De snelle evolutie van e-commerce heeft ervoor gezorgd dat naleving van privacyregels voor veel online bedrijven een belangrijk aandachtspunt is geworden. Met het toenemende aantal datalekken, de bewustwording van consumenten en boetes voor niet-naleving, is het beschermen van de gegevens van klanten en het respecteren van hun privacy een nieuwe norm geworden.
Volgens Gartner zullen tegen het einde van 2023 wereldwijd 75% van de consumenten hun persoonsgegevens laten beschermen door privacywetten. Dat zou overeenkomen met een stijging van 10% vergeleken met 2020.
Het begrijpen van en voldoen aan de wettelijke verplichtingen rondom privacy in e-commerce is een noodzaak waarmee u kunt groeien en vertrouwen kunt opbouwen bij uw klanten.
In dit artikel leiden we u door de belangrijkste wetten en regels met betrekking tot de naleving van privacy in e-commerce. We laten u ook zien wat u wel en niet moet doen op het gebied van naleving en laten u kennismaken met privacy-gestuurde analytics.
Disclaimer: Deze blogpost is geen juridisch advies. Piwik PRO verstrekt privacyvriendelijke analytics software, maar biedt geen juridisch advies.
Wat is naleving voor e-commerce?
Eenvoudig gezegd betekent naleving voor e-commerce dat u zich houdt aan de regels die gelden voor e-commerce activiteiten in de markten waar u verkoopt. Deze omvatten, maar zijn niet beperkt tot, de regelgeving voor e-commerce op zich, regelgeving voor gegevensprivacy, normen voor online betalingen, toegankelijkheidsnormen en het vermijden van duistere patronen.
Investeren in de naleving van uw e-commercebedrijf is ongetwijfeld de moeite waard. Uit een onderzoek van Cisco uit 2021 bleek dat 79% van de consumenten privacy-naleving als een koopfactor beschouwt.
Regelgeving voor e-commerce
Dit hoofdstuk neemt u mee door de regelgeving en normen die de regels bepalen voor uw e-commercebedrijf op verschillende markten.
De regels gelden alleen voor een bepaalde regio (zoals de EU) of een bepaald land. We hebben aan het begin van elke sectie aangegeven om welke regio het gaat.
De Digital Services Act
Geldt voor: EU
Op 15 december 2020 introduceerde de Europese Commissie de Digital Services Act (DSA) die op 16 november 2022 in werking trad. De wet verving en verbeterde de Richtlijn inzake elektronische handel – een verordening die in 2000 de basis legde voor het juridische kader voor online diensten in de EU.
De DSA wil een veiligere digitale ruimte creëren die de rechten van gebruikers beschermt. Het is van toepassing op alle digitale diensten die consumenten verbinden met goederen, diensten of inhoud. Dit geldt ook voor online marktplaatsen.
De DSA is bedoeld om de inhoud van sociale media beter te modereren en gebruikers te beschermen tegen illegale inhoud, goederen en diensten. Dankzij de wet krijgen burgers meer controle over hoe online platforms en grote technologiebedrijven hun gegevens gebruiken.
Het geeft de Europese Commissie ook het recht om toegang te eisen tot de algoritmen van platforms om transparantie te garanderen in de manier waarop zij inhoud aanbevelen aan hun gebruikers. Het verplicht de platforms om alle advertenties te labelen en gebruikers te informeren over de entiteiten die ze promoten.
Tot slot moeten platforms volgens de nieuwe regels een duidelijke samenvatting van hun algemene voorwaarden geven, zodat deze gemakkelijk te begrijpen zijn.
Stappen voor een DSA-conforme e-commerce:
- Geef gebruikers duidelijke informatie over waarom bepaalde informatie wordt aanbevolen.
- Geef gebruikers het recht om zich af te melden voor aanbevelingssystemen op basis van profilering.
- Geef gebruikers de mogelijkheid om het recht uit te oefenen om een klacht in te dienen bij het platform, een buitengerechtelijke schikking aan te vragen, een klacht in te dienen bij hun nationale autoriteit in hun eigen taal, of een schadevergoeding aan te vragen voor schendingen van de regels.
- Toon geen advertenties op basis van gevoelige gebruikersgegevens zoals etnische afkomst, politieke meningen of seksuele geaardheid.
- Gebruik geen profilering voor kinderen en toon geen advertenties op basis daarvan.
- Gebruik geen zogenaamde ‘donkere patronen’ in de interface van online platforms. Dit verwijst naar ontwerpkeuzes die gebruikers manipuleren tot beslissingen die ze normaal niet zouden nemen.
De DSA wordt volledig van toepassing op 17 februari 2024. Kleine en micro-ondernemingen worden echter vrijgesteld van sommige regels die voor hen lastig kunnen zijn.
Bovendien heeft de Europese Commissie besloten dat de meest prominente spelers met meer dan 45 miljoen actieve gebruikers per maand vanaf 25 augustus 2023 onder de Digital Services Act zullen vallen.
