AVG en GDPR voor Bol.com verkopers: wat moet je écht regelen?

Ja. De AVG (in Europa ook GDPR genoemd) geldt voor iedere onderneming die persoonsgegevens verwerkt — ongeacht omzet of grootte. Een Bol.com verkoper met 50 bestellingen per maand heeft dezelfde verplichtingen als een retailer met miljoenen aan omzet.

Persoonsgegevens zijn alle informatie die te herleiden is naar een individu: naam, adres, e-mailadres, telefoonnummer en — minder voor de hand liggend — IP-adres en bestelhistorie. Als Bol.com verkoper ontvang je naam, adres en bestelinfo van iedere klant. Dat is verwerking.

Bol.com is bij wet aangewezen als 'platform' (verwerker) en jij als verkoper bent de 'verwerkingsverantwoordelijke'. Dat betekent dat de eindverantwoordelijkheid voor klantgegevens bij jóu ligt — ook als Bol.com de tussenliggende infrastructuur biedt.

1. Een privacyverklaring. Op je website (als je die hebt) en in elke klantcommunicatie waar het relevant is. Vermeld welke gegevens je verzamelt, waarom, hoe lang je ze bewaart en bij wie ze terechtkomen.

2. Een register van verwerkingsactiviteiten. Voor kleine ondernemingen (<250 medewerkers) is dit alleen verplicht bij gevoelige verwerkingen, maar wij raden het iedereen aan. Beschrijf welke systemen klantgegevens bevatten: Bol.com Seller portal, je facturatiesoftware, je e-mail.

3. Verwerkersovereenkomsten met je tools. Heb je een externe partij die klantgegevens verwerkt — bijvoorbeeld BolKit voor je facturen of reviews? Dan moet er een verwerkersovereenkomst (DPA) zijn. Goede SaaS-tools bieden deze standaard.

4. Een procedure voor inzage- en verwijderverzoeken. Klanten hebben het recht om hun gegevens op te vragen of te laten verwijderen. Je moet binnen 30 dagen kunnen reageren. Een simpel mailadres en een notitie in je werkwijze volstaat — als je hem maar hebt.

Ja, mits gedaan volgens de Bol.com richtlijnen. Bol.com staat verkopers expliciet toe om review-mails te sturen aan klanten van hun eigen bestellingen, op voorwaarde dat de mail een legitiem doel dient (factuur + review-verzoek) en niet als reclame wordt ingezet.

Onder de AVG geldt dit als 'gerechtvaardigd belang' — je hebt een rechtmatig commercieel belang en de klant heeft een redelijke verwachting van deze communicatie omdat ze net iets bij je hebben gekocht.

Wat je NIET mag: marketing-mails sturen los van een bestelling, klanten in een nieuwsbrief inschrijven zonder hun expliciete toestemming, of klantadressen verkopen of delen met derde partijen. Dat is wel reclame en vereist toestemming volgens de cookiewet en AVG.

Voor facturen geldt een wettelijke bewaarplicht van 7 jaar (Belastingdienst). Dat zit dus vast — je mag deze gegevens niet verwijderen ook al verzoekt een klant dat. Wel moet je dit duidelijk communiceren in je privacyverklaring.

Voor klantgegevens die niet aan facturen gekoppeld zijn (bijvoorbeeld e-mailadressen voor service): bewaar zo kort als nodig. Een richtlijn van 12-24 maanden na laatste contact is gangbaar.

Praktisch: zet in je privacyverklaring expliciet 'Wij bewaren factuurgegevens 7 jaar conform belastingwetgeving. Overige klantgegevens verwijderen wij na 24 maanden inactiviteit.' Helder en juridisch verdedigbaar.

Een datalek is iedere ongeoorloofde toegang tot persoonsgegevens. Voorbeelden: een gehackte mailbox met klantorders, een per ongeluk verzonden klantenlijst aan de verkeerde ontvanger, een gestolen laptop met onversleutelde data.

Bij een datalek met risico voor de betrokkenen moet je dit binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Bij ernstige risico's moet je ook de getroffen klanten informeren.

Voorkom problemen met de basics: tweefactorauthenticatie op alle accounts (Bol.com Seller portal, je e-mail, je tools), versleutelde laptops en backups, en geen klantgegevens delen via onbeveiligde kanalen (WhatsApp, persoonlijke e-mail).

AVG voor Bol.com verkopers is geen mysterie en ook geen onmogelijke last. Het komt neer op vier dingen: privacyverklaring, register, verwerkersovereenkomsten en een verwijderprocedure. Eén keer goed neerzetten, daarna onderhouden.

Het grootste risico voor solo-ondernemers is niet boetes — die zijn voor kleine bedrijven zeldzaam — maar reputatie. Eén klant die publiek klaagt over slechte gegevensbescherming kan meer kosten dan een volledige AVG-implementatie.

Tip: gebruik tools die GDPR-compliant zijn als standaard. Tools gebouwd in Nederland of de EU (zoals BolKit) hebben de AVG ingebouwd in hun ontwerp — dat scheelt jou veel werk en juridische risico's.