Omgang klantengegevens

[JohnUpwards]

Klanten nemen een service af op site.

Klanten melden zich aan voor een abo en klanten kunnen hun abo annuleren.

De site database bevat dus diverse klantengegevens, zoals

contactinfo (naam, emailadres, IP-adres, datum akkoord alg.voorw.),

communicatie-info (email-berichten),

abo-info (welke abo, vanaf wanneer tot wanneer)

factuurinfo (datum, bedrag, BTW)

en betaal-info (hoe wanneer betaald).

 

Nu gebeurd het weleens dat een klant wilt opzeggen.

Volgens de CPB moet ik dan alle klantinfo verwijderen

volgens de ACM moet ik datum klantapproval bewaren,

de belastingdienst wilt dat ik de factuurinfo bewaar.

en dan vergeet ik vast nog iets...

 

Kortom,

Hoe te handelen omtrent registratie klantendata bij opzeggingen ?

Wellicht hieromtrent nog aspecten opnemen in Alg. Voorwaarden ?

 

[R.I.P. | Peter Bonjernoor]

Je kunt de informatie die je moet bewaren toch ergens anders dan op de website opslaan?

[John B]

Volgens de CPB CBP moet ik dan alle klantinfo verwijderen

Op welke (wet)tekst baseer je dat?

 

[JohnUpwards]

Je kunt de informatie die je moet bewaren toch ergens anders dan op de website opslaan?

Ja, dat kan, waar zit je aan te denken ?

 

[JohnUpwards]

Op welke CBP(wet)tekst baseer je dat?

Zover ben ik niet gegaan,

kwam op een forum op de vraag "Moet een website alles van mij verwijderen als ik annuleer?"

het antwoord "Ja, volgens de CBP moet dat"

tegen.

 

 

[R.I.P. | Peter Bonjernoor]

Ja, dat kan, waar zit je aan te denken ?

Wees eens creatief - waar zou je informatie buiten je website kunnen bewaren?

 

Zover ben ik niet gegaan,

kwam op een forum op de vraag "Moet een website alles van mij verwijderen als ik annuleer?"

het antwoord "Ja, volgens de CBP moet dat"

tegen.

Ik lees ook wel eens iets op het internet. Meestal check ik dan even of het klopt voordat ik er wat mee doe.

[JohnUpwards]

waar zou je informatie buiten je website kunnen bewaren?

Mijn vraag ging over het proces.

Als een klant vraagt om beeindiging/verwijdering

dan dien je allereerst een proceskeuze te maken,

bv je staakt email-communicatie

en bewaart klantinfo met factuurinfo.

 

Jouw antwoord suggereert dat je het opslagmedium bedoeld.

Mijnsinzien kun je moeilijk kiezen voor:

we verwijderen je info op de website-server

maar bewaren alles nog wel op onze lokale server.

 

Maar wellicht heb ik je verkeerd begrepen.

 

Meestal check ik dan even of het klopt voordat ik er wat mee doe.

Klopt, vandaar deze thread.

 

[R.I.P. | Peter Bonjernoor]

Klopt, vandaar deze thread.

Ik bedoelde meer zelf wat moeite doen, zoals even zoeken op Google, waar je als een van de eerste dit artikel uit 2013 zou hebben gevonden: https://www.security.nl/posting/368309/Juridische+vraag%3A+wanneer+kan+ik+persoonsgegevens+wissen%3F

[Maxn]

Klopt, vandaar deze thread.

Ik bedoelde meer zelf wat moeite doen, zoals even zoeken op Google, waar je als een van de eerste dit artikel uit 2013 zou hebben gevonden: https://www.security.nl/posting/368309/Juridische+vraag%3A+wanneer+kan+ik+persoonsgegevens+wissen%3F

 

Risico van artikelen uit 2013 is wel dat die ondertussen verouderd kunnen zijn...

 

Het artikel suggereert dat enkel je mapje met facturen 7 jaar bewaard dient te worden.

Echter zal dat voor de elektronische diensten van de TS eerder 10 jaar zijn. En zullen er daarnaast ook nog wat extra gegevens bewaard moeten blijven als bewijs dat je het land van de klant juist bepaald hebt.