Deze worden Very Large Online Platforms (VLOP) en Very Large Online Search Engines (VLOSE) genoemd en omvatten onder andere Amazon, Apple, Facebook, Instagram, Google en Bing. Ze vallen onder de strengste regels van de DSA vanwege hun grote maatschappelijke en economische impact.
Bekijk zeker de FAQ over de Digital Services Directive.
De EU stelt dat de Digital Services Act kleine en middelgrote bedrijven en start-ups zal helpen uit te breiden buiten hun thuismarkt. De reden hiervoor is dat het de kosten verlaagt van het naleven van 27 verschillende wetten in heel Europa.
Tot nu toe hebben de lidstaten deze diensten verschillend gereguleerd. Dit zorgde voor belemmeringen voor kleinere bedrijven die wilden uitbreiden en opschalen in de EU en resulteerde in verschillende niveaus van bescherming voor Europeanen.
Lees meer over het DSA-pakket in ons artikel DMA en DSA – hoe deze nieuwe wetten online zakendoen beïnvloeden.
Regelgevingen inzake gegevensbescherming
Het zwaartepunt van deze regelgevingen ligt bij de verwerking van persoonsgegevens en de bescherming van de privacy van consumenten online. En aangezien uw e-commerce dagelijks te maken krijgt met persoons- of zelfs gevoelige gegevens, is het begrijpen en naleven ervan een must.
Dit hoofdstuk leidt u door de belangrijkste regelgevingen inzake gegevensbescherming wereldwijd.
e-Privacyrichtlijn
Geldt voor: Europese Economische Ruimte (EER)
De e-Privacyrichtlijn, ook bekend als de “cookiewet”, werd in 2002 door de Europese Unie aangenomen en in 2009 gewijzigd. Het regelt het gebruik van cookies en de verwerking van persoonsgegevens op websites.
Sinds de invoering ervan moeten websites die door bezoekers uit de EU worden bezocht, expliciete toestemming van de gebruiker krijgen voordat ze cookies of trackers mogen activeren die niet strikt noodzakelijk zijn voor de kernfunctie van de website en diensten.
Maar dat is niet alles. Uw website moet ook:
- Op een gebruiksvriendelijke manier toestemming voor cookies vragen.
- De eindgebruikers in begrijpelijke, duidelijke taal informeren over alle cookies en trackers die uw website gebruikt.
- Hen informeren over de doeleinden van gegevensverwerking en over gegevensopslag, -bewaring en -toegang.
- Het intrekken van toestemming voor cookies net zo gemakkelijk maken als het indienen ervan.
Vanwege de e-Privacyrichtlijn moet uw website in de EU een cookiebanner tonen, zodat Europese bezoekers meer controle hebben over hun persoonsgegevens.
Lees meer over cookietoestemming in ons artikel Alles wat u moet weten over toestemming voor cookies in de EU. (in Engels)
Ondanks de bijnaam “cookiewet” is de e-Privacyrichtlijn geen echte wet. Het is een wetgevingsbesluit dat een doel stelt dat alle EU-landen moeten bereiken en lokaal moeten implementeren. De EU-landen bepalen echter zelf hoe ze deze doelen bereiken. Daarom moet u meer advies inwinnen over de lokale implementatie van de richtlijn in de landen waar u uw bedrijf runt.
De e-Privacyverordening is een ontwerpverordening voorgesteld door de Europese Commissie die in de toekomst de e-Privacyrichtlijn zal vervangen. Het zal de huidige regels voor het gebruik van moderne technologie bijwerken en aanpassen aan de AVG.
De nieuwe verordening legt strengere regels op voor elektronische communicatie en heeft betrekking op diensten zoals Skype, WhatsApp, Facebook Messenger, Gmail, iMessage of Viber. Het is de bedoeling om te voorkomen dat communicatie-apps en internetdiensten berichten van gebruikers onderscheppen, opnemen of afluisteren.
Andere belangrijke bepalingen van de voorgestelde e-Privacyverordening zijn onder andere:
- Hetzelfde niveau van bescherming van elektronische communicatie voor alle mensen en bedrijven en één pakket regels voor bedrijven in de hele EU
- Bescherming van metadata – de informatie die andere gegevens beschrijft, zoals auteur, datum, locatie, enz. Metadata moeten worden geanonimiseerd of verwijderd als bezoekers het gebruik ervan niet toestaan. De uitzondering omvat gegevens die nodig zijn voor facturering.
- Eenvoudigere regels voor cookies. De introductie van gebruiksvriendelijke browserinstellingen biedt een eenvoudige manier om tracking cookies en andere identificatoren te accepteren of te weigeren. Er is geen toestemming nodig voor cookies die de internetervaring verbeteren, zoals het opslaan van de geschiedenis van het winkelwagentje of het tellen van websitebezoekers.
- Bescherming tegen spam. De verordening verbiedt ongevraagde elektronische communicatie via e-mail, SMS en automatische belapparaten.
- Effectievere handhaving. Net als bij de AVG zullen gegevensbeschermingsautoriteiten verantwoordelijk zijn voor de handhaving van de nieuwe regels.
De e-Privacyverordening bevindt zich nog in het wetgevingsproces en de ingangsdatum is nog onbekend. Maar één ding is zeker: cookies en toestemming blijven.
