Nu de wereld steeds afhankelijker wordt van digitale producten en diensten, is gegevensbescherming voor veel landen en regio’s steeds belangrijker geworden. Als gevolg daarvan hebben veel regio’s solide en afdwingbare regelgeving voor gegevensbescherming ingevoerd waaraan bedrijven moeten voldoen.
Niet-naleving van deze regels kan niet alleen grote financiële gevolgen hebben, maar ook leiden tot aanzienlijke en blijvende schade aan het vertrouwen van het publiek en de reputatie van je organisatie. Het is daarom belangrijk om ervoor te zorgen dat je bedrijf aan zijn wettelijke verplichtingen voldoet.
In de meeste jurisdicties ben je, als je persoonsgegevens verwerkt, verplicht om informatie over je gegevensverwerkingsactiviteiten bekend te maken via een uitgebreid privacybeleid, moet je zorgen dat er doeltreffende veiligheidsmaatregelen zijn voor de bescherming van persoonsgegevens en moet je methoden hebben om de toestemming van gebruikers te verkrijgen en de intrekking ervan te vergemakkelijken.
Je privacy-informatie moet actueel, gemakkelijk te begrijpen en ondubbelzinnig zijn, en eenvoudig te raadplegen zijn op je website of in je app. Voor bepaalde onderdelen kunnen de vereisten variëren op basis van de soort verwerkingsactiviteit, de regio, de leeftijd van de gebruiker of het soort bedrijf. Je kunt naast de algemene punten die hier zijn beschreven dus nog andere verplichtingen hebben, afhankelijk van het toepasselijke recht. Meer informatie over wetgeving in bepaalde situaties vind je hieronder.
In het algemeen moet je gebruikers op de hoogte stellen van:
Je kunt verder verantwoordelijk zijn voor bijkomende informatieverstrekking aan gebruikers, derden en de toezichthoudende autoriteit afhankelijk van het toepasselijke recht.
Een van die wetten is de privacywet van Californië (CCPA). Krachtens de CCPA moeten gebruikers met name worden geïnformeerd over de mogelijkheid dat hun gegevens worden verkocht (je kunt “verkocht” hier zien als “gedeeld met derden voor een monetaire of andere tegenprestatie”). De informatie over verkoop moet zichtbaar zijn op de startpagina van de site en moet een opt-outmogelijkheid bevatten (DNSMPI)-link. Meer informatie over naleving van de CCPA.
Toestemming verwijst hier naar de vrijwillige, geïnformeerde toestemming van een persoon om deel te nemen aan een bepaalde gebeurtenis of een bepaald proces.
Dit betekent dat gebruikers hun toestemming moeten kunnen weigeren, geven of intrekken (afhankelijk van het toepasselijke recht). Toestemming kan worden verkregen via elke methode waarbij de gebruiker een directe en verifieerbare bevestigende handeling moet verrichten; hieronder vallen bijvoorbeeld selectievakjes, tekstvelden, keuzeknoppen of het verzenden van een e-mail ter bevestiging.
In het algemeen is het recht van een bepaald gebied van toepassing als:
Dit betekent in feite dat regionale regels van toepassing kunnen zijn op jou en/of je bedrijf, ongeacht of je in de regio bent gevestigd of niet. Daarom is het altijd aan te raden om je gegevensverwerkingsactiviteiten aan te pakken volgens de strengste regels van de toepasselijke regelgeving. Meer informatie over de wetgeving die op jou van toepassing is.
In de VS bestaat geen allesomvattende nationale wetgeving over gegevensbescherming; er zijn echter diverse wetten die voor bepaalde staten gelden, en richtsnoeren voor bepaalde sectoren en specifieke federale wetten. Aangezien de activiteit van websites/apps zelden beperkt is tot één staat, is het altijd het beste om de strengste toepasselijke regelgeving na te leven. Het meest robuuste wettelijke kader voor gegevensbescherming vind je in de staat Californië. De California Online Privacy Protection Act (CalOPPA), ingevoerd in 2004, is de eerste wet in een Amerikaanse staat die privacybeleid verplicht stelt. De wet is van toepassing op personen of bedrijven met een website/app die persoonsgegevens van inwoners van Californië verwerkt.
Naast de vereiste algemene bekendmakingen moet je onder de CalOPPA ook:
Ten aanzien van toestemming vereist Amerikaans recht in het algemeen dat je gebruikers een duidelijke mogelijkheid geeft om hun toestemming in te trekken (opt-out). Er gelden echter andere regels voor gevallen waarin sprake is van “gevoelige gegevens” (bv. gezondheidsinformatie, kredietrapporten, gegevens van studenten, persoonlijke informatie van kinderen jonger dan 13 jaar). In dergelijke gevallen moet er sprake zijn van een verifieerbare opt-in-handeling, zoals het aanvinken van een selectievakje of een andere bevestigende handeling.
Als je dienst bewust persoonlijke informatie van kinderen jonger dan 13 jaar verzamelt, gebruikt of bekendmaakt, zijn er speciale regels van toepassing op deze gegevensverwerkingsactiviteiten.
De Children’s Online Privacy Protection Act (COPPA) is een Amerikaanse federale wet die is ingevoerd om de persoonsgegevens en rechten van kinderen jonger dan 13 jaar beter te beschermen.
Volgens deze wet moet je als beheerder van een website of onlinedienst die gericht is op kinderen jonger dan 13 jaar, of als je bewust persoonlijke informatie verzamelt van kinderen jonger dan 13 jaar de ouders inlichten en hun verifieerbare toestemming krijgen voordat je de informatie verzamelt, gebruikt of bekendmaakt, en je moet de verzamelde informatie veilig bewaren.
