot regularisatie van de situatie,
  • Een administratieve geldboete opleggen,
  • Of in extreme gevallen een juridisch geding starten.

 

Bijkomende verplichtingen voor webshops

Verkoop je producten of diensten via een webshop? In dat geval legt de wet strengere eisen op.

Je zal zeer duidelijk:

  • De betalings- en leveringsvoorwaarden toelichten.
  • Het herroepingsrecht volgens de geldende wetgeving beschrijven.
  • De toegepaste (minimaal de wettelijke) garantie en garantietermijnen vermelden. Deze is afhankelijk van de aangeboden producten.
  • Een hyperlink naar het Europese platform voor online oplossing van geschillen aanbieden.
  • De belangrijkste kenmerken van de producten vermelden (omvang of afmetingen, materiaal, gewicht of staat van het product) alsook de prijs (met BTW voor particulieren en ook met BTW afzonderlijk voor professionele klanten).
Contacteer mij voor een vrijblijvend gesprek

Privacy wetgeving (GDPR – AVG)

Hoe zat dat ook weer?

Waarvoor staat GDPR ook al weer? Wat betekent de afkorting GDPR (AVG)?

Laten we beginnen bij het begin. Het gaat om de Europese privacywet die van kracht is sinds 25 mei 2018. Het hoofddoel van de GDPR is het beschermen van de privacy en persoonsgegevens van individuen binnen de Europese Unie. Dat is namelijk een van onze grondrechten.

De GDPR (General Data Protection Regulation) en de AVG (Algemene Verordening Gegevensbescherming) zijn eigenlijk dezelfde wet, maar de termen worden vaak door elkaar gebruikt omdat de wet zowel op Europees niveau als op nationaal niveau wordt gebruikt.

De Gegevensbeschermingsautoriteit (GBA) is verantwoordelijk voor het toezicht en de handhaving van de AVG in België. De Autoriteit Persoonsgegevens (AP) is de tegenhanger in Nederland.

Beide toezichthouders staan in voor:

  • Het publiceren van richtlijnen en adviezen over de Algemene Verordening Gegevensbescherming;
  • Het behandelen van klachten;
  • Het opzoeken en onderzoeken van mogelijke overtredingen van de privacywetgeving;
  • Het opleggen van boetes aan zij die de AVG-regels effectief overtreden.

De GDPR  / AVG is van toepassing op alle organisaties, zowel binnen als buiten de EU, die persoonsgegevens verwerken van EU-burgers. Het is een wettelijk kader dat regels en voorschriften vaststelt voor de verzameling, verwerking en opslag van persoonsgegevens.

Laat je bij de bakker uw persoonsgegevens achter om te kunnen meedoen aan de jaarlijkse tombola? Dan valt die verwerking onder de regels van de privacy wetgeving. Gebruik je een contactformulier op jouw website of heb je een linkje naar Facebook of … Inderdaad, jouw website valt ook onder deze strenge wetgeving.

 

Verplichting 1 – Een volledig Privacy Beleid

 

Stap 1: Inventariseer welke persoonsgegevens je verwerkt

Je moet een zicht krijgen op de omvang van de gegevensverwerking op en rond jouw site. Hou dus nauwkeurig bij welke info je verzamelt, hoe je persoonsgegevens gebruikt en wat je mogelijk deelt met andere partijen (denk aan Facebook-linkjes, Google Maps, WordPress, …).

Als je dit allemaal in kaart gebracht hebt, dan kan je passende veiligheidsmaatregelen nemen om de privacy van jouw bezoekers te waarborgen. Het zal je ook helpen in de volgende stappen, namelijk het opbouwen van een Privacy Beleid en een Cookie Beleid.

 

Stap 2: Stel een Privacy Beleid op en publiceer het op jouw website

Een duidelijke privacyverklaring bevat informatie (in begrijpelijke taal) over de manier waarop persoonsgegevens worden opgeslagen, beveiligd en gedeeld.