Algemene verordening gegevensbescherming (AVG)
Geldt voor: Europese Economische Ruimte (EER)
In mei 2018 verving de AVG de Europese Richtlijn Gegevensbescherming (95/46EC) uit 1995. De AVG geeft individuen volledige controle over hun persoonsgegevens. Het versterkt en uniformeert ook de regels voor het verzamelen van gegevens van individuen binnen de Europese Unie.
De verordening legt procedures vast voor gegevensverwerking, transparantie, documentatie en toestemming van gebruikers, en dwingt organisaties om alle activiteiten met betrekking tot de verwerking van persoonsgegevens bij te houden en te controleren.
Het begrip persoonsgegevens is onder de AVG veelomvattend. Het verwijst naar alle informatie die betrekking heeft op een natuurlijke persoon en aan de hand waarvan deze kan worden geïdentificeerd. Deze informatie gaat veel verder dan de naam, achternaam en locatie van een persoon – ze omvatten ook online identificatoren zoals IP-adressen en cookies, evenals factoren die specifiek zijn voor hun fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.
Niet-naleving stelt uw bedrijf bloot aan boetes die kunnen oplopen tot 4% van uw jaarlijkse omzet. In sommige gevallen kan dit oplopen tot miljoenen euro’s.
Stappenplan voor AVG-conforme e-commerce:
- Breng alle soorten persoonsgegevens die u verzamelt in kaart – inclusief cookies en unieke identificatoren die in uw dataplatforms worden gebruikt, zoals analytics, CRM, enz.
- Beperk het verzamelen van gegevens tot het minimum aan gegevens dat nodig is om een bepaald doel te bereiken.
- Stel een proces in voor het verzamelen van specifieke, geïnformeerde, vrijwillig gegeven en ondubbelzinnige toestemming van bezoekers voor het verzamelen van persoonsgegevens. Overweeg hiervoor het gebruik van een speciale Consent Manager. Verzamel aparte toestemming voor elk type gegevensverwerking – één voor A/B-testen, één voor het optimaliseren van de gebruikerservaring, etc.
- Vergeet niet dat voor sommige soorten cookies geen toestemming nodig is. Voorbeelden hiervan zijn cookies die nodig zijn voor het correct functioneren van een website, zoals de cookies die worden gebruikt om items in uw winkelwagen op te slaan.
- Geef bezoekers de mogelijkheid om hun rechten uit te oefenen, inclusief het recht op toegang, rectificatie, overdracht, wissen of beperking van de verwerking van hun gegevens. U kunt een Consent Manager gebruiken die u ook helpt bij het beheren van de gegevensaanvragen van gebruikers.
- Stel uw privacybeleid op. Vertel gebruikers in het beleid wie hun persoonsgegevens verwerkt, welke rechtsgrondslag u gebruikt voor deze verwerking, de doeleinden voor het verzamelen van gegevens, de soorten persoonsgegevens die u verzamelt, hoe lang u deze opslaat, waar u deze naartoe overdraagt en met welke derden u deze deelt.
- Teken een gegevensverwerkingsovereenkomst met platforms en producten die persoonsgegevens namens u verwerken. Hieronder vallen uw analytics software, CRM, e-mailmarketingleveranciers, enz. Zorg ervoor dat deze platforms de best practices volgen voor naleving van de AVG, en dat ze bij voorkeur geen gebruikersgegevens naar landen buiten de EU sturen. De uitspraken van verschillende EU-autoriteiten voor gegevensbescherming tegen Facebook en Google Analytics suggereren dat het het beste is om dit soort gegevens binnen de EER te verwerken.
- Wijs een functionaris voor gegevensbescherming aan die verantwoordelijk is voor de naleving van de AVG binnen uw organisatie. Dit geldt voor gevallen beschreven in Artikel 37 van de AVG.
- Vermijd het verzenden van persoonsgegevens naar landen met minder strenge privacynormen, zoals de VS. Dit sluit het gebruik van Google Analytics uit, omdat Google informatie over EU-burgers overbrengt en opslaat op cloudservers die in de VS zijn gevestigd, waardoor deze informatie beschikbaar is voor Amerikaanse toezichtwetten en Amerikaanse inlichtingendiensten.
AVG, toestemming van gebruikers en cookiewalls
Sinds de AVG van kracht is, hebben veel website-eigenaren hun toevlucht genomen tot zogenaamde cookiewalls. Deze pop-upbanners blokkeren de gehele inhoud van de website, tenzij de bezoeker het gebruik van alle cookies en identifiers toestaat die door de website-eigenaar worden gevraagd.
De implementatie van toestemming voor cookies verschilt per lidstaat, maar volgens de Richtlijn 05/2020 over toestemming onder Verordening 2016/679 wordt deze praktijk niet beschouwd als geldige toestemming onder de AVG. Toegang tot een website kan niet afhankelijk zijn van de toestemming van de gebruiker.