“Verifieerbaar” betekent hier dat je een methode gebruikt om toestemming te verkrijgen die een kind niet makkelijk kan vervalsen en die aantoonbaar waarschijnlijk door een volwassene wordt gegeven (bv. het controleren van een officieel identiteitsbewijs in een toepasselijke database).
“Persoonlijke informatie” heeft in deze context betrekking op:
💡 Meer informatie over wettelijke vereisten ten aanzien van kinderen en COPPA.
De Algemene Verordening Gegevensbescherming (AVG) is ingevoerd om tot een uniforme regeling te komen voor gegevensbescherming voor mensen in de EU. Deze wetgeving is in mei 2018 volledig van kracht geworden. De AVG legt vast hoe persoonsgegevens rechtmatig moeten worden verwerkt (onder meer hoe ze worden verzameld, gebruikt, beschermd of hoe ermee wordt omgegaan in het algemeen).
De AVG kan van toepassing zijn wanneer:
Dit toepassingsgebied bestrijkt in feite bijna alle ondernemingen en betekent dus dat de AVG op jou van toepassing kan zijn, ongeacht of je organisatie in de EU gevestigd is of niet.
Let op: De bescherming van de AVG strekt zich uit tot gebruikers buiten de EU als de verwerkingsverantwoordelijke in de EU is gevestigd. Daarom geldt dat je als in de EU gevestigde verwerkingsverantwoordelijke de regels van de AVG op al je gebruikers moet toepassen.
De voorwaarden voor de toepasselijkheid van de AVG zijn vanuit materieel en territoriaal oogpunt vastgesteld. Om te bepalen of een specifieke verwerkingsactiviteit al dan niet is vrijgesteld van de toepasselijkheid van de richtlijn, moeten beide aspecten worden bekeken.
De AVG is van toepassing op de verwerking van persoonsgegevens. Daarom is de AVG niet van toepassing op ondernemingsgegevens, zoals een bedrijfsnaam en adres. Wees hier echter voorzichtig mee, want normaal gesproken werken “natuurlijke personen” in een bedrijf, zodat alle gegevens die op hen betrekking hebben als persoonsgegevens worden beschouwd, ongeacht of zij worden verwerkt in het kader van Business-to-Customer (B2C) of Business-to-Business (B2B).
Voorts vallen persoonsgegevens in verscheidene andere scenario’s buiten het toepassingsgebied van de AVG, onder meer wanneer zij door een natuurlijke persoon worden verwerkt voor een louter persoonlijke of huishoudelijke activiteit. Meer informatie vind je hier in onze gids over de AVG.
Hierboven hebben we al aangegeven onder welke voorwaarden de AVG van toepassing is. Om een verwerkingsactiviteit vanuit territoriaal oogpunt niet onder de AVG te laten vallen, moet daarom cumulatief het volgende van toepassing zijn:
Voorbeelden hiervan vind je hier in onze gids over de AVG.
View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.
Attend our free webinarsIn het algemeen wordt in de AVG vereist dat je:
een rechtsgrond voor de verwerking hebt. De AVG eist dat je ten minste één rechtsgrond voor de verwerking hebt. In de AVG worden 6 rechtsgronden beschreven.
Verifieerbare toestemming verkrijgen. Onder de AVG is toestemming een van de rechtsgronden om gegevens van gebruikers te verwerken. Deze toestemming moet “vrijelijk, specifiek, geïnformeerd en ondubbelzinnig” worden gegeven. Dat betekent dat het mechanisme voor het verkrijgen van toestemming ondubbelzinnig moet zijn en een duidelijke “opt-in”-actie moet inhouden (vooraf aangekruiste vakjes en soortgelijke “opt-out”-mechanismen worden door de verordening uitdrukkelijk verboden).
De AVG geeft gebruikers ook een specifiek recht op het intrekken van toestemming en daarom moet het intrekken van toestemming net zo eenvoudig zijn als het geven van toestemming. Omdat toestemming in de AVG is zo’n belangrijke rol speelt, is het van essentieel belang dat je de gegeven toestemming duidelijk documenteert en bewaart.
De bewijzen van toestemming moeten ten minste de volgende informatie bevatten:
Toestemming is niet de enige reden die een organisatie kan aanvoeren om gebruikersgegevens te verwerken; het is slechts één van de rechtsgronden. Daarom kunnen bedrijven ook andere rechtsgronden gebruiken (binnen het toepassingsgebied van de AVG) voor hun gegevensverwerking. Maar er zullen altijd gegevensverwerkingsactiviteiten zijn waarbij toestemming de enige of beste optie is.
Veel gegevensbeschermingsautoriteiten in de EU hebben hun voorschriften aangescherpt en hun regels inzake cookies en trackers in overeenstemming gebracht met de vereisten van de AVG. In het bijzonder ben je bijvoorbeeld verplicht om de voorkeuren van je gebruikers te documenteren en te bewaren.
Logbestand cookie- en toestemmingsvoorkeuren zijn nu beschikbaar in onze Privacy Controls and Cookie Solution. Klik hier voor meer informatie over het activeren van de Logbestand cookie- en toestemmingsvoorkeuren in je Privacy Controls and Cookie Solution.
Onder de AVG hebben gebruikers wettelijke rechten ten aanzien van hun gegevens. Als verwerkingsverantwoordelijke moet je deze rechten niet alleen respecteren, maar je moet gebruikers ook over deze rechten informeren. Onder deze rechten vallen:
Voldoen aan specifieke eisen bij de doorgifte van gegevens buiten de EER. De AVG staat de doorgifte van gegevens van EU-ingezetenen buiten de Europese Economische Ruimte (EER) alleen toe wanneer aan bepaalde voorwaarden is voldaan.
Gegevensbescherming door standaardinstellingen en door ontwerp invoeren. Volgens de AVG moet gegevensbescherming vanaf het begin van het ontwerp en de ontwikkeling van bedrijfsprocessen en -infrastructuur worden meegenomen.
