Webwinkel Forum

Zijn er op dit forum al topics over de nieuwe wet voor het melden van data lek of de bescherming van klantgegevens ?
De gevolgen en kosten voor webshops ?
Welke maatregelen neem jij ?
Geld dit alleen voor webshops of ook voor de stenenwinkel in de straat ?

Welkom terug Opabert, we hebben u een tijdje gemist! Hoe tackelen de "kleinkinders" dit probleem?

BertB schreef:Welkom terug Opabert, we hebben u een tijdje gemist! Hoe tackelen de "kleinkinders" dit probleem?

Die wisten 2 jaar geleden al dat dit kwam en zijn volledig voorbereid.

Ik ga er binnenkort nog een blogje over schrijven, wat dit voor webwinkels betekend. Ik denk echter dat de informatie op onderstaande websites ook redelijk duidelijk is.

https://autoriteitpersoonsgegevens.nl/n ... datalekken
https://autoriteitpersoonsgegevens.nl/s ... lekken.pdf

henk-k schreef:

BertB schreef:Welkom terug Opabert, we hebben u een tijdje gemist! Hoe tackelen de "kleinkinders" dit probleem?

Die wisten 2 jaar geleden al dat dit kwam en zijn volledig voorbereid.

Voor zover ik weet heb ik geen lek. Dus voor mij is dit geen verandering. Het beschermen van mijn klanten staat bij mij sowieso erg hoog in mijn prioriteiten lijstje.

Serverside is het volgens mij dan ook volledig dicht getimmerd. Ik doe altijd het volgende. Mappen waarin om wat voor reden dan ook schrijf toestemming nodig is zitten zelden in de web root op de server en zijn anders compleet geblokkeerd voor toegang van buitenaf. Database is dichtgetimmerd tegen SQL injecties door absoluut alleen PDO prepared statements zonder triggers te gebruiken. Control Panel meervoudig beschermd door o.a. inloggen, maar ook whitelist. Server is dedicated, dus ook geen kwetsbaarheden doordat andere klanten op dezelfde server gaten kunnen veroorzaken.

Volgens mij zou het zo dus compleet dicht moeten zijn?

Dus jullie hebben 2 jaar geleden al keurig aangemeld dat je klant gegevens bewaard of opslaat ?
Hebben jullie al een registratienummer ?

Opabert, ik denk dat je het niet helemaal hebt begrepen. Opslaan van gegevens is geen data lek. Dat hoeft niet gemeld te worden. Ik leg juist uit, dat ik met zekerheid geen data lek heb. Dan hoef ik dus ook geen melding te maken.

opabert schreef:Dus jullie hebben 2 jaar geleden al keurig aangemeld dat je klant gegevens bewaard of opslaat ?

Klantgegevens zijn vrijgesteld in het Vrijstellingsbesluit Wbp.

Je hebt een melding plicht als je klant gegevens bewaard.
Lees het maar na

@Nop Webdesign
De maatregelen klinken goed, maar alleen op basis daarvan kun je nooit garanderen dat iets 100% waterdicht is. Zelfs beveiligingsbedrijven worden gehackt. Als webwinkel kun je echter al veel voorkomen door in ieder geval altijd software te upgraden wanneer dat mogelijk is, SSL te gebruiken, veiligheidsextensies voor je webwinkel software te installeren en veilige wachtwoorden te gebruiken. Je bent dan nog niet 100% waterdicht, maar 95% van de problemen wordt niet veroorzaakt door gerichte aanvallen, maar door het scannen op bekende fouten in software.

Volgens mij is het toch zo dat je alleen maar een meldingsplicht hebt als je klantgegevens (gewild of ongewild middels een lek / hack) op straat zijn komen te liggen.
Dat je klantgegevens opslaat mag gewoon. Dát hoeft niet gemeld te worden. Maar lekken die gegevens op straat... dán moet je dit melden.

Dennis1 schreef:Volgens mij is het toch zo dat je alleen maar een meldingsplicht hebt als je klantgegevens (gewild of ongewild middels een lek / hack) op straat zijn komen te liggen.
Dat je klantgegevens opslaat mag gewoon. Dát hoeft niet gemeld te worden. Maar lekken die gegevens op straat... dán moet je dit melden.

Ja, correct. Hier lopen twee dingen verwarrend door elkaar:

• Datalekken moet je altijd melden.

• De verwerking van persoonsgegevens die vallen onder de Wbp (Wet bescherming persoonsgegevens) moet je ook altijd melden — tenzij ze zijn vrijgesteld in het Vrijstellingsbesluit Wbp. Voor klantgegevens geldt daarin artikel 12 én 13.

Ward schreef:
• De verwerking van persoonsgegevens die vallen onder de Wbp (Wet bescherming persoonsgegevens) moet je ook altijd melden — tenzij ze zijn vrijgesteld in het Vrijstellingsbesluit Wbp. Voor klantgegevens geldt daarin artikel 12 én 13.

Ja, maar deze melding hoef je toch alleen maar op je website te zetten?
In een soort van privacy verklaring.

Dennis1 schreef:

Ward schreef:
• De verwerking van persoonsgegevens die vallen onder de Wbp (Wet bescherming persoonsgegevens) moet je ook altijd melden — tenzij ze zijn vrijgesteld in het Vrijstellingsbesluit Wbp. Voor klantgegevens geldt daarin artikel 12 én 13.

Ja, maar deze melding hoef je toch alleen maar op je website te zetten?
In een soort van privacy verklaring.

Nee, niet eens dat. 

Als je in de winkelwagen vraagt om NAW-gegevens, hoef je er niet bij te zeggen dat je die NAW-gegevens gebruikt om orders te verwerken. Dat is gewoon een vrijstelling waarvoor het Vrijstellingsbesluit Wbp geldt. 

Het tegenovergestelde geldt wél. Als je de NAW-gegevens die je verzamelt voor het afhandelen van een order gebruikt voor méér dan alleen het afhandelen van die order, dan moet je dat inderdaad aan de gebruiker melden. En in de regel geldt dan ook de ruimere meldplicht: je moet die verwerking van persoonsgegevens dan ook melden bij het CBP.

verzamelt voor het afhandelen van een order gebruikt voor méér dan alleen het afhandelen van die order

Denk aan?  Nieuwsbrief, met welk zoekwoord komt een klant binnen, uit welke regio komen de beste klanten (analytics info), gerichte info bijv man/vrouw andere aanbieding.

Aha!
Heel duidelijk Ward.

Thanks.

Heb zoals beloofd aan dit onderwerp ook een blogje gewijt: https://www.webwinkelkeur.nl/blog/meldp ... ebwinkels/ . Dit dient echter primair als kortere versie van de beleidsregels van de Autoriteit Persoonsgegevens welke redelijk uitgebreid zijn.