Uiteindelijk zo'n beetje alles wat in je klanten database zit...

 

[JohnUpwards]

Ik bedoelde meer zelf wat moeite doen, zoals even zoeken op Google,

Dus je ene tip is: Lees meer op internet !

 

Maar zoals je zelf al zei:

> Ik lees ook wel eens iets op het internet.

Dus je andere tip is: Geloof niet alles wat je op internet leest !

 

En ja, je zoekt dus op internet,

en ja, wat je op internet tegenkomt hoeft niet waar te zijn

en als je dan zelfs tegenstrijdigheden tegenkomt, zoals aangegeven in mijn TopPosting,

dan kan het zinvol zijn om te kijken of iemand hier op HL er ervaring mee heeft of een helicopterview van alle betrokken instanties/aspecten kan geven. Toch ?

Daarbij heb ik op het HL-forum gezocht en is dit aspect blijkbaar niet eerder specifiek besproken.

 

 

[JohnUpwards]

Ter aanvulling:

Thuiswinkel.org adviseert om persoonsdata van je website uiterlijk na 2 jaar te verwijderen.

Dus als je ook een Thuiswinkel certificaat nastreeft....

 

en blijkbaar komt er in 2018 een AVG (Algemene Verordering Gegevensbescherming)

 

Ik zie door het bos de bomen niet meer.... hoe kun je nu alle betrokkenen tevreden maken inzake correcte omgang klantgerelateerde gegevens ?

 

[R.I.P. | Peter Bonjernoor]

Dus je ene tip is: Lees meer op internet !

...

Dus je andere tip is: Geloof niet alles wat je op internet leest !

Yep. Dat krijg je als je zo vaag bent. Jij vertelt dat iemand op een verder onbenoemd forum "Ja, volgens de CBP moet dat" heeft gezegd, en ik haal Arnout Engelfriet aan, die een van de meest gerenommeerde ICT-juristen in Nederland is.

 

Wat je wel of niet zou kunnen geloven heeft met de betrouwbaarheid van de bron te maken.

 

Terugkomend op mijn eerdere opmerkingen die inderdaad over de manier van opslaan ging: als jij de gegevens die je vanwege andere wettelijke verplichtingen moet bewaren niet meer online laat staan is de kans op verlies of diefstal een stuk kleiner geworden, en de kans dat je ruzie met het CBP krijgt een stuk kleiner.

 

Wat is dan nog het probleem?

[Floor May]

De privacywetgeving is (zogenaamde) verantwoordingswetgeving. Je moet aan deze wetgeving voldoen en er ligt op jou als ondernemer een behoorlijke verantwoordelijkheid de privacy van jouw klanten te bewaken.

 

Per persoonsgegeven zal gekeken moeten worden of het bewaren noodzakelijk is. Als jij kunt betogen dat dit het geval is, en je daarbij bijvoorbeeld wel voor goede beveiliging EN informatievoorziening aan jouw klanten zorgt, dan loop je doorgaans geen groot risico.

 

Overigens is het CBP al enige tijd de Autoriteit Persoonsgegevens.

 

 

[Branko Collin]

De Autoriteit Persoonsgegevens houdt zich in deze ook alleen maar bezig met de handhaving van de wet, en die zegt:

 

Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

 

Het eerste doel is uiteraard de uitvoering van de dienst.

 

Maar je verzamelt die gegevens ook om aan de verplichtingen van de ACM, de belastingdienst en verder te voldoen. Die verplichtingen zijn ook doelen waarvoor je de gegevens verzamelt.

 

Dan volgt de terechte vraag: welke verzameldoelen heb ik? Dat is te concreet om hier te beantwoorden, want wij kennen jouw product niet en weten ook niet hoe je je bedrijf hebt ingericht. Wat je kunt doen, is het aan de Autoriteit vragen. Ook je bedrijfsvereniging zou je moeten kunnen helpen. Of je gaat op dit forum wat concreter op je activiteiten in en dan kunnen wij mogelijk nog wat nuttigs zeggen.

 

 

[A van Alphen]

Bewaartermijnen lijkt een mijnenveld maar valt mee.

 

De Wet bescherming persoonsgegevens (Wbp) geeft aan "persoonsgegevens niet langer te bewaren als noodzakelijk".