Wat zal je daarin moeten opnemen:

  • Wie is verantwoordelijk voor de inzameling van gegevens – jij zelf?
  • Op welke rechtsgronden gebeurt de gegevensinzameling? (zie verder)
  • Wie beheert en verwerkt de gegevens?
  • Welke gegevens worden vergaard (bijvoorbeeld in een formulier)?
  • Hoe lang worden deze gegevens bewaard?
  • Wat doe je bij verlies van data (een lek, hacking)? Je hebt hier ook een meldingsplicht.
  • Hoe respecteer je de 7 basisrechten van elke bezoeker? (zie verder)

 

De wet somt 6 gevallen (rechtsgronden) op, op basis waarvan u persoonsgegevens mag verwerken, namelijk:

  • De persoon waarvan je de gegevens wenst te verwerken, stemt toe?
  • Of de verwerking van persoonsgegevens is noodzakelijk:
    • voor de uitvoering van een overeenkomst;
    • om te voldoen aan een wettelijke verplichting;
    • voor de bescherming van de vitale belangen van een persoon;
    • voor de vervulling van een taak van algemeen belang of de uitoefening van het openbaar gezag;
    • voor de behartiging van een gerechtvaardigd belang.

Je zal dus duidelijk in jouw Privacy Beleid aangeven op basis van welke rechtsgrond(en) je gegevens verzamelt.

 

Omschrijf ook zeer duidelijk hoe u zich verhoudt tegenover de 7 wettelijke basisrechten van jouw bezoekers:

  1. Informatie: Je mag in principe geen persoonsgegevens verwerken zonder hun medeweten.
  2. Inzage: Bezoekers mogen hun gegevens altijd inkijken en bijkomende informatie opvragen.
  3. Verbetering: Blijken gegevens onjuist of onvolledig, dan mogen zij vragen om die gegevens te verbeteren of te vervolledigen.
  4. Verwijdering: In een aantal specifieke gevallen kunnen mensen vragen om ‘vergeten te worden’. Lees: voorgoed gewist te worden uit jouw database.
  5. Verzet: Iedereen mag zich verzetten tegen de verwerking van zijn gegevens op basis van ernstige en gerechtvaardigde redenen.
  6. Overdraagbaarheid van gegevens: In sommige gevallen mogen mensen hun gegevens bij jou in een standaardformaat opvragen. Op die manier kunnen ze die eenvoudig aan een andere leverancier met een gelijkaardige dienst overdragen.
  7. Klachten: Iedereen heeft het recht om een klacht in te dienen bij de toezichthoudende overheid bij een inbreuk op de persoonsgegevens.

 

Nog enkele andere aspecten die je moet behandelen in jouw Privacy Beleid:

Het is belangrijk om te vermelden dat passende technische en organisatorische maatregelen zijn genomen om de beveiliging van persoonsgegevens te waarborgen. Hoewel de specifieke maatregelen niet altijd in detail hoeven te worden uitgelegd, zal het vermelden van versleuteling, firewalls en gegevensbeschermingsprotocollen nuttig zijn.

We merken ook dat vele websites nog niet beveiligd zijn met een SSL-certificaat. Dat met andere woorden het internetadres niet begint met HTTPS, maar met HTTP. Bijvoorbeeld HTTP://jouwdomeinnaam.com. Wanneer je echter gegevens verzamelt, en dat geldt voor zowat iedereen, dan is deze beveiliging verplicht! Overigens, Google bestraft websites die deze beveiliging niet hebben en toont deze nooit vooraan in de zoekresultaten!

Samenwerking met externe dienstverleners: Google, Facebook, MailChimp, WordPress, …, allemaal externe gegevensverwerkers waar je mogelijk mee samenwerkt of gebruik van maakt, zelfs zonder dat je het beseft. Vaak zijn deze bedrijven buiten Europa gevestigd en maken ze gebruik van niet-Europese servers voor gegevensopslag. Ook merken we dat in hun gebruikersovereenkomsten vaak staat opgenomen dat ze de gegevens nog met sub-verwerkers delen. In dit geval ben jij als verantwoordelijke gegevens aan het doorgeven en exporteren. Het is belangrijk dat je – wanneer er export van persoonsgegevens plaatsvindt – de nodige GDPR-conforme overeenkomsten afsluit met deze bedrijven en aan alle overige GDPR-verplichtingen voldoet. Toegegeven, dit is een verplichting die in de praktijk niet helemaal haalbaar is. Verwijzen naar het privacy beleid van deze partijen kan een verdedigbare tussenoplossing zijn.