Wilt u meer weten over de AVG? We hebben de veelgestelde vragen behandeld in een reeks artikelen (in Engels):
- Your Most Burning Questions About GDPR Answered (1/3)
- Your Most Burning Questions About GDPR Answered (2/3)
- Your Most Burning Questions About GDPR Answered (3/3)
- Infographic: GDPR Data Subject Rights – What You Need to Know
- Infographic: How to Collect and Process Data Under GDPR?
Waarom is AVG-naleving gunstig voor uw bedrijf? Lees ons interview met Lisette Meij: AVG-naleving is een concurrentievoordeel. (in Engels)
Duitse wet voor de bescherming persoonsgegevens telecommunicatie telemedia (TTDSG)
Geldt voor: Duitsland
Als u een e-commerce bedrijf heeft in Duitsland, wat betekent dat u daar gegevens verwerkt, dan valt uw bedrijf onder de TTDSG. Deze wet, die in december 2021 van kracht werd, voegt gegevensbeschermingsregels samen die verspreid zijn over verschillende Duitse wetten. Het is ook een lokale implementatie van de e-Privacyrichtlijn en een aanvulling op de AVG.
De TTDSG eist van elke website die cookies gebruikt dat ze bezoekers expliciet en geïnformeerd om toestemming vragen voor het verzamelen ervan. Dit geldt ook voor elke technologie die gebruikersinformatie verzamelt, zoals uw analytics-platform.
Kortom, om te voldoen aan de TTDSG moet u toestemming krijgen van bezoekers voordat u cookies opslaat of zelfs toegang krijgt tot technische informatie op hun apparaat. Volgens de TTDSG is het noodzakelijk om toestemming te verkrijgen voordat toegang wordt verkregen tot informatie op het apparaat van een eindgebruiker.
De enige uitzonderingen op deze algemene verplichting zijn cookies die “strikt noodzakelijk” zijn voor het leveren van een uitdrukkelijk door de gebruiker gevraagde dienst.
Dit betekent dat u als e-commercebedrijf geen toestemming van de gebruiker nodig heeft voor cookies die worden gebruikt om items in een winkelwagentje op te slaan. Ze zijn nodig om de transactie te voltooien die de gebruiker expliciet heeft aangevraagd.
Stappenplan voor TTDSG-conforme e-commerce:
- Ontwerp een gebruiksvriendelijke cookiebanner in het Duits waarmee bezoekers eenvoudig cookies kunnen weigeren of accepteren, of de banner kunnen negeren om cookiewalls helemaal te vermijden.
- Bied bezoekers in de banner toegang tot uw privacybeleid, waar u uw cookiebeleid uiteenzet.
- Informeer de gebruiker over het soort gegevens dat u verzamelt (persoonlijk of niet), hoe deze worden gebruikt en voor hoe lang. Maak duidelijk of derden toegang krijgen tot de gegevens van gebruikers.
- Toon geen automatisch aangevinkte toestemmingen voor bepaalde cookies. Als gebruikers akkoord willen gaan, moeten ze dat doen door de toestemming zelf aan te vinken.
- Geef gebruikers de mogelijkheid om alleen toestemming te geven voor bepaalde categorieën cookies en om andere te weigeren.
- Vermijd donkere patronen. Straf uw gebruikers niet af omdat ze geen cookies willen accepteren. Zet ze niet onder druk om het toch te doen.
- Verzamel alleen gegevens nadat de gebruiker toestemming heeft gegeven.
- Gebruik een Consent Manager waarmee gebruikers hun toestemming onder controle hebben en op elk moment kunnen wijzigen.
Lees meer over TTDSG-conforme cookiebanners en analytics in ons artikel TTDSG – hoe zorgt u ervoor dat uw analytics voldoet aan de Duitse wetgeving. (in Engels)
Richtlijnen CNIL
Geldt voor: Frankrijk
De Franse Commission Nationale de l’informatique et des Libertés (CNIL) is een autonome gegevensbeschermingsautoriteit die verantwoordelijk is voor het waarborgen van de privacy van consumenten bij het verzamelen, opslaan en gebruiken van hun persoonsgegevens. Het agentschap kan privacywetten afdwingen, zoals de Franse wet op gegevensbescherming, de AVG en de e-Privacyrichtlijn.
De richtlijnen van de CNIL, gepubliceerd op 1 oktober 2020, hebben een grote impact gehad op de Franse e-commerce en hebben het regime voor gegevensbescherming aanzienlijk aangescherpt. Ze hebben Franse consumenten ook bewust gemaakt van hun rechten.
Dat gezegd hebbende, als uw e-commercebedrijf gevestigd is in Frankrijk of de Franse overzeese gebieden, of als u persoonsgegevens van hun burgers verzamelt en verwerkt, moet u voldoen aan de richtlijnen van de CNIL.
Stappenplan voor CNIL-conforme e-commerce:
- Breng alle persoonsgegevens die u verzamelt, verwerkt en opslaat in kaart.
- Bepaal de rechtsgrondslag voor het verwerken van consumentengegevens. U moet een wettelijke basis hebben zoals toestemming, wettelijke verplichting, contractuele noodzaak, vitaal belang en legitiem belang voor elk type verwerkte informatie.
- Stel een uitgebreid en transparant privacybeleid op waarin u uitlegt hoe u gegevens verzamelt, gebruikt, opslaat en beschermt.