Datalekken bekendmaken. Onder de AVG moet je binnen 72 uur na de ontdekking van het lek van gebruikersgegevens de toezichthoudende autoriteit inlichten. In veel gevallen ben je ook verplicht de betrokken gebruikers in te lichten.
Een functionaris voor gegevensbescherming aanstellen (indien aan bepaalde voorwaarden is voldaan). Onder bepaalde voorwaarden kan je verplicht zijn een functionaris voor gegevensbescherming aan te stellen die tot taak heeft toezicht te houden op alle verwerkingsactiviteiten en de naleving van de toepasselijke wetgeving te controleren. Hieronder vallen situaties waarin sprake is van grootschalige, systematische verwerking van gebruikersgegevens en waarin bijzondere categorieën gegevens (d.w.z. gevoelige gegevens) worden verwerkt.
Een register van verwerkingsactiviteiten bijhouden. In artikel 30 van de AVG wordt bepaald dat je een volledig en uitgebreid up-to-date register moet bijhouden van de specifieke gegevensverwerkingsactiviteiten. Een volledige en uitgebreide registratie van de verwerking is uitdrukkelijk vereist wanneer je gegevensverwerkingsactiviteiten niet incidenteel zijn, wanneer zij een risico voor de rechten en vrijheden van anderen kunnen inhouden, wanneer zij de verwerking van “bijzondere categorieën van persoonsgegevens” betreffen of wanneer je organisatie meer dan 250 werknemers telt – dit geldt in feite voor bijna alle verwerkingsverantwoordelijken en verwerkers. Maar zelfs als je verwerkingsactiviteiten op de een of andere manier buiten deze situaties vallen, maken je informatieverplichtingen jegens gebruikers het noodzakelijk dat je een eenvoudige administratie bijhoudt van de gegevens die je verzamelt, het doel ervan, alle partijen die bij de verwerking betrokken zijn en de bewaartermijn van de gegevens – dit is verplicht voor iedereen. Lees meer over hoe je een registratie bijhoudt die voldoet aan de voorschriften voor verwerkingsverantwoordelijken en verwerkers in onze AVG-gids.
Uitvoeren van een gegevensbeschermingseffectbeoordeling (indien aan bepaalde voorwaarden is voldaan). In gevallen waarin het waarschijnlijk is dat de gegevensverwerkingsactiviteit tot een hoog risico voor de gebruikers leidt, vereist de AVG dat een gegevensbeschermingseffectbeoordeling wordt uitgevoerd.
Omdat het gebruik van cookies betekent dat zowel gebruikersgegevens worden verwerkt als bestanden worden geïnstalleerd die kunnen worden gebruikt voor tracking, staat dit op gespannen voet met de bescherming van gebruikersgegevens. Om deze bescherming te waarborgen is de ePrivacy-richtlijn (of cookiewetgeving) ingevoerd.
Volgens de cookiewetgeving moeten organisaties die zich richten op gebruikers in de EU, gebruikers informeren over gegevensverzamelingsactiviteiten en hun de mogelijkheid bieden om te kiezen of zij hier al dan niet hun toestemming voor geven. Dat betekent dat als je site/app (of door je app/site gebruikte externe dienst) cookies gebruikt, je eerst geldige toestemming moet verkrijgen voordat die cookies worden geïnstalleerd, behalve de cookies die vallen in de categorie vrijgestelde cookies.
💡 Meer informatie over welke Europese cookie-toestemmingsregels per land gelden, vind je in ons Cheat sheet Cookie Consent.
In de praktijk zal je dus een banner moeten tonen bij het eerste bezoek van de gebruiker, een cookiebeleid moeten implementeren dat alle vereiste informatie bevat, en gebruikers de mogelijkheid moeten geven om de verwerking te weigeren (of hun toestemming daarvoor in te trekken). Voordat geïnformeerde en uitdrukkelijke toestemming is gegeven, mogen geen cookies – behalve vrijgestelde cookies – worden geïnstalleerd.
Zoals hierboven al aangegeven, is “toestemming” een van de zes rechtsgronden die door de AVG worden toegestaan, en moet die toestemming op zeer specifieke manieren worden gegeven en gedocumenteerd om als geldig te worden beschouwd.
De vraag is of de toestemming voor het gebruik van cookies op dezelfde manier gedaan moet worden als de “gewone” toestemming voor specifieke gegevensverwerkingsactiviteiten, bv. het sturen van nieuwsbrieven.
Als het antwoord “ja” zou zijn, zou dit betekenen dat je moet voldoen aan alle uitgebreide vereisten voor de geldigheid van de toestemming, zelfs bij het plaatsen van cookies. Op dit moment is de heersende opvatting dat dit onhaalbaar zou zijn én niet wat de EU-wetgever heeft bedoeld. Daarom worden de vereenvoudigde toestemmingsvereisten van de e-privacyrichtlijn nog steeds geacht in de eerste plaats van toepassing te zijn op het plaatsen van cookies. Deze zienswijze leunt grotendeels op het bepaalde in artikel 95 van de AVG. Wees je er echter van bewust dat dit deze zienswijze niet vastligt. Deze kwestie zal pas echt worden opgelost bij de inwerkingtreding van de geplande ePrivacy-verordening, die momenteel nog in ontwikkeling is.
De banner moet:
Het Cookiebeleid moet:
In overeenstemming met de algemene beginselen van de privacywetgeving, die verwerking zonder toestemming verbiedt, staat de cookiewetgeving niet toe dat cookies worden geplaatst voordat de gebruiker daarvoor toestemming heeft gegeven. In de praktijk betekent dit dat je misschien een vorm van scriptblokkering moet toepassen voordat de gebruiker toestemming geeft.