Contacteer mij voor een vrijblijvend gesprek

Verplichting 2 – Een uitgebouwd Cookie Beleid

 

Cookies?

Heeb je een redelijk moderne website? Dus niet eentje waarvan de pagina-adressen nog eindigen op .htm, .html, of .php? Wees er dan maar zeker van dat aan uw website cookies verbonden zijn. Hoewel ook websites met de vernoemde ‘extensies’ cookies kunnen bevatten.

Cookies zijn kleine bestandjes die er in grote lijnen voor zorgen dat een bezoek aan de website vlot verloopt en dat mogelijk enkele zaken bijgehouden worden om een volgend bezoek nog aangenamer te maken. Of om voor jou (Google Analytics, …) en anderen (zoals Facebook, Google, …) statistische gegevens op te bouwen. Of om voor jou of derden gegevens voor marketing-doeleinden op te slaan.

 

Verplichte Cookie Banner

Je kent het wel, zo een vervelende balk waarin iets over cookies gevraagd wordt vooraleer je verder kan. Helaas … verplicht. Sommigen maken er zich vanaf met de simpele mededeling dat de website cookies gebruikt. Maar dat is helaas onvoldoende. Wat moet je allemaal aanbieden:

  • Een cookie balk waarin je de keuze biedt om
    • Enkel cookies te aanvaarden die noodzakelijk zijn om de website te tonen,
    • Alle cookies te aanvaarden,
    • Of als bezoeker zelf aan te geven welk type cookies (statistische en/of marketing cookies) je wenst te aanvaarden.
  • Deze cookie balk moet beschikbaar zijn in alle talen van de website.
  • En de gebruiker moet een duidelijk pad vinden naar jouw Cookie Beleid, eventueel via uw Privacy Beleid.

 

Verplicht Cookie Beleid

Het Cookie Beleid dat je op jouw website moet publiceren, bevat best ten minste volgende elementen:

  • Identiteit en contactgegevens van de verwerkingsverantwoordelijke (eventueel ook de contactgegevens van de Data Protection Officer);
  • Lijst van de verschillende cookies die door jouw website of app gebruikt worden;
  • De doeleinden waarvoor deze cookies gebruikt worden;
  • De werkingsduur van de cookies;
  • Eventuele mogelijkheid voor derden om toegang te krijgen tot de cookies;
  • De rechtsgrond van de verwerking;
  • De bewaartermijn van de gegevens die via verschillende cookies worden ingezameld;
  • De rechten die betrokkenen kunnen inroepen;
  • De mogelijkheid om een klacht neer te leggen bij de Gegevensbeschermingsautoriteit.

Een aantal van deze elementen kunnen ook al in jouw Privacy Beleid opgenomen worden en dienen dus niet herhaald te worden.

Belangrijk: ook dit Cookie Beleid moet aangeboden worden in de verschillende talen van jouw website.

We tonen je graag een voorbeeld van een Cookie Beleid?

 

GDPR (AVG) boetes en sancties

 

Je volgt de GDPR- of AVG-regelgeving maar beter strikt op. Zo niet, riskeer je stevige boetes en andere sancties. Want als je denkt dat enkel Mark Zuckerberg in het verre Amerika zware boetes moet betalen, dan heb je het mis. Om je een idee te geven: de boetes in België lopen gemiddeld op tot 25.000 € (informatie: Combell).

De bevoegde gegevensbeschermingsautoriteit in elk land kan effectieve geldboetes uitdelen op twee niveaus. Dat niveau wordt bepaald op basis van de specifieke overtreding.