- Stel effectieve en robuuste beveiligingsmaatregelen op om persoonsgegevens te beschermen tegen inbreuken, verlies of onbevoegde toegang.
- Stel consumenten in staat om hun rechten op toegang, rectificatie, verwijdering, beperking van de verwerking en overdracht van gegevens uit te oefenen.
- Zorg ervoor dat derden die persoonsgegevens verwerken de CNIL-voorschriften naleven door de juiste contracten te implementeren.
- Train uw personeel om het bewustzijn van de richtlijnen te vergroten.
- Stel een plan op om te reageren op inbreuken op gegevens, waarin de acties en stappen worden beschreven die moeten worden ondernomen in geval van een beveiligingsincident.
- Voer regelmatig audits en beoordelingen uit om de bestaande gegevensbeschermingspraktijken te evalueren.
- Verkrijg en beheer geldige toestemming van consumenten om hun gegevens te gebruiken en te verwerken.
- Beoordeel de impact van het verwerken van gegevens en implementeer de nodige maatregelen om de risico’s te beperken.
CNIL-richtlijnen voor cookietoestemming
Naast de algemene privacyrichtlijnen stelt de CNIL ook de regels op voor het verzamelen van toestemming voor cookies. Deze regels zijn de volgende:
- Verkrijg de expliciete toestemming van de gebruiker. Dit moet een duidelijke bevestigende verklaring van de gebruiker zijn, zoals het klikken op de knop “Accepteren”. Het negeren van de banner en verder surfen op de website is geen geldige toestemming. Vooraf aangevinkte cookies zijn niet toegestaan.
- Geef een optie om eenvoudig cookies te weigeren. Dit zou net zo eenvoudig moeten zijn als het accepteren ervan.
- Geef een optie om cookies eenvoudig te verwijderen. Een gebruiker moet dit op elk moment kunnen doen.
- Informeer gebruikers over het doel van het verzamelen van cookies.
- Wees in staat om op elk moment een bewijs van toestemming te kunnen voorleggen. En te kunnen bewijzen dat de toestemming vrijwillig, geïnformeerd, specifiek en ondubbelzinnig werd gegeven.
Sommige cookies zijn echter toegestaan zonder toestemming van de gebruiker. Het gaat dan om cookies die:
- Zijn bedoeld voor serviceverificatie
- Worden gebruikt om de items in de winkelwagen te onthouden
- Zijn bedoeld om verkeersstatistieken te genereren (sommige)
- Worden gebruikt om de toestemming van gebruikers te beheren
- Worden gebruikt voor het aanpassen van de gebruikersinterface
- Taalvoorkeur vastleggen
Bovendien verbood de CNIL ook cookiewalls, wat betekent dat u de toegang tot uw e-commercewinkel niet afhankelijk kunt maken van de toestemming van een gebruiker.
Naast het bovenstaande reguleert de CNIL ook de naleving van analytics-platforms. Er bestaat een lijst van analytics-leveranciers die CNIL-conforme instellingen aanbieden. Piwik PRO Analytics Suite staat op deze lijst. Lees meer over de CNIL-vrijstelling voor Piwik PRO in ons artikel CNIL’s vrijstelling van toestemming voor Piwik PRO – Wat het betekent voor u en de analytics-gegevens die u verzamelt. (in Engels)
CCPA & CPRA
Geldt voor: Californië, Verenigde Staten
De California Consumer Privacy Act (CCPA) is de oorspronkelijke privacywet in Californië die een revolutie teweegbracht in de benadering van gegevensprivacy in de VS. Deze wetgeving werd gewijzigd en uitgebreid met de invoering van de California Privacy Rights Act (CPRA) die op 1 januari 2023 van kracht werd
Aangezien de CPRA zijn voorganger heeft vervangen, richten we ons in dit hoofdstuk op de naleving van de CPRA. Als u echter meer wilt weten over de CCPA en hoe de CPRA deze heeft bijgeschaafd, raden wij u ons artikel CCPA- & CPRA-regelgevingen: 5 actiestappen voor marketeers aan. (in Engels)
Uw e-commercebedrijf valt onder de CPRA-regelgeving als:
- De jaarlijkse bruto-omzet groter dan of gelijk is aan $25 miljoen.
- Het jaarlijks informatie van 100.000 of meer inwoners/huishoudens of apparaten in Californië verkrijgt.
- Het ten minste 50% van de jaarlijkse inkomsten genereert uit het delen of verkopen van informatie van inwoners van Californië.
Verder hangt het ook af van het type informatie dat u verwerkt. Als de gegevens binnen de categorieën van persoonlijke informatie of gevoelige persoonlijke informatie vallen, zoals gedefinieerd door de CPRA, bent u gebonden aan de wet.
Als uw e-commercebedrijf actief is in Californië en voldoet aan de bovenstaande criteria, moet u stappen ondernemen om te voldoen aan de CPRA.
Stappenplan voor CPRA-conforme e-commerce:
- Breng uw gegevens en hun bronnen in kaart. Dit verwijst naar alle informatie over uw klanten die wordt verzameld door marketing- en verkooptools.