Afhankelijk van de bevoegde autoriteit kunnen deze acties het volgende omvatten: verder surfen, klikken op links of scrollen op de pagina. In veel gevallen kan het klikken op “ok”, het sluiten van de banner of het verder navigeren op een website die cookies installeert, worden beschouwd als een actieve toestemming voor het plaatsen van cookies – op voorwaarde dat de gebruikers vooraf duidelijk zijn geïnformeerd over dit gevolg.
Sommige cookies zijn vrijgesteld van het toestemmingsvereiste en hoeven dus niet preventief te worden geblokkeerd (hoewel je nog steeds verplicht bent gebruikers te informeren over je gebruik van cookies – zie het kader hieronder). De uitzonderingen zijn:
*Deze uitzondering geldt mogelijk niet voor alle regio’s. Controleer dus de lokaal toepasselijke regels.
De vrijstelling van het toestemmingsvereiste geldt duidelijk alleen voor technische cookies die niet tracken, maar die strikt noodzakelijk zijn voor de werking van diensten waarom de gebruiker uitdrukkelijk heeft verzocht.
Een praktijkvoorbeeld hiervan is een e-commercesite die gebruikers de mogelijkheid biedt artikelen in hun winkelwagentje te bewaren terwijl zij de site gebruiken of voor de duur van een sessie. In dit scenario zijn de technische cookies noodzakelijk voor het functioneren van de aankoopdienst en worden zij uitdrukkelijk door de gebruikers aangevraagd wanneer ze aangeven dat ze het artikel aan het winkelwagentje willen toevoegen. Deze sessie-gebaseerde technische cookies zijn dus geen tracking-cookies.
Andere voorbeelden van deze technische cookies zijn gebruikersgerichte sessiecookies die worden gebruikt om misbruik van verificatie op te sporen, sessiecookies voor taakverdeling en sessiecookies voor multimedia-spelers die verband houden met en noodzakelijk zijn voor de levering van de door de gebruiker gevraagde diensten.
Betekent dit dat ik in zulke gevallen geen cookiebanner nodig heb?
Ten eerste is het zo, dat zelfs wanneer deze uitzondering op de toestemmingsverplichting van toepassing is, je de gebruiker nog steeds moet informeren over je gebruik van cookies via een cookiebeleid. De banner is niet verplicht als de cookieverklaring gemakkelijk toegankelijk en zichtbaar is op elke pagina van de website.
In de toekomst wordt de ePrivacy-richtlijn vervangen door de ePrivacyverordening en wordt deze naast de AVG van toepassing.. Verwacht wordt dat de komende verordening nog steeds dezelfde waarden als de richtlijn zal handhaven.
De FADP is oorspronkelijk opgesteld in 1992 en later gedeeltelijk bijgewerkt in 2019. De wet regelt de bescherming van persoonsgegevens in Zwitserland. De recente herziening, aangenomen op 25 september 2020 en van kracht vanaf september 2023, integreert nieuwere bepalingen die lijken op de AVG, maar behoudt de duidelijke Zwitserse principes.
💡 Je kunt hier meer lezen over de herziene Zwitserse federale wet gegevensbescherming →
Hoewel er veel nuances zijn tussen de twee wetten, zijn er een paar opmerkelijke verschillen:
Tot slot moeten bedrijven, vooral bedrijven die in of met Zwitserland werken, rekening houden met de nieuwe bepalingen van de FADP. Platformen zoals iubenda kunnen helpen bij het waarborgen van naleving, waaronder een robuust privacy- en cookiebeleid. Omdat de internationale regelgeving op het gebied van gegevensbescherming zich blijft ontwikkelen, is het voor organisaties wereldwijd van cruciaal belang om op de hoogte te blijven en aan de regels te blijven voldoen.
🚀 Bekijk hier hoe je kunt voldoen aan de FADP →
Aan deze eisen wordt meestal voldaan via een geldig en actueel document met algemene voorwaarden (ook wel servicevoorwaarden, gebruiksvoorwaarden of een EULA – End User License Agreement genoemd).
Als je een e-commercewebsite of -app beheert, zijn niet alleen de hierboven vermelde informatieverplichtingen en vereisten van toepassing, maar ook de relevante handelswetgeving en sectorregels in de betreffende jurisdictie.
In het algemeen zijn nationale, contractuele en sectorregels van toepassing op de betrokkenen bij B2B handelstransacties. Deelname aan B2B-transacties vereist echter vaak dat persoonsgegevens worden verwerkt (al dan niet van werknemers). Wanneer die verwerking binnen het toepassingsgebied van de AVG valt, is de AVG van toepassing en prevaleren de regels van de AVG.
Volgens de consumentenwetgeving van de meeste landen moet je bij verkoop aan consumenten, in aanvulling op de standaard vereiste privacyverklaringen, je klanten informeren over:
In de VS bestaat er geen nationale wetgeving over retouren/terugbetalingen voor online-aankopen, aangezien dit in de meeste gevallen per staat wordt geregeld. In een aantal staten krijgen consumenten echter automatisch uitgebreide retournerings-/terugbetalingsrechten indien er vóór de aankoop geen kennisgeving over terugbetalingen of retouren zichtbaar was voor de consument. In gevallen waarin het gekochte artikel defect is, kan een impliciete garantie van toepassing zijn in plaats van een schriftelijke garantie. Schriftelijke garanties moeten ten minste voldoen aan de in de sector geldende billijkheidsnormen.
Hoewel de openbaarmakingsvereisten voor e-commerce in de VS grotendeels per staat geregeld blijven, is het in veel gevallen standaardpraktijk om deze informatie op te nemen in de algemene voorwaarden; informatie over retourzendingen en terugbetalingen wordt vaak ook opgenomen in speciale onderdelen van sites/apps die gemakkelijk toegankelijk zijn vanaf de pagina met de productbeschrijving.
