Ecommerce overzicht van de regelgeving, slides bij webinar door Connect & VLAIO

E-commerce: overzicht van de regelgeving
VLAIO ism Connect

1. E-commerce
Wat je moet weten over webshops…

Consumer protection & verkoop op afstand
Identiteit verkoper
• Naam en rechtsvorm
• Adres
• Telefoonnummer
• BTW en bankrekening
• Geldt voor B2B en B2C
• E-mail? Niet… Maar...
!Let op bij cross border!
“Impressum” in Duitsland
Verplichte informatie

“Bij aanvang bestelproces”
= de facto op elke pagina
waarop producten aangeboden
worden
Wat?
• Aanvaarde betaalmiddelen
• Beperkingen in aanbod
• Leveringsbeperkingen
• Prijsaanduiding (totale prijs)
• Stappen in bestelproces
• Herroepingsrecht

Net voor bestelling
• Contact & klachten
• Herroepingsrecht
• Retourzendingen en kost retour
• Min duur overeenkomst > 1 jaar
• Wijze van betaling & levering
• Belangrijkste eigenschappen
• Totale prijs, inclusief alle kosten
• Bestaan van wettelijke garantie
• Bestaan en wijze van after sales
• Bestaan van beroeps- of sectorcodes
• Duur en opzeg overeenkomst

Hoe?
• “In voor de consument
begrijpelijke taal”
• Passend voor gebruikte
communicatie
• In leesbare en downloadbare
vorm (niet via link naar website)
• Algemene voorwaarden

Wanneer?
“Voorafgaand aan bestellingsbevestiging”
+ opnieuw ten laatste bij de levering op niet-
wijzigbare drager (pdf, tekst in mail, etc…).

Waar het wel eens fout gaat…
• Contactname bemoeilijken - identiteit verbergen
• Misleidende prijzen door “vanaf” prijzen als effectieve prijzen voor te stellen
• Verdoken reserveringskosten
• Verdoken kredietkaarttoeslagen
• Onduidelijkheid over niet inbegrepen extra’s
• Misleidende prijszetting op boekingssites, prijsvergelijkingssites en affiliate websites
• Kortingen en “adviesprijzen”

S- en m-commerce “Voice commerce”
“Info in functie van beschikbare ruimte en tijd”
Minstens:
• ID verkoper
• Basisinfo over product of dienst
• 14 dagen retourrecht
• Totale prijs
• Duur en beëindiging
• Andere info op “gepaste drager” (link naar Alg. Vw. Voldoende?)
Hoe bij voice…?

14 dagen wettelijke bedenktermijn: lust of last voor online retailers?
• Bedenktermijn is een hoeksteen van consumentenbescherming
• Onze ervaring leert nochtans dat retailers er liefst aan willen ontsnappen...
• En dat meestal in strijd met de wettelijke regels
• Maar waarom? Is retourrecht wel een last? Of kan het ook een sales driver zijn...?
Niet tevreden? Geld terug!

Eerst even de regels op een rijtje…
• Alléén online, alleen B2C
• Informatie aan consument
• Termijn: 14 dagen
• Modelformulier (FOD Economie eist in recente
cases modelformulier op website)
• Waardevermindering door beschadiging/gebruik
• Uitzonderingen (FOD Economie eist in recente
cases letterlijke weergave uit wet)
• Géén voorwaarden, géén beperkingen, géén
kosten, het recht is absoluut…!
Niet tevreden? Geld terug!

▪ Na volledige uitvoering van diensten (aanvaarding consument)
▪ Financiële producten (aandelen, …)
▪ Op maat gemaakte of gepersonaliseerde goederen
▪ Bederfelijke waren
▪ Redenen van hygiëne en openbare gezondheid “als zegel verbroken”
▪ Goederen die onherkenbaar geïncorporeerd zijn in andere goederen
▪ Alcohol als geleverd op meer dan 30 dagen en als prijs fluctueert buiten
▪ controle verkoper (?)
▪ Dringende herstellingen
▪ Audio, video en software, als zegel verbroken
▪ ...
Niet tevreden? Geld terug!: beperkte lijst van uitzonderingen

