AVG en GDPR voor Bol.com verkopers: wat moet je weten?

Vanaf het moment dat je naam, adres, e-mailadres of telefoonnummer van een klant verwerkt, val je onder de AVG (Algemene Verordening Gegevensbescherming). Of je nu één of duizend orders per maand hebt: de wet geldt.

Bol.com fungeert als platform, maar jij bent de verwerkingsverantwoordelijke voor de gegevens van jouw klanten. Dit betekent: je hebt een eigen plicht om persoonsgegevens zorgvuldig te behandelen.

Boetes onder AVG kunnen oplopen tot 4 procent van je jaaromzet of 20 miljoen euro (bij grote overtreders). In de praktijk wordt er bij kleine ondernemers zelden zware boetes uitgedeeld, maar klachten bij de Autoriteit Persoonsgegevens kunnen wel tot administratieve last leiden.

Standaard krijg je via Bol.com: NAW-gegevens voor verzending, e-mailadres voor communicatie, telefoonnummer (soms). Deze data mag je gebruiken voor orderverwerking, service en retouren.

Je mag klantgegevens NIET gebruiken voor nieuwsbriefmarketing zonder expliciete toestemming. Bol.com-klanten hebben niet ingestemd om door jou benaderd te worden; dat moet altijd apart gebeuren via opt-in.

Als je ook een eigen webshop hebt, en een klant bestelt daar, is dit een nieuwe juridische situatie. Daar kun je wel opt-in vragen voor marketing, mits duidelijk en vrijwillig.

Zelfs als je alleen via Bol.com verkoopt, heb je een privacyverklaring nodig die uitlegt welke gegevens je verwerkt, waarom, hoe lang en wie toegang heeft. Deze kun je op je bedrijfssite plaatsen of desgevraagd verstrekken.

Gebruik een sjabloon via bijvoorbeeld de Autoriteit Persoonsgegevens, Ondernemersplein of gespecialiseerde sites als privacyverklaringgenerator.nl. Kosten zijn laag en zekerheid is groot.

Vermeld expliciet dat Bol.com een gegevensverwerker kan zijn en dat je AVG-afspraken hebt met derden (hostingpartij, boekhouder, etc.). Transparantie is de kern van AVG-compliance.

Beveilig je werkplekken: gebruik sterke wachtwoorden, tweefactorauthenticatie voor je Bol.com account en je boekhoudpakket, en versleutelde harde schijven op je laptop.

Beperk toegang tot klantgegevens binnen je team. Alleen mensen die orders verwerken hebben toegang nodig, niet je hele personeel. Documenteer wie waarbij kan.

Bewaar persoonsgegevens niet langer dan nodig. De fiscale bewaarplicht is 7 jaar voor administratieve doeleinden, maar marketing- en contactdata mag je niet onbeperkt vasthouden. Ruim elk jaar op.

Een datalek is elke situatie waarin persoonsgegevens op straat kunnen komen. Bijvoorbeeld: laptop gestolen, database gehackt, per ongeluk een klantenlijst naar verkeerde persoon gemaild.

Bij een echt datalek met risico voor betrokkenen moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Bij hoge risico's moet je ook de betrokken klanten informeren.

Zet voor jezelf een simpel incidentprotocol op: wat doe ik als het misgaat, wie bel ik, wat communiceer ik naar klanten. In de hectiek van een datalek is voorbereiding goud waard.