Het consumentenrecht van de EU is van toepassing op overeenkomsten of andere rechtsbetrekkingen tussen consumenten (aan de ene kant) en beroepsbeoefenaren, bedrijven en ondernemingen (B2C) aan de andere kant. Het is niet van toepassing op B2B-relaties (bv. een supermarkt plaatst een bestelling bij zijn fruitleverancier) of C2C-relaties (bv. ik verkoop mijn oude fiets via Marktplaats).
Volgens het consumentenrecht van de EU heeft de consument onder meer gedurende 14 dagen een onvoorwaardelijk herroepingsrecht (“bedenktijd”). Dit betekent dat consumenten een overeenkomst van koop op afstand (verkoop via internet, telefoon of postorder) kunnen annuleren of herroepen om welke reden dan ook, gedurende 14 dagen na ontvangst van het product (in het geval van goederen).
Hierbij is de periode van 14 dagen het wettelijke minimum; in bepaalde landen kan deze periode op grond van nationale voorschriften langer zijn, en ook verkopers kunnen deze periode contractueel verlengen.
Dit herroepingsrecht geldt niet in alle situaties.
Enkele veel voorkomende uitzonderingen zijn:
Consumenten in de EU worden ook beschermd door een standaard wettelijke garantie van 2 jaar op aangekochte producten zonder extra kosten. Ook hier geldt: twee jaar is het wettelijk minimum; in bepaalde landen kunnen nationale voorschriften deze periode verlengen, en deze kan natuurlijk ook contractueel worden verlengd.
Deze regels zijn gewoonlijk van toepassing op elk bedrijf dat aan ingezetenen van de EU verkoopt, maar dit kan per geval variëren voor internationale verkopers. Hierbij is het belangrijk om te weten dat in recente rechtszaken echter de rechtbanken in de VS ervoor hebben gekozen om het relevante EU-recht van toepassing te laten zijn.
Wat is het verschil tussen het retourneren van een product op grond van een herroeping en het retourneren op grond van een garantie?
Herroepingsrecht | Wettelijke garantie |
---|---|
Geldt gedurende 14 dagen na ontvangst van het product of ondertekening van de overeenkomst | Geldt gedurende 24 maanden na ontvangst van het product |
Je hoeft geen reden te geven om dit recht uit te oefenen. Je mag gewoon van gedachten veranderen | Je kunt een product alleen terugzenden op grond van garantie omdat het defect is of anderszins ongeschikt voor het doel waarvoor het is verkocht en gekocht |
Mogelijk moet je de kosten van het retourneren van het product voor je rekening nemen (maar dit moet worden aangegeven) | Mogelijk hoef je geen kosten te dragen (het is aan de verkoper te wijten als het product gebrekkig is) |
Geldt met enkele uitzonderingen (waarvan sommige hierboven zijn vermeld) | Geldt altijd voor producten, maar nooit voor diensten |
De EU-wetgeving schrijft ook voor dat verkopers consumenten moeten informeren over het platform voor Europese onlinegeschillenbeslechting (ODR) via een directe link. ODR, of “onlinegeschillenbeslechting” is een proces waarmee in de EU gevestigde consumenten gemakkelijk klachten in kunnen dienen (over online verkoop) tegen bedrijven die ook in de EU gevestigd zijn. Dit betekent dat de ODR-vereisten ook kunnen gelden voor Amerikaanse bedrijven die op enigerlei wijze fysiek in de EU aanwezig zijn.
Opmerking: Bedrijven en consumenten in het VK hebben na Brexit geen toegang meer tot het ODR-platform.
In het algemeen is op particuliere websites (of soortgelijke sociale netwerkprofielen, blogs, enz.) die louter een privé- en persoonlijk doel dienen, geen aanvullende regelgeving van toepassing, maar verschillende Europese en nationale regels verplichten online commerciële exploitanten bepaalde informatie bekend te maken.
Om als “commercieel” te worden aangemerkt, is het niet noodzakelijk dat je daadwerkelijk iets “verkoopt”. Een persoonlijke website kan gemakkelijk als commercieel worden aangemerkt als deze bijvoorbeeld veel verkeer genereert en daardoor relevante reclame-inkomsten oplevert (bv. influencers). Maar als je wel producten of diensten verkoopt, worden de informatieverplichtingen zwaarder.
Als je rechtstreeks aan consumenten verkoopt (B2C), krijg je te maken met bijkomende informatieverplichtingen, waaronder de hierboven vermelde, links naar het EU-platform voor onlinegeschillenbeslechting voor consumenten, nauwkeurig aan te geven levertijden, informatie over prijzen en toepasselijke belastingen, zoals uiteengezet in Richtlijn 83/2011/EU.
Een e-mailadres valt onder persoonsgegevens. Daarom is privacywetgeving van toepassing als je met e-mailadressen werkt. Zoals eerder aangegeven, ben je in de meeste rechtsgebieden verplicht de gebruikers uitvoerig te informeren over de verwerkingsactiviteiten, de doelen ervan en de rechten van de gebruikers.
In het algemeen is dat soort regelgeving van toepassing op alle diensten die gericht zijn op inwoners van de regio, wat betekent dat regionale regels van toepassing kunnen zijn op jouw bedrijf, ongeacht of je in de regio bent gevestigd of niet. Dit geldt des te meer als je een gekochte e-maillijst gebruikt, omdat je in dat geval misschien niet weet in welk land de ontvanger woont.
Daarom is het altijd aan te raden om je gegevensverwerkingsactiviteiten aan te pakken volgens de strengste regels van de toepasselijke regelgeving.
Krachtens de CAN-SPAM-wet van de FTC heb je geen toestemming nodig om gebruikers in de VS aan je mailinglijst toe te voegen of om hen commerciële berichten te sturen. Het is echter wel verplicht om gebruikers een duidelijke mogelijkheid te bieden om zich af te melden van verder contact (opt-out).