Onder niveau één vallen overtredingen zoals het verwerken van persoonsgegevens van minderjarigen zonder toestemming van de ouders, niet melden van een datalek, samenwerken met een verwerker die onvoldoende garanties geeft op vlak van vereiste databeveiliging, …

Hier kunnen de boetes oplopen tot 2% van jouw totale wereldwijde jaaromzet van het voorgaande boekjaar.

Niveau twee is van toepassing als je fundamentele overtredingen begaat. Bijvoorbeeld het niet naleven van de beginselen voor gegevensverwerking of als je niet kan aantonen dat de betrokkene (bijvoorbeeld jouw klant) daadwerkelijk toestemming heeft gegeven voor de gegevensverwerking.

Loop je tegen de lamp, dan riskeer je een boete tot 4% van de wereldwijze omzet van jouw bedrijf.

Naast boetes kan de nationale gegevensbeschermingsautoriteit ook andere sancties opleggen. Dat kan gaan van waarschuwingen en berispingen tot de tijdelijke (en soms zelfs definitieve) stopzetting van gegevensverwerking. In dat geval mag je tijdelijk of permanent geen persoonsgegevens meer verwerken via uw organisatie.

Een andere mogelijke GDPR-sanctie is het uitbetalen van schadevergoedingen aan gebruikers die een gegronde klacht neerlegden.

 

En nu?

 

Het zal ondertussen kristalhelder zijn dat ook jij gewoonweg de wet moet toepassen en de nodige maatregelen treffen zoals opgelegd door de Privacy Wetgeving. Maar misschien is jouw website en jouw organisatie al perfect in orde? Indien niet, dan neem je best een aantal maatregelen!

Je begrijpt ondertussen dat deze wetgeving streng is en vrij ver gaat. Maar geen nood, voor alles zijn oplossingen. En die hoeven niet duur te zijn. Veel hangt af van de opbouw van jouw website. Heb je bijvoorbeeld al een sterke website in WordPress? Dan zijn er verschillende gemakkelijk toe te passen mogelijkheden. Maar dat bekijken we graag met u.

Even verder over praten en uw specifieke situatie doornemen? Maak dan meteen een afspraak voor een vrijblijvend gesprek!

Contacteer mij voor een vrijblijvend gesprek

 

OVER WEBWINNAAR

WebWinnaar is al sinds 2003 een webdesignbureau met een sterke reputatie (bekroond door Clickx!) en honderden tevreden klanten in binnen- en buitenland. Hoewel de focus op Vlaanderen ligt werden in de loop der jaren projecten gerealiseerd in 19 talen doorheen Europa en Azië.

Onze focus ligt op een vriendschappelijke en gelijkwaardige samenwerking met onze klanten. Onze websites en webshops zijn gekenmerkt door een uitstekende vindbaarheid in Google en de succesvolle vertaling van bezoekers naar klanten.

Wij leiden onze klanten steeds grondig op zodat zij zelfstandig hun websites kunnen onderhouden. Maar wij blijven ter beschikking voor meer doorgedreven ingrepen. Zonder onze klanten te binden met een onderhoudscontract.

Wil jij een sterke website of webshop die hoog scoort in Google?

 

Ja, contacteer mij voor een vrijblijvende offerte!

 

Misschien ook iets voor u
Webwinnaar Webdesign - Domeinnaam vastleggen voor jouw website of webshop Best snel je domeinnaam voor je website vastleggen
Webwinnaar - Vermijd deze webdesign fouten bij het maken van jouw nieuwe website Een nieuwe website maken – Vermijd deze 10 fouten
Webwinnaar Webdesign - SEO Aandachtspunten websites en webshops SEO Zoekmachine optimalisatie – Enkele valkuilen
WebWinnaar - Nieuwe website of webshop maken - Hoog scoren in Google Digitale marketing in crisistijd – Gratis tips voor zelfstandigen en KMO's
Webwinnaar - Gratis checklist voor een sterke website - Webdesign Jouw Ultieme Checklist voor een Sterke Website
Webwinnaar Webdesign - Content strategie voor jouw website of webshop 8 Gratis tips voor een sterke website content strategie