Soms is die noodzaak te vinden in de wet: bijvoorbeeld 7 jaar voor facturen. Vaak zal je die noodzaak zelf als ondernemer moeten vaststellen. Als leidraad kun je dan kijken in het Vrijstellingsbesluit Wbp of kijken wat gebruikelijk is wat anderen in jouw branche doen.

 

Gebruik daarbij het principe "pas toe of leg uit". Geef wel een motivatie bij "leg uit" waarom jij afwijkt van de standaard of gebruikelijke bewaartermijnen of als er niet zo'n termijn is.

 

Qua transparantie naar de klanten van je website benoem je die bewaartermijn in je privacyverklaring op je website

 

[Branko Collin]

Verschillende partijen gaan vanuit verschillende perspectieven in op de materie:

 

[*]Tijdschrift De Zaak: Bewaartermijnen voor zakelijke documenten (2011)

[*]Autoriteit Persoonsgegevens: Bewaren van persoonsgegevens (geraadpleegd 2017)

[*]VNO-denktank ECP: Bewaren en bewijzen (PDF) (2007)

[*]Rhenus Archiefopslag: Wettelijke bewaartermijnen van documenten, administratie, boekhouding, papier van belastingdienst, etc. (geraadpleegd 2017)

 

[Maxn]

Soms is die noodzaak te vinden in de wet: bijvoorbeeld 7 jaar voor facturen.

 

Of dat 7 jaar is hangt af van wat er precies verkocht wordt.

 

De TS heeft het over een abonnementsdienst die via een website afgesloten wordt.

Mochten deze diensten ook online geleverd worden (en daar ga ik gezien zijn andere threads wel vanuit), dan is de kans groot dat het elektronische diensten betreft, en dan is de bewaartermijn 10 jaar.

 

[Daan Sondervan]

Ik weet niet hoe mensen die abonnementen hebben afgesloten maar waarschijnlijk is dat gestart vanuit je website. Misschien op een email lijst beland waarna het product is aangeschaft.

 

In ieder geval:

 

Alle website eigenaren met een inschrijfformulier (opt-in) op hun website moeten per 25 mei 2018 voldoen aan de Algemene Verordening Gegevensbescherming 2018

Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

 

https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/algemene-verordening-gegevensbescherming

 

Je mag alleen mensen mailen die daadwerkelijk toestemming (opt-in) hebben gegeven voor het ontvangen van jouw nieuwsbrieven. Dat is niks nieuws natuurlijk! Toch een aantal belangrijkste punten volgens de AVG2018:

 

 

[*]De opt-in moet vrijwillig gegeven zijn door middel van een actieve handeling.

[*]De opt-in mag geen onderdeel zijn van de algemene voorwaarden.

[*]De ontvanger moet geïnformeerd worden waarvoor zijn data gebruiken gaat worden

[*]De gegevens moeten rechtmatig, behoorlijk en op transparante wijze verkregen zijn. Er moet dus tijdens het verzamelen duidelijk zijn waarvoor je de gegevens gaat gebruiken.

[*]Voor elk doel moet er apart toestemming worden gegeven. Bijvoorbeeld een vinkje voor je opt-in en een vinkje dat de persoonsdata met derden wordt gedeeld.

[*]Wanneer iemand nog geen 16 is, moet iemand met ouderlijk gezag (mede)toestemming geven.

[*]De opt-ins moeten geregistreerd worden. Je moet dus altijd kunnen aantonen hoe je de opt-in hebt verzameld, zodat de rechtsgeldigheid ervan kan worden bewezen.

[*]Bij elk inschrijfformulier moet naar het privacystatement op de website worden verwezen.

[*]Waarschijnlijk geheel overbodig: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven.

[*]Elke commerciële mail moet een uitschrijflink bevatten, waarmee de ontvanger zich eenvoudig kan uitschrijven.

 

Goed om te weten is dat de regels voor opt-in gelden voor het versturen van commerciële mailings.

 

De AVG2018 geldt dus voor oude alsmede nieuwe gegevens!

 

Vriendelijke groet

 

Daan Sondervan

(met dank aan Jasmijn Hemersma, Adwise)