Op grond van EU-recht (met name de AVG) ben je verplicht de geïnformeerde toestemming van de gebruiker te verkrijgen voordat je ze op de dienst kunt laten abonneren. Volgens de EU-regelgeving kan het verkrijgen van toestemming worden beschouwd als een tweeledig proces dat bestaat uit het informeren van de gebruiker en het verkrijgen van verifieerbare toestemming via een bevestigende handeling.
💡 Meer informatie over wettelijke verplichtingen voor nieuwsbrieven en e-mailadreslijsten.
De Children’s Online Privacy Protection Act (COPPA) is een Amerikaanse federale wet die is ingevoerd om de persoonsgegevens en rechten van kinderen jonger dan 13 jaar beter te beschermen. Volgens COPPA moeten beheerders van websites of onlinediensten die gericht zijn op kinderen jonger dan 13 jaar, of die bewust persoonlijke informatie verzamelen van kinderen jonger dan 13 jaar de ouders inlichten en hun verifieerbare toestemming krijgen voordat ze de informatie verzamelen, gebruiken of bekendmaken, en de verzamelde informatie veilig bewaren.
Een centrale eis van deze wet is dat je een privacybeleid hebt dat aan de COPPA voldoet. Meer informatie over naleving lees je hieronder en meer informatie over COPPA vind je hier.
Op grond van de regels in de AVG is toestemming een van de rechtsgronden voor het verwerken van gegevens van kinderen. Als je deze rechtsgrond gebruikt voor de verwerking van gegevens van kinderen jonger dan 13 jaar, moet je verifieerbare toestemming krijgen van een ouder of voogd tenzij je dienst preventieve gezondheids- of therapeutische diensten betreft.
? Meer informatie over wettelijke vereisten ten aanzien van kinderen vind je hier.
Hoewel het niet altijd wettelijk verplicht is, zijn algemene voorwaarden (ook bekend als servicevoorwaarden, licentieovereenkomst voor eindgebruikers of gebruiksvoorwaarden) vaak praktisch en bovendien bieden ze zekerheid. Hiermee regel je de contractuele relatie tussen jou en je gebruikers en stel je gebruiksvoorwaarden vast. Ze zijn ook essentieel om je te beschermen tegen mogelijke aansprakelijkheden.
Algemene voorwaarden vormen een juridisch bindende overeenkomst; daarom is het niet alleen belangrijk om ze te hebben, maar je moet er ook voor zorgen dat ze aan de wettelijke vereisten voldoen.
In het algemeen zijn standaardcontractvoorwaarden van toepassing. In de meeste jurisdicties moeten door handelaren gehanteerde overeenkomsten ook eerlijk en billijk zijn. Daarom moeten je voorwaarden voldoen aan alle geldende regelgeving en nauwkeurig, zichtbaar en begrijpelijk zijn, zodat je gebruikers ze gemakkelijk kunnen bekijken en ermee akkoord kunnen gaan.
Het “akkoord gaan” moet op een ondubbelzinnige manier gebeuren (bv. door te klikken op een selectievakje met een zichtbare link naar het document alvorens een account te kunnen aanmaken of van de dienst gebruik te kunnen maken).
Hoewel de volledige inhoud kan variëren afhankelijk van de aard van je bedrijf, moeten de algemene voorwaarden ten minste het volgende omvatten:
Ook apps en diensten van derden moeten zich aan de wet houden. Ook hun organisaties lopen risico op reputatieschade, boetes en sancties als zij hun wettelijke verplichtingen niet nakomen. Daarom wordt vaak verplicht dat alle partners en klanten die van diensten gebruik maken, aan de regelgeving voldoen.
In het algemeen eisen zij dat organisaties die gebruik maken van hun diensten een privacybeleid (en een cookiebeleid indien cookies worden gebruikt) hebben dat voldoet aan de voorschriften en dat relevante details bevat over de relatie en de verleende diensten.
Ook apps en diensten van derden moeten zich aan de wet houden. Daarom wordt vaak verplicht dat alle partners en klanten die van diensten gebruik maken, aan de regelgeving voldoen
Een voorbeeld is Google. Voor toegang tot bepaalde dienstverlening en tools (bv. adsense, Google Analytics, Google Play Store), vereist Google dat je beschikt over een uitgebreid en actueel privacybeleid. Dit is een onderdeel van de gebruiksvoorwaarden van Google Analytics:
“U moet een Privacybeleid posten en daarin melding maken van het feit dat u gebruikmaakt van cookies, identifiers voor mobiele apparaten […] of vergelijkbare technologieën die worden gebruikt om gegevens te verzamelen”, en „U mag geen privacy-functies omzeilen die deel uitmaken van de Service (bijvoorbeeld een opt-out).”
Een ander voorbeeld is Amazon. Dit is een uittreksel van hun voorwaarden:
Wij hebben de verplichting om onze partnerrelatie bekend te maken, uitgebreid tot alle middelen waarmee u inhoud van partners gebruikt.
De vereisten aan derden kunnen periodiek worden gewijzigd, afhankelijk van interne of regionale regelgeving. Het is daarom belangrijk om ervoor te zorgen dat je beleid aan de actuele wettelijke verplichtingen voldoet om mogelijke boetes of onderbreking van de dienstverlening te vermijden.
De juridische gevolgen van niet-naleving omvatten:
Niet-naleving van CalOPPA of COPPA kan ertoe leiden dat overheidsorganisaties aangifte tegen je doen of civielrechtelijke sancties eisen. Een voorbeeld is de boete van 130.000 USD die de eigenaren van de Imbee-website werd opgelegd wegens overtreding van de COPPA omdat ze toestonden dat kinderen jonger dan 13 jaar zich registreerden, zonder toestemming van de ouders.
