Algemene Verordening Gegevensbescherming

Als partner van bol ben je zelf verantwoordelijk voor de verwerking van de persoonsgegevens van jouw klanten en daarmee ook de klanten die via bol bij jou kopen. Sinds 25 mei 2018 betekent dit o.a. dat je de plicht hebt om aan de AVG te voldoen. Dit is je eigen verantwoordelijkheid.

Als een klant van bol bij jou een bestelling plaatst, krijg jij de persoonsgegevens van die klant. Dit zijn de gegevens die je nodig hebt om te kunnen voldoen aan de koopovereenkomst en de bijkomende aftersales-verplichtingen die je met je bol-klanten sluit, zoals naam, verzendadres en in sommige gevallen ook een telefoonnummer (alleen als dit door de klant is opgegeven en noodzakelijk is, bijvoorbeeld voor het maken van een bezorgafspraak). Deze klantgegevens mogen niet langer door jou bewaard worden dan dat deze nodig zijn om de overeenkomst uit te voeren. Nadat de overeenkomst is uitgevoerd, mag je alleen nog de gegevens bewaren die noodzakelijk zijn om te voldoen aan de belastingwetgeving.

Wanneer een klant via bol een bestelling bij jou plaatst, ontvang je alleen die gegevens die strikt noodzakelijk zijn om de koopovereenkomst en aftersales-verplichtingen uit te voeren. Je ontvangt via je verkoopaccount de volgende gegevens:

• Voor- en achternaam
• Verzendadres
• Telefoonnummer (alleen als dit door de klant is opgegeven én nodig is voor bijvoorbeeld een bezorgafspraak)

Je mag deze gegevens uitsluitend gebruiken voor:

• Het verwerken en verzenden van de bestelling
• Aftersales-verplichtingen zoals retourneren, klachtenafhandeling en garantie
• Wettelijke verplichtingen zoals bewaarplicht voor de Belastingdienst

Gebruik van klantgegevens voor andere doeleinden, zoals marketing, profiling of het delen met derden zonder geldige reden, is uitdrukkelijk verboden.

Wanneer je klantgegevens laat verwerken door een ecosysteem, zoals een integrator, ben je verplicht om een verwerkersovereenkomst (Data Processing Agreement, DPA) af te sluiten. Een DPA is een overeenkomst waarin je met de ecosysteempartner afspreekt hoe klantgegevens worden verwerkt, beveiligd en bewaard. Dit is verplicht volgens de AVG.

Waarom is dit belangrijk?

Als partner blijf jij verantwoordelijk voor de verwerking van klantgegevens, ook als je een andere partij inschakelt. Met een DPA zorg je dat deze partij voldoet aan de AVG. Voor meer informatie over verwerkersovereenkomsten kun je de website van de Autoriteit Persoonsgegevens raadplegen: autoriteitpersoonsgegevens.nl/verwerkersovereenkomst.

Rechten van betrokkenen

Klanten van bol behouden altijd hun rechten onder de AVG, zoals:

• Recht op inzage in hun gegevens
• Recht op correctie van onjuiste gegevens
• Recht op verwijdering van gegevens
• Recht om bezwaar te maken tegen bepaalde vormen van verwerking

Partners zijn verplicht om hier zorgvuldig mee om te gaan en hieraan mee te werken wanneer klanten of bol daarom vragen.

Je bent zelf verantwoordelijk voor de veilige verwerking van klantgegevens. Dit betekent dat je passende maatregelen moet nemen om te voorkomen dat persoonsgegevens in verkeerde handen vallen. Wanneer beveiligde persoonsgegevens niet goed beveiligd en dus toegankelijk zijn, noemen we dat een datalek.

Wat kun je zelf doen om datalekken te voorkomen?

• Gebruik sterke, unieke wachtwoorden voor je verkoopaccount
• Maak waar mogelijk gebruik van twee-factor-authenticatie (2FA) om je account extra te beveiligen
• Deel klantgegevens alleen met derden als dit noodzakelijk is en er een verwerkersovereenkomst (DPA) is afgesloten

Datalek melden

Als je tóch te maken krijgt met een datalek waarbij persoonsgegevens van bol-klanten betrokken zijn (bijvoorbeeld bij diefstal, verlies of onbevoegde toegang), ben je verplicht om dit onmiddellijk aan bol te melden via de Partnerservice. Daarnaast kan het zijn dat je het datalek ook moet melden bij de Autoriteit Persoonsgegevens (AP) en mogelijk aan de betrokken klant(en), afhankelijk van de ernst van het lek en de mogelijke gevolgen. Informeer jezelf over deze verplichting via autoriteitpersoonsgegevens.nl.

Wanneer je als verkoper buiten de Europese Economische Ruimte (EER) actief bent en persoonsgegevens ontvangt van bol-klanten, gelden er extra regels om de privacy van klanten te beschermen. Als de Europese Commissie geen adequaatheidsbesluit heeft genomen voor het land waarin je gevestigd bent, dan is de overdracht van klantgegevens geregeld via de Standard Contractual Clauses (SCC’s). Deze SCC’s maken onderdeel uit van de zakelijke verkoopvoorwaarden van bol, waarmee je akkoord gaat bij het gebruik van het platform.

Dit betekent dat:

• je als verkoper verplicht bent om klantgegevens veilig en volgens de AVG te verwerken.
• je deze gegevens alleen mag bewaren zolang als strikt noodzakelijk is voor het uitvoeren van de overeenkomst en het voldoen aan wettelijke verplichtingen (zoals belastingwetgeving).
• je een verwerkersovereenkomst (Data Processing Agreement, DPA) af moet sluiten met partijen die namens jou klantgegevens verwerken.
• je ervoor moet zorgen dat partijen die namens jouw klantgegevens verwerken aan dezelfde privacyregels voldoen als jij.
• als een overheid uit jouw land om klantgegevens vraagt die je via bol hebt ontvangen, je deze niet zomaar afgeven. Volgens de SCC’s ben je verplicht om eerst bol te informeren (voor zover de wet dit toestaat) en samen te bekijken of en hoe hiermee omgegaan moet worden.

Meer informatie

Meer informatie over AVG kun je ook vinden op de website van de brancheorganisatie Thuiswinkel.org. Mocht je nog vragen hebben over bovenstaande dan kun je uiteraard contact opnemen met onze Partnerservice.