- Zorg ervoor dat de gegevens goed zijn voorbereid op de toegangs-, verwijderings- en overdraagbaarheidsverzoeken van uw klanten. Als uw leverancier van marketingsoftware niet aan deze eisen kan voldoen, overweeg dan om over te stappen op een meer privacy-georiënteerde leverancier.
- Controleer uw gegevensbronnen van derden. Als uw bedrijf gegevens koopt, zorg er dan voor dat deze afkomstig zijn van legitieme, legale bronnen. Niet-naleving kan leiden tot hoge boetes.
- Creëer een proces voor het afhandelen van klantverzoeken. Zorg voor ten minste twee methoden voor consumenten om hun verzoeken in te dienen: een gratis nummer en een online formulier.
- Zorg voor een duidelijk en begrijpelijk formulier voor een opt-out verzoek. Plaats deze op uw startpagina met de tekst Mijn persoonsgegevens niet verkopen of delen.
- Geef consumenten de mogelijkheid om een verzoek in te dienen om: hun persoonsgegevens te verwijderen, te weten te komen hoe deze zijn verzameld, deze over te dragen aan een andere entiteit en het gebruik en de openbaarmaking ervan te beperken.
- Werk uw privacybeleid bij. Het moet de rechten van inwoners van Californië beschrijven. U kunt deze richtlijnen volgen om uw CCPA-privacybeleid in overeenstemming te brengen met de CPRA.
- Houd aanpassingen van de wet in de gaten. Net als de CCPA kan de CPRA na enige tijd worden bijgewerkt. Er is al een wetsvoorstel dat de American Data Privacy and Protection Act (ADPPA) heet.
Voor meer privacyregels die van toepassing kunnen zijn op uw e-commercebedrijf in de VS, raadpleegt u ons artikel Privacywetten in de Verenigde Staten. (in Engels)
PIPEDA & CPPA
Geldt voor: Canada
Het privacylandschap in Canada wordt gevormd door twee belangrijke wetten: de Personal Information Protection and Electronic Documents Act (PIPEDA) en de Consumer Privacy Protection Act (CPPA).
De eerste werd van kracht in 2000 en is sindsdien verschillende keren gewijzigd, waarbij de belangrijkste wijzigingen in 2015 werden ingevoerd door de Digital Privacy Act. Het wetsvoorstel C-27 introduceerde de CPPA in 2022 om de verouderde delen van de PIPEDA te wijzigen.
Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA is een Canadese federale wet die de privacy van gebruikers beschermt en regelt hoe bedrijven omgaan met persoonlijke informatie. Het is van toepassing op particuliere organisaties die persoonsgegevens verzamelen, gebruiken of openbaar maken bij het aanbieden van diensten of producten aan inwoners van Canada.
Er is sprake van vrijstelling als uw e-commercebedrijf volledig actief is in de provincies Alberta, British Columbia of Quebec, waar het gebonden is aan de lokale privacywetgeving. PIPEDA geldt echter wel voor alle andere gevallen.
Stappen naar een PIPEDA-conform e-commercebedrijf:
- Stel een chief privacy officer (CPO) aan die verantwoordelijk is voor de naleving van de regels door uw bedrijf.
- Beperk het verzamelen van persoonsgegevens tot de noodzakelijke doeleinden van uw bedrijf.
- Zorg ervoor dat de persoonsgegevens van uw bezoekers correct, volledig en up-to-date zijn.
- Verkrijg, gebruik of onthul geen persoonlijke informatie zonder voorafgaande toestemming.
- Communiceer duidelijk het doel van het verzamelen van de gegevens en hoe u ze gaat verwerken.
- Bewaar persoonsgegevens niet langer dan nodig is voor uw doeleinden.
- Informeer bezoekers over de soorten informatie die u verzamelt, de derde partijen waarmee u deze informatie deelt en de mogelijke risico’s voor de betrokken personen (doe dit in uw privacybeleid of terwijl u om toestemming van de gebruiker vraagt).
- Handhaaf transparante beleidslijnen en praktijken met betrekking tot het beheer van persoonlijke informatie en houd deze openbaar.
- Geef gebruikers de mogelijkheid om toegang te krijgen tot hun persoonsgegevens die u verwerkt en om deze te beoordelen.
- Geef gebruikers de mogelijkheid om uw PIPEDA-naleving aan te vechten en hierover contact op te nemen met uw CPO.
- Implementeer beveiligingsmaatregelen om persoonlijke informatie te beschermen die in verhouding staan tot de gevoeligheid ervan.
Merk op dat PIPEDA twee soorten toestemming toestaat:
- Uitdrukkelijke toestemming – gegeven door een expliciete handeling, zoals het klikken op de knop “Ik ga akkoord”.
- Impliciete toestemming – komt voor door de actie of passiviteit van gebruikers, zoals het negeren van de opt-out optie op de toestemmingsbanner.
De eerste optie wordt echter aanbevolen als u de geldigheid van de toestemming wilt bewijzen in het geval een gebruiker een klacht heeft over uw naleving.