Vergelijkbare boetes kunnen op grond van andere staats- en federale wetgeving worden opgelegd. Niet-naleving van de AVG kan leiden tot boetes die kunnen oplopen tot 20 miljoen EUR of 4% van de wereldwijde jaaromzet van je bedrijf.
Er kunnen disciplinaire maatregelen tegen je worden genomen als blijkt dat je in strijd met de voorschriften handelt. Deze maatregelen omvatten onder meer officiële berispingen (voor eerste overtredingen) en periodieke audits op het gebied van gegevensbescherming. De AVG geeft gebruikers het uitdrukkelijke recht om een klacht in te dienen bij een toezichthoudende autoriteit als zij van mening zijn dat de verwerking van hun persoonsgegevens in strijd met de regelgeving is gebeurd.
Indien bijvoorbeeld bij de autoriteit een geval van inbreuk op de regelgeving wordt gemeld, kan de autoriteit ervoor kiezen een audit van je gegevensverwerkingsactiviteiten uit te voeren. Indien wordt vastgesteld dat een bepaalde verwerking onrechtmatig is gebeurd, wordt niet alleen een boete opgelegd, maar kan het je ook worden verboden verder gebruik te maken van de gegevens waarover het onderzoek werd gedaan. Dit betekent dat als de overtreding betrekking had op het verzamelen van e-mailadressen, je het risico loopt dat je de hele bijbehorende e-maillijst niet meer mag gebruiken.
Niet-naleving van de consumenten- of mededingingswetgeving (oneerlijke concurrentie) kan ook leiden tot boetes door de bevoegde (meestal nationale) autoriteiten.
Het is een algemeen beginsel van het burgerlijk recht dat je onrechtmatig aan een ander berokkende schade moet vergoeden, bijvoorbeeld door een wettelijk voorschrift te overtreden. Zowel de AVG als de CalOPPA verlenen individuele gebruikers onder meer het recht om compensatie te eisen voor eventuele schade die het gevolg is van een inbreuk op hun rechten. Deze redenering is ook te volgen voor elke andere toepasselijke wet- of regelgeving, zoals de EU-bepalingen inzake consumentenbescherming.
Aansprakelijkheid voor schadevergoeding geldt bovendien in alle zakelijke relaties: ook een zakenpartner kan recht hebben op schadevergoeding als je een wettelijke bepaling hebt geschonden. Als je bijvoorbeeld namaakgoederen verkoopt via een partnerplatform als Amazon, kan het bedrijf gerechtelijke stappen tegen je ondernemen, samen met de klanten die de namaakgoederen hebben gekocht.
Bij bepaalde diensten van derden (waaronder marktplaatsen en app stores) is naleving van specifieke regels onderdeel van hun gebruiksvoorwaarden; overtreding van hun voorwaarden kan leiden tot beëindiging van de dienst of mogelijk permanente uitsluiting.
Hier is een voorbeeld van de algemene voorwaarden van het Partner Network van Amazon Web Services met betrekking tot toestemming:
(a) Gegevens van Derden. Als u Gegevens van Derden aan AWS verstrekt, bevestigt u dat u alle noodzakelijke toestemmingen hebt ontvangen om (a) de Gegevens van Derden te delen met AWS en haar Affiliates, en (b) AWS en haar Affiliates de Gegevens van Derden te laten gebruiken zoals beschreven in de Privacyverklaring van AWS (link naar de Privacyverklaring (in het Engels): https://aws.amazon.com/privacy/.
Ten slotte, maar misschien wel het belangrijkst, kun je in bepaalde gevallen ook met strafrechtelijke gevolgen te maken krijgen. Als je bijvoorbeeld opzettelijk inbreuk maakt op gegevensbescherming voor commerciële doeleinden of deze bescherming negeert (bv. persoonsgegevens van mensen verkoopt zonder hen daarvan in kennis te stellen), kan dit ernstige gevolgen hebben. Het strafrecht is echter grotendeels nationaal recht: gevallen en gevolgen moeten per geval worden beoordeeld.
Wij geloven in een alomvattende aanpak van naleving van de gegevensbeschermingswetgeving. Daarom volgen we de belangrijkste jurisdicties op de voet en bouwen we oplossingen die uitgaan van de strengste voorschriften. Zo beschik jij over alle opties om deze naar behoefte aan te passen.
Zo kun je ervoor zorgen dat je aan je wettelijke verplichtingen voldoet (ongeacht waar je klanten zijn gevestigd), verminder je het risico op juridische procedures en bescherm je je klanten, waardoor je vertrouwen en geloofwaardigheid opbouwt.
Wij volgen de belangrijkste jurisdicties op de voet en bouwen oplossingen die uitgaan van de strengste voorschriften
Dit heb je nodig om aan de slag te gaan voor volledige compliance:
Je moet je gebruikers op de hoogte stellen van de manier waarop je hun persoonsgegevens gebruikt. Daarom is privacybeleid bijna overal ter wereld wettelijk verplicht. In dit juridische document moet worden vermeld op welke manieren je website of app gebruikersgegevens verzamelt, verwerkt, opslaat, deelt en beschermt, voor welke doelen je dat doet en welke rechten de gebruikers in dat verband hebben.
Onze privacybeleid-generator is betaalbaar, beschikbaar in meerdere talen, door juristen opgesteld, aanpasbaar en wordt automatisch bijgewerkt (omdat het beleid op afstand wordt bijgehouden door onze juristen). Je maakt hiermee een privacybeleid dat er goed uitziet en juridisch klopt, en naadloos met je website of app is te integreren. Voeg eenvoudig je keuze uit de vele vooraf opgestelde bepalingen toe met één klik of schrijf je eigen aangepaste bepalingen.
