Het zal je niet zijn ontgaan: eind mei trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese privacyverordening – die de Nederlandse Wet bescherming persoonsgegevens verving – geldt voor elke Nederlandse onderneming. De insteek van de AVG is dat bedrijven en organisaties zorgvuldig omgaan met klantgegevens.
Reputatieschade
Het grootste risico dat je loopt als je niet voldoet aan de AVG is uiteraard een datalek. De Autoriteit Persoonsgegevens (AP) controleert hier streng op. Met eventueel een hoge boete tot gevolg.
Maar ook in commercieel opzicht is het belangrijk om persoons- en betaalgegevens goed te beveiligen. Komen dit soort gegevens onverhoopt op straat te liggen? Dan zorgt dat vaak voor flinke reputatieschade, met alle commerciële gevolgen van dien.
Aansprakelijkheid
Werk je samen met andere bedrijven en organisaties? Steeds vaker eisen (grotere) zakenpartners dat je als leverancier voldoet aan de AVG. Ben je niet compliant, dan kan het zijn dat contracten aan je neus voorbijgaan.
Ten slotte is het – zeker als je als toeleverancier samenwerkt met een groter bedrijf – vanuit het oogpunt van aansprakelijkheid belangrijk dat je voldoet aan de AVG. Krijgt je zakenpartner een boete opgelegd omdat jij niet voldoet? Dan kun je als samenwerkingspartner aansprakelijk worden gesteld.
Argumenten genoeg dus om werk te maken van een goede beveiliging van persoons- en betaalgegevens. Maar naast alle mogelijke negatieve gevolgen, is de belangrijkste reden om te voldoen aan de AVG uiteraard de integriteit van je bedrijf. Je wilt immers het klantvertrouwen niet beschamen en dus ga je zo netjes mogelijk met de gegevens van je klant om. Waar moet je op letten?
#1. Vraag alleen wat je nodig hebt
Natuurlijk: adres, telefoonnummer en e-mailadres zijn vaak onmisbaar voor het goed en snel kunnen afhandelen van een bestelling. Maar hoe zit dat met bijvoorbeeld de geboortedatum of het geslacht van de klant? Uitgangspunt van de AVG is dat je gegevens alleen mag verwerken voor het doel waarvoor je ze hebt gekregen. Je mag deze gegevens dus alleen met een goede reden vragen. Leg bij het formulier waar de gegevens moeten worden ingevuld altijd uit waarvoor je deze persoonsgegevens nodig hebt.
Daarnaast mag je de gegevens niet langer bewaren dan strikt noodzakelijk is. Welke termijn strikt noodzakelijk is, daarover wordt in de AVG geen uitspraak gedaan. Je moet als bedrijf dus zelf bepalen hoe lang je de persoonsgegevens bewaart, kijkend naar het doel waarover je ze verzamelt of gebruikt.
Andere overweging: in hoeverre is het wenselijk of nodig dat aankoopgegevens gekoppeld blijven aan persoons- en betaalgegevens? Denk goed na over welke gegevens je daadwerkelijk nodig hebt en met welk doel, en beperk je daartoe.
#2. Stel klanten op de hoogte
Klanten van wie je persoons- en betaalgegevens verzamelt en verwerkt, moet je vooraf expliciet vertellen wat je met die gegevens doet. Dat kun je bijvoorbeeld doen door een privacystatement op je website te plaatsen en daar duidelijk naar te verwijzen.
Dus niet ergens achteraf wegstopt op je site, maar een duidelijke link in je footer (onderaan iedere pagina op je website). Helemaal top is het als je de link naar het privacystatement ook op iedere plek plaatst waar bezoekers persoonsgegevens moeten invullen.
#3. Houd de wettelijke bewaartermijnen in de gaten
Heb je in beeld welke gegevens je verzamelt en verwerkt, en met welk doel je dat doet? Heb je goed in beeld hoe lang je de gegevens moet bewaren om je doel te bereiken? En heb je je klanten daarvan op de hoogte gesteld? Houd dan ook goed de wettelijke bewaarplicht in de gaten.
Soms rust er een wettelijke bewaarplicht op bepaalde gegevens, bijvoorbeeld op grond van fiscale wetgeving. Dit laatste geldt bijvoorbeeld voor de verkoopadministratie, die je 7 jaar moet bewaren. Maar eventuele opgestelde klantprofielen vallen hier weer níet onder. Breng dit voor elk stukje informatie dat je verzamelt goed in kaart.
#4. Sluit een verwerkersovereenkomst af
Werk je samen met een andere partij die ‘iets’ doet met de door jou verzamelde persoonsgegevens? Zoals het hostingbedrijf van je website, een salarisverwerker of een payment service provider (PSP)? Dan ben je verplicht om met deze derde partij een verwerkersovereenkomst af te sluiten.
Daarin maken jullie onder meer afspraken over welke persoonsgegevens de derde partij precies verwerkt, voor welk doel, en met welke juridische grondslag. Daarnaast bevat een verwerkersovereenkomst informatie over de beveiliging van de gegevens en de bewaartermijn.
#5. Neem technische beveiligingsmaatregelen
Heb je goed in kaart welke gegevens je moet verzamelen en hoe lang je ze mag bewaren? Zorg er dan voor dat je de gegevens díe je bewaart, goed beveiligd zijn. Je moet er immers niet aan denken dat criminele hackers er met bijvoorbeeld creditcardgegevens vandoor gaan. Of dat persoonlijke klantgegevens op straat komen te liggen.
Zorg er daarom voor dat je een gelaagd securitysysteem hebt, waarbij verschillende maatregelen elkaar aanvullen. Denk aan:
- Het kan verstandig zijn om te investeren in Multi Factor Authentication op systemen waar je persoonsgegevens op verwerkt. Daarbij wordt identificatie via een wachtwoord gecombineerd met een extra verificatiestap, zoals met een Yubikey of een andere token.
- Een andere security-oplossing is het zogenoemde EV-certificaat, een uitgebreid en gevalideerd SSL-certificaat voor websites.
- Zorg ervoor dat je systemen altijd up-to-date zijn. Patch dus op de dag dat er nieuwe updates beschikbaar zijn. Dit geldt voor zowel het e-commerceplatform dat je gebruikt als voor de browser op je laptop.
#6. Zorg voor bewustwording op het gebied van security
Misschien wel het belangrijkste advies voor bedrijven die hun klantgegevens goed willen beschermen: maak je medewerkers bewust van de risico’s op securitygebied. Vaak zijn beveiligingslekken immers het gevolg van menselijke fouten; van rondslingerende usb-sticks of laptops tot niet-afgesloten werkplekken.
Een workshop of training waarin medewerkers leren over de gevaren en risico’s kan helpen om hen bewust te maken van het belang van goede beveiliging van je organisatie.
Dit artikel is onderdeel van het dossier ‘Betaalstrategie’ op mt.nl. Dit dossier wordt mogelijk gemaakt door Buckaroo. Deze Payment Provider biedt een totaaloplossing voor alle financiële processen waardoor je betalingen en vorderingen sneller en klantvriendelijker, zowel online als offline worden geïnd.
Lees ook:
- 8 prangende vragen over recurring payments
- Token als betaalmiddel? Dit kun je ermee
- Betalen in B2B: zo kan het ook