Niet tevreden? Geld terug!: beperkte lijst van uitzonderingen
▪ Kranten en tijdschriften
▪ Openbare verkopen
▪ Hotels, transport, catering, ontspanning “op datum”
▪ Digitale content als het gebruik begonnen is
▪ Kansspelen, loterijen, casinospelen

...iemand laten betalen voor retourzendingen?
Ja, voor de kosten van het retourneren, maar de volledige aankoop moet worden terugbetaald,
inclusief alle kosten ...
...de servicekosten aftrekken?
Alleen als er een aantoonbaar waardeverlies van het artikel is + alleen indien duidelijk vermeld in
de algemene voorwaarden + alleen werkelijke kosten (bijv. "herlabeling kosten = 2% van de
aankoop) ...
...uitleg vragen?
Nee…
Niet tevreden? Geld terug!... Mag ik als verkoper:…

...de terugbetaling vervangen door een tegoedbon?
Nee…
... De recidivisten terugsturen?
Nee...
Niet tevreden? Geld terug!... Mag ik als verkoper:…

• Zet een goede retourstrategie op
• Bepaal hoe je je retourbeleid wil 'marketen' (sales magnet of vermijden van retours)
• Leg uit dat retourneren nooit "gratis" is, gebruik storytelling, integreer het ecologische aspect
in je verhaal
• Bepaal of je de consument de retourkosten wil laten betalen
• Bepaal of je waardeverminderingen kan en wil gebruiken
• Onderzoek de optie om 'goede klanten' die niet retourneren te belonen
• Voor die uitzonderingen waar klanten echt misbruik maken:
• Neem contact op met je favoriete advocaat ... ;-)
Niet tevreden? Geld terug!... Wat moet ik wel doen?

Andere focuspunten
Correct
advies

Andere focuspunten
Correct
advies
2 jaar
garantie

Andere focuspunten
2 jaar garantie
Ingrediënten
& allergie
Correct
advies

ADR & ODR
Andere focuspunten
2 jaar garantie
Ingrediënten
& allergie
Correct
advies

BTW bij cross
border
ADR & ODR
Andere focuspunten
2 jaar garantie
Ingrediënten
& allergie
Correct
advies

Wat?
• EU Verordening
• In werking sinds december
2018
• Verbod op geoblocking
Geoblocking

Wat?
• EU Verordening
• In werking sinds december
2018
• Verbod op geoblocking
Geoblocking
Doelstelling
• wegnemen van discriminatie
op basis van verblijfplaats of
nationaliteit consument

Wie is beschermd?
• Consumenten
• en professionele end users
• die cross border kopen
Wat is verboden?
• Toegang tot site blokkeren obv locatie
• Rerouten obv locatie
• Tenzij klant daarmee expliciet instemt
• En steeds terug kan keren naar
de andere versie
Geoblocking

Wat is nog meer verboden?
• Discriminatie obv betaalmiddelen
• Verkoopweigering
• Praktische hinderpalen op websites
Uitzonderingen
• “Clear justification”
• Bepaalde goederen zoals mediacontent
Geoblocking

1. GDPR compliance &cookies
Tijd om in het eerste onderwerp te duiken…

Globaal Europees beeld
Na anderhalf jaar zien we wel degelijk grootscheepse en strenge controles en boetes in Europa
• 11 landen legden intussen boetes op
• Variërend tussen 2.000 en 50.000.000 euro
• 220.000 euro in Polen voor Bisnode voor niet-transparante dataverzameling zonder rechtsgrond
• 220.000 euro in Spanje voor La Lia voor het ongevraagd en onaangekondigd monitoren van
kijkgedrag via app.
• 89.000 data breaches gemeld
• 280.000 onderzochte dossiers in 27 lidstaten
• 144.000 klachten ontvangen
1 jaar GDPR

1 jaar GDPR
En België?
• Eerste jaar was érg stil
• Heeft geleid tot vals gevoel van veiligheid
• GBA is up and running sinds de zomer
• Inmiddels wel degelijk controles en boetes
• eID reader voor klantenkaart door winkelier: 20.000 euro
• Strategisch plan 2020: aandacht voor e-commerce, online marketing, media, KMO’s,
overheid en onderwijs
1 klacht per
dag
+/- 500 tot op
heden
Voorlopig
weinig boetes
Wel talloze
warnings
2 datalekken
per dag
+/- 1.000 tot
op heden

