Blog
dec 17

Webshops hebben niet altijd toestemming nodig om contact- en verzendgegevens te verwerken onder GDPR

gegevens GDPR

Als webshop heb je persoonsgegevens van je klanten nodig. Wie schoenen online verkoopt heeft immers een verzendadres nodig. Een hardnekkig misverstand sinds de intrede van GDPR in 2018 is dat je aan je klant altijd toestemming zou moeten vragen om zijn contactgegevens en bijvoorbeeld ook het verzendadres te verzamelen en bij te houden. Niets is minder waar en je kan omgekeerd zelfs in de problemen komen precies omdat je om toestemming gevraagd hebt om gegevens te verwerken terwijl je dat niet had moeten doen.

GDPR blijft verwarrend voor heel wat online handelaars. Daarom zetten we nog eens een en ander op een rijtje.

Toestemming is niet de enige grondslag om gegevens te verwerken onder GDPR

Het verwerken van persoonsgegevens mag alleen als je daar een gegronde reden of “rechtsgrond” voor hebt. Over één van die grondslagen, met name toestemming of opt-in, is al veel gezegd en geschreven. Wat echter vaak uit het oog verloren wordt, is dat GDPR nog 5 andere grondslagen voorziet die toelaten om gegevens te verwerken. Drie daarvan zijn relevant voor webshops:

  • Soms moet je gegevens verwerken omdat de wet je daartoe verplicht. Boekhoudwetgeving verplicht je immers om facturen gedurende tien jaar te bewaren.
  • Soms heb je ook een “gerechtvaardigd belang” om gegevens te verwerken zonder toestemming. Dat kan bijvoorbeeld het geval zijn bij prospectie van nieuwe klanten.
  • Ofwel, en daarover willen we het vandaag even hebben, verzamel je data zonder daarvoor toestemming te vragen omdat die data nu eenmaal noodzakelijk zijn om een overeenkomst uit te voeren.

Zorgvuldig kiezen welke grondslag je nu eigenlijk nodig hebt is dus belangrijk. De keuze voor de juiste grondslag onder GDPR is echter niet eenvoudig. Elke keuze heeft immers implicaties en je kan in principe ook niet zomaar vrij kiezen. Bovendien kan je niet zomaar springen van de ene rechtsgrond naar de andere: als je om toestemming vraagt en je krijgt ze niet, kan je niet zomaar beslissen om toch maar de betreffende gegevens te verwerken op grond van een gerechtvaardigd belang, bijvoorbeeld. Reden te meer dus om voorzichtig te zijn en weloverwogen keuzes te maken.

Specifiek voor webshops

Specifiek voor webshops is het nuttig om even stil te staan bij een rechtsgrond die al te weinig gekend is en gebruikt wordt, namelijk de verwerking van persoonsgegevens zonder toestemming omdat die gegevens “noodzakelijk zijn voor de uitvoering van een overeenkomst”.
Gegevens die je echt nodig hebt om een contract te kunnen uitvoeren, mag je immers sowieso verzamelen en verwerken, ook zonder expliciete opt-in op je website. Het volstaat bijvoorbeeld dat klanten hun verzendadres invullen op je website om die gegevens te mogen bewaren en gebruiken, ook zonder opt-in vakje dat moet aangekruist worden. Opt-in vakjes en toestemmingen vertragen en bemoeilijken immers het bestelproces en verminderen bijgevolg de conversie op je webshop en dat vermijd je natuurlijk graag als het even kan.

Gegevens die je echt nodig hebt om een contract te kunnen uitvoeren, mag je immers sowieso verzamelen en verwerken, ook zonder expliciete opt-in op je website.

Niet altijd inzetbaar

Je kan echter niet zomaar alle data die je over je klanten wil verzamelen via je website en alle gebruik dat je van die data wil maken onder “uitvoering van een overeenkomst” stoppen.
De verwerking moet immer absoluut noodzakelijk te zijn voor de uitvoering van een overeenkomst tussen jouw webshop en je klant. Absoluut noodzakelijk zijn bijvoorbeeld facturatiegegevens en verzendadressen. Zonder die gegevens kan je immers geen bestelling afronden.

Je mag die gegevens vervolgens enkel gebruiken voor het uitvoeren van de overeenkomst. Als een klant je zijn verzendadres meegeeft, mag je dat adres bijvoorbeeld uitsluitend gebruiken voor de levering en niet om nadien reclame naar dat adres te sturen. Reclame verzenden is immers niet “noodzakelijk” voor de uitvoering van de bestelling en daarvoor heb je wél een bijkomende toestemming nodig.

Soms worden gegevens in een aankoopproces ook verwerkt omdat ze eenvoudigweg ‘handig’ zijn om weten. Handig is echter vanzelfsprekend niet hetzelfde als noodzakelijk. Als een webshop bijvoorbeeld ook analytische data of heatmapping data wil verwerken om beter in te schatten hoe een klant surft op de website, is daarvoor wel degelijk toestemming nodig. Zonder die analytische of heatmapping data, kan de bestelling immers ook worden afgehandeld en die data zijn dus niet “noodzakelijk”.

Europese richtlijnen

De Europese privacytoezichthouders in oktober 2019 uitgebreide richtlijnen gepubliceerd die bovenstaande expliciet bevestigen. Alleen absoluut noodzakelijke gegevens kunnen onder uitvoering van de overeenkomst vallen en dan mogen ze enkel gebruikt worden voor het uitvoeren van de overeenkomst. Wie meer gegevens wil of wie ze wil gebruiken voor andere doeleinden, heeft alsnog toestemming nodig.

Alleen absoluut noodzakelijke gegevens kunnen onder uitvoering van de overeenkomst vallen en dan mogen ze enkel gebruikt worden voor het uitvoeren van de overeenkomst.

Let op met verplichte accounts

Let overigens op met het verplicht aanmaken van accounts op je website alvorens klanten een bestelling kunnen plaatsen. Het aanmaken van zo’n account vereist immers een toestemming of opt-in en onder GDPR moet toestemming “vrij” gegeven zijn, wat betekent dat klanten ook moeten kunnen bestellen als ze géén toestemming geven om een account aan te maken. In dat laatste geval is je rechtsgrond om hun gegevens te verwerken de “uitvoering van de overeenkomst” zoals hierboven beschreven, met alle daaraan verbonden consequenties: Je kan de gegevens enkel gebruiken voor het afhandelen van de bestelling en in se moeten ze daarna gewist worden. Je kan gegevens van dat soort klanten dus moeilijk recupereren voor latere marketingdoeleinden.

Wil jij graag in orde zijn met GDPR, maar weet je niet meteen waar te beginnen?

Vraag het kwaliteitslabel van SafeShops.be aan

Wij controleren jaarlijks of je webshop voldoet aan de GDPR-wet.


Bart-Van-den-Brande

 

 

Dit artikel werd geschreven door Bart Van den Brande, Managing partner bij Sirius Legal. Sirius Legal is een meertalig en open advocatenkantoor gesitueerd te Mechelen en Brussel. Sirius Legal is een business partner van SafeShops.be. Bekijk hier hun partnerpagina .