Consumer Privacy Protection Act (CPPA)
CPPA is Canada’s oplossing om zijn privacywetten aan te passen aan de normen van vandaag. Het is bedoeld om tegemoet te komen aan de behoeften van Canadezen die afhankelijk zijn van digitale technologie en om te reageren op feedback die is ontvangen over bestaande wetgeving.
Het wetsvoorstel bevindt zich momenteel in de ontwerpfase en zal in de toekomst de PIPEDA aanvullen. Het zal van toepassing zijn op elke organisatie die persoonlijke informatie van inwoners van Canada deelt voor commerciële doeleinden, evenals informatie die gedeeld wordt over kandidaten voor werknemers – wat ook gevolgen kan hebben voor uw e-commercebedrijf als u besluit om uw team uit te breiden met een Canadese werknemer.
Stappen naar een CCPA-conform e-commercebedrijf:
- Neem veiligheidsmaatregelen om de persoonsgegevens te beschermen die uw bedrijf (of iemand anders namens u) verzamelt, gebruikt of vrijgeeft.
- Stel een persoon aan die verantwoordelijk is voor de naleving door uw bedrijf. Maak hun contactgegevens bekend, bijv. in uw privacybeleid of op verzoek van een gebruiker.
- Zorg ervoor dat u een redelijk doel heeft voor het verzamelen, gebruiken of openbaar maken van persoonsgegevens. Stel de volgende vragen: Is de informatie gevoelig? Is de gegevensverzameling een reële bedrijfsbehoefte van uw bedrijf? Kunt u hetzelfde doel bereiken door minder gegevens te verzamelen? Staat het mogelijke verlies van privacy door een individu in verhouding tot de voordelen?
- Verkrijg zinvolle toestemming voor het verzamelen, verwerken en openbaar maken van persoonsgegevens – expliciet of impliciet. Meer daarover in het toestemmingshoofdstuk van ons artikel.
- Geef gebruikers de mogelijkheid om hun persoonsgegevens over te dragen aan een andere organisatie, zoals een bank of verzekeringsmaatschappij.
- Geef gebruikers de mogelijkheid om de verwijdering van al hun gegevens aan te vragen.
- Stel transparante processen op voor het omgaan met persoonlijke informatie. Beschrijf grondig: hoe u persoonlijke informatie beschermt, hoe u omgaat met verzoeken om informatie en klachten, hoe u het beleid en de procedures van uw organisatie uitlegt, hoe u uw personeel traint over naleving.
- Schrijf uw privacybeleid in duidelijke taal.
- Informeer gebruikers over geautomatiseerde beslissingssystemen die u gebruikt om voorspellingen te doen, aanbevelingen te doen of beslissingen te nemen over een individu.
- Houd de toestemmingen van gebruikers bij in een gemakkelijk toegankelijke vorm.
- Verwerk persoonsgegevens van minderjarigen op de manier waarop u gevoelige informatie verwerkt.
De datum van de definitieve handhaving van de CPPA is nog onbekend, net als de uiteindelijke vorm. Als u uw bedrijf in Canada runt, volg dan dus alle updates en pas u van tevoren aan de voorgestelde wijzigingen aan.
Lees meer over PIPEDA en CPPA in ons artikel PIPEDA & CPPA: Hoe de Canadese privacywetgeving uw analytics beïnvloedt. (in Engels)
Privacywetten wereldwijd
Zoals we aan het begin van het artikel al vermeldden, verspreiden privacywetten zich snel over de hele wereld. Naast de landen die in deze gids aan bod komen, zijn er nog veel andere landen die hun wetgeving aanpassen aan de veranderende privacynormen.
Deze omvatten, maar zijn niet beperkt tot, Nieuw-Zeeland, Brazilië en Zwitserland. Als u uw e-commercebedrijf in andere landen runt dan de landen die wij hebben beschreven, bekijk dan zeker ons artikel over 11 nieuwe privacywetten over de hele wereld. (in Engels)
Met donkere patronen komt u nergens
Hoewel ze op het eerste gezicht niet direct met privacy te maken hebben, zijn donkere patronen een andere belangrijke stap naar conforme en gebruiksvriendelijke e-commerce. Samengevat zijn dit ontwerppatronen die gebruikers opzettelijk misleiden tot acties die ze niet van plan waren uit te voeren en die het enige doel van het bedrijf dienen. Daarom zijn ze wijdverspreid in e-commercewinkels die hun verkoop op alle mogelijke manieren willen maximaliseren.
Deze praktijken omvatten onder andere:
- Gebruikers dwingen om op de knoppen accepteren en akkoord te klikken om vervelende banners te elimineren.
- Mensen verplichten zich in te schrijven voor de nieuwsbrief als voorwaarde om verder te kunnen surfen op de website.
- Verwarrend taalgebruik zoals dubbele negatieven.
- De totale prijs van een product of dienst verbergen tot de laatste stap van het afrekenen.
- Belangrijke informatie weglaten of bagatelliseren.