Je kunt in het privacybeleid een cookiebeleid opnemen (dat is noodzakelijk als je website of app gebruik maakt van cookies). De beleidsdocumenten worden aangepast aan jouw behoeften en worden op afstand beheerd door een juridisch team.
? Klik hier voor meer informatie over hoe je je privacybeleid kunt genereren
Omdat het gebruik van cookies betekent dat zowel gebruikersgegevens worden verwerkt als bestanden worden geïnstalleerd voor tracking, staat dit op gespannen voet met de bescherming van gebruikersgegevens. Als je in de EU actief bent of mogelijk EU-gebruikers hebt, moet je daarom voldoen aan de cookiewetgeving.
Dit omvat vier onderdelen:
Onze Privacy Controls and Cookie Solution voldoet aan de bepalingen van de ePrivacy-richtlijn (cookiewetgeving). Hiermee kun je gebruikers gemakkelijk informeren en hun toestemming verkrijgen met de mogelijkheid om scripts die cookies installeren preventief te blokkeren voordat de gebruiker daarvoor toestemming heeft gegeven (wat in veel EU-landen verplicht is). Het is een eenvoudig en snel programma en er zijn geen grote investeringen nodig.
→ Krijg live antwoord op je vragen en meer informatie over de Privacybeleid- en Cookiebeleid-generator en de Privacy Controls and Cookie Solution door deelname aan een van onze gratis webinars (in het Engels).
Hoewel ze niet altijd wettelijk verplicht zijn, vormen algemene voorwaarden in de praktijk wel een vereiste. Ze regelen de contractuele relatie tussen jou en je gebruikers en stellen juridisch bindend vast hoe je product, dienst of content mag worden gebruikt.
Het is dan ook van essentieel belang dat deze overeenkomst nauwkeurig is en aan alle toepasselijke voorschriften voldoet. Hieronder vallen de algemene voorwaarden voor het gebruik van je dienst met bijzondere aandacht voor bepalingen ter beperking van aansprakelijkheid en disclaimers.
Met de Algemene voorwaarden-generator kun je probleemloos algemene voorwaarden genereren en beheren die professioneel en aanpasbaar zijn. Er zijn meer dan 100 bepalingen beschikbaar in 10 talen die zijn opgesteld door een internationaal juridisch team en voldoen aan de belangrijkste internationale wetgeving.
Een krachtige en precieze oplossing die de meest complexe en individuele scenario’s en aanpassingen aankan.
Onderdelen:
De oplossing is geoptimaliseerd voor alles van e-commerce, blogs en apps tot complexe scenario’s als marktplaatsen en SaaS.
Je kunt eenvoudig aan de slag gaan. Activeer de Algemene voorwaarden (met 1 Ultra-licentie) op je dashboard en ga aan de slag.
💡 Klik hier of lees de gids voor een overzicht van alle kenmerken van de Algemene voorwaarden-generator.
Om te voldoen aan de privacywetgeving, met name de AVG, moeten bedrijven bewijzen van toestemming bewaren, zodat ze kunnen aantonen dat de toestemming is verkregen.
De registratie moet aantonen:
Onze Consent Database vereenvoudigt dit proces door je te helpen bewijzen van toestemmingen en privacyvoorkeuren te bewaren en te beheren van elk van je gebruikers. Hiermee kun je elk aspect van de toestemming volgen (waaronder de juridische kennisgeving of privacyverklaring en het toestemmingsformulier dat de gebruiker te zien kreeg toen de toestemming werd verkregen) en de daaraan gerelateerde voorkeuren van de gebruiker.
Om deze te gebruiken, activeer je de Consent Database en krijg je de API-sleutel. Dan installeer je het programma via HTTP API of de JS-widget en je bent klaar; je kunt op elk moment toestemmingen opvragen en up-to-date houden.
💡 Klik hier of lees de gids voor een overzicht van alle kenmerken van de Consent Database.
Het voldoen aan de AVG-regels kan in de praktijk technische uitdagingen opleveren. Dit geldt in het bijzonder voor een register van de gegevensverwerkingsactiviteiten. Om aan de voorschriften te voldoen, moet je bijhouden en beschrijven:
Onze oplossing helpt je om op een gemakkelijke manier alle gegevensverwerkingsactiviteiten binnen je organisatie vast te leggen en te beheren, zodat je gemakkelijk kunt voldoen aan de vereisten en je wettelijke verplichtingen.
Je kunt de verwerkingsactiviteiten registreren:
Houd er rekening mee dat: Zelfs als je verwerkingsactiviteiten op de een of andere manier buiten de in deze gids genoemde situaties vallen, maken je informatieverplichtingen jegens gebruikers (artikelen 13 en 14) het noodzakelijk dat je een eenvoudige administratie bijhoudt van de gegevens die je verzamelt, het doel ervan, alle partijen die bij de verwerking betrokken zijn en de bewaartermijn van de gegevens –dit is verplicht voor iedereen.
En, hoewel de AVG vaak wordt vermeld als reden om meer aandacht te besteden aan een register van de gegevensverwerkingsactiviteiten, is onze tool niet exclusief daarvoor gemaakt. Ze kan ook worden gebruikt voor een register van de gegevensverwerkingsactiviteiten in het algemeen, zelfs door bedrijven die geen gebruikers of klanten binnen de EU hebben.
→ Krijg live antwoord op je vragen en meer informatie over de Consent Database en het Register van de gegevensverwerkingsactiviteiten door deelname aan een van onze gratis webinars (in het Engels).
Houd er rekening mee dat wetgeving periodiek kan worden gewijzigd. Het is dan belangrijk dat je beleid aan deze nieuwe voorschriften voldoet. Daarom sluiten we teksten in, in plaats van ze te kopiëren en te plakken. Alleen zo kun je er zeker van zijn dat je beleid bijgewerkt blijft en op afstand wordt bijgehouden door ons juridische team.