En buiten Europa?
Buiten Europa wordt het al helemaal een soep…
Veel landen werken aan eigen “GDPR”
• China
• Californië
• Zuid-Korea
• Brazilië
• Japan
Anderen hebben al langer eigen wet
• Canada
• Australië
• Nieuw-Zeeland
1 jaar GDPR

En buiten Europa?
Buiten Europa wordt het al helemaal een soep…
• Principe is bijna steeds:
• “Wie data verwerkt van burgers van het betreffende land moet lokale wet volgen”
(niet overal, oa in China niet duidelijk of dit inderdaad zo is)
• Grote krijtlijnen lopen gelijk
• Maar uitwerking verschilt in élk land
• Wie buiten EU wil werken, moet intussen eindeloze set aan databeschermingsregels
volgen
Eén ding dat wel overal op GDPR lijkt is… de omvang van de boetes!
1 jaar GDPR

1 jaar GDPR
De headlines van de verordening

Wie wordt door GDPR geviseerd?
Iedereen die persoonsgegevens bijhoudt of verwerkt, ongeacht of hij er de eigenaar of opdrachtgever over
is.
• Persoonsgegeven = ELK stuk informatie dat toelaat om rechtstreeks of
onrechtstreeks een persoon te identificeren
• Geldt voor “verantwoordelijke voor de verwerking”, maar in veel gevallen ook voor
de “verwerker” (bvb cloud service provider, web developer, online agency, etc…)
• In het bijzonder ook data driven innovation – apps – AI – location based - …
• Zeer specifiek: ook op target audience profiles (cfr Vectaury in FR: boete CNIL voor
preticked en gebundelde opt-in + hergebruik data obv iab Europe standards)
1 jaar GDPR

Let’s review some concepts
Transparency
Absolute transparantie ten aanzien van de
betrokkene, ten aanzien van de
opdrachtgever, en ten aanzien van de
overheid.
1 jaar GDPR

Transparency
overheid.
Data minimisation & limited retention times
Alleen de data gebruiken die je absoluut nodig
hebt en niet langer bewaren dan absoluut
nodig.
1 jaar GDPR

Transparency
overheid.
Data minimisation & limited retention times
Alleen de data gebruiken die je absoluut nodig
hebt en niet langer bewaren dan absoluut
nodig.
Data security
“Een gepast niveau van bescherming door
het nemen van gepaste technische en
organisatorische maatregelen”.
1 jaar GDPR

Purpose limitation
Data alleen gebruiken voor het doel
waarvoor je ze gekregen hebt. Geen
“recyclage” van data.
1 jaar GDPR

Purpose limitation
Accountability
Verantwoordingsplicht = preventieve
documentatieplicht.
Elke beslissing, elke stap, elke
gebeurtenis kunnen verantwoorden.
1 jaar GDPR

Purpose limitation
Accountability
Verantwoordingsplicht = preventieve
documentatieplicht.
Elke beslissing, elke stap, elke
gebeurtenis kunnen verantwoorden.
Data Protection by design & by default
Software, websites en apps “gdpr” proof
bouwen en dat ook kunnen
documenteren en garanderen.
1 jaar GDPR

De basisprincipes uit
GDPR
met wat gezond verstand
toepassen
op concrete situatie
levert 90%
van alle antwoorden
1 jaar GDPR

Focus nr. 1 voor E-commerce: data security!
1 jaar GDPR

Data security
Aantal
cyberattacks:
700.000.000
44%
toename
sinds 2016
aanvallen op
smartphones
groeien
exponentieel
Apps zijn
bijna per
definitie
onveilig
Cyber-
security

Wat moet ik weten als webshop?
“Gepaste” technische en organisatorische maatregelen om een “gepast” niveau van
bescherming te verzekeren.
• Penn testing
• Security audit
• Dataregister
• DPIA
• Vendor assessment
• Interne policies (thuiswerk, BYOD, paswoordbeleid, e-mailbeleid…)
1 jaar GDPR

Wat moet ik weten als webshop?
Wees niet