Wat privacy betreft, worden vaak donkere patronen gebruikt bij het vragen om toestemming van de gebruiker. Daarom richten privacyregels zoals de CCPA, CNIL en AVG zich hierop. Een voorbeeld van een dergelijke praktijk is het niet geven van een keuze met betrekking tot toestemming of het alleen informeren van de gebruiker over het verzamelen van gegevens.
Voor een uitgebreide lijst van donkere patronen die uw e-commerce moet vermijden, kunt u onze woordenlijst bekijken. We hebben ook hun strijdigheid met privacyregels besproken in het artikel Hoe donkere patronen in strijd zijn met AVG en CCPA. (in Engels)
Verdere stappen naar naleving
Veranderingen in het privacylandschap hebben grote invloed op de manier waarop u zaken doet en uw marketingstrategie vormgeeft. Nu er steeds meer voorschriften komen met nieuwe regels voor het omgaan met gebruikersgegevens, zal deze trend zich de komende jaren voortzetten. En bedrijven die de privacy-first benadering toepassen, staan op het punt om een aanzienlijke voorsprong op hun concurrenten te krijgen naarmate het privacybewustzijn van internetgebruikers toeneemt.
Maar deze veranderingen hebben niet alleen invloed op het juridische aspect. De strijd gaat ook door op technisch gebied. Een voorbeeld hiervan is het einde van retargeting advertentiecampagnes zoals we die kennen. Dit komt door de afschaffing van third-party cookies waarmee verkopers bezoekers op websites kunnen volgen en hun browsergeschiedenis met andere bedrijven kunnen delen, meestal voor advertentiedoeleinden. Browsers zoals Safari en Firefox hebben het gebruik ervan geblokkeerd en beperkt, en Google’s Chrome zal dit voorbeeld volgen in 2024.
Daarom moeten e-commercebedrijven hun strategie heroverwegen en zich aanpassen aan de nieuwe wettelijke en technische privacynormen. Als u dit doet, bouwt u vertrouwen op bij uw klanten en kunt u effectief blijven in uw marketing- en analytics-activiteiten.
Hoewel dit misschien ontmoedigend lijkt, zal het nemen van kleine stappen u in de juiste richting duwen. Om het u nog gemakkelijker te maken, hebben we een korte lijst met activiteiten samengesteld die u zullen helpen om uw huidige technische systeem te evalueren en ervoor te zorgen dat de platformen die u gebruikt u in staat stellen om compliant en effectief te blijven:
- Kies privacybewuste techaanbieders in plaats van aanbieders die aan minder privacystandaarden voldoen. Privacy-georiënteerde leveranciers bouwen hun tools volgens de principes van privacy by design en privacy by default. Met deze aanpak kunnen ze zich gemakkelijker aanpassen aan de regelgeving voor gegevensprivacy.
- Zorg ervoor dat u met de tools die u gebruikt de keuzes van bezoekers kunt respecteren door opt-ins, opt-outs en verzoeken om toegang of uitoefening van hun rechten mogelijk te maken. U kunt gegevens ook volledig anonimiseren en gebruikersinformatie verzamelen zonder toestemming of opt-outs te verzamelen. Lees meer over dit concept in ons artikel Anoniem tracken: nuttige analytics uitvoeren zonder persoonsgegevens.
- Als u zaken doet in de EU, kies dan voor technische platforms die eigendom zijn van en gevestigd zijn in de EU, in plaats van platforms die gebruikersgegevens doorsturen naar de VS. Dit betekent dat als u aan web analytics wilt doen, Google Analytics misschien niet de beste keuze voor u is. Lees waarom in ons artikel Privacy Shield 2.0: Wat het is en wat betekent het voor uw onderneming.
- Geef de voorkeur aan first-party gegevensbronnen boven third-party gegevensbronnen. Aangezien tracking door derden privacyproblemen oplevert en steeds moeilijker wordt door nieuwe privacy-instellingen in browsers en de populariteit van advertentieblokken, is de meest efficiënte manier om waardevolle gebruikersgegevens te verzamelen om op uw eigen bronnen te vertrouwen. Met platforms zoals customer data platforms (CDP) kunt u gegevens uit uw CRM, analytics, offline records, enz. integreren. U kunt ze vervolgens gebruiken om afzonderlijke klantweergaven te maken en uw doelgroepen te activeren in advertentienetwerken, A/B-tools en andere tools in uw stack. Ze geven u ook volledige controle over deze gegevens. Lees meer over hoe u een CDP effectief kunt gebruiken in ons artikel: Succesvol doelgroepgericht targeten met een CDP.
Maak uw e-commerce analytics privacy-compliant
Als u uw web of app-analytics in overeenstemming wilt brengen met de regelgeving voor gegevensprivacy en cruciale e-commerce-functionaliteiten wilt behouden, dan kunt u dat doen met Piwik PRO Analytics Suite. Het platform biedt een geïntegreerde Consent Manager, een breed scala aan gegevensanonimiseringsmethoden en eenvoudig te configureren privacy-instellingen. Piwik PRO staat ook op de lijst van de CNIL als een privacy-compliant platform. Piwik PRO Analytics Suite wordt gebruikt door organisaties als de Europese Commissie, Crédit Agricole, de Nederlandse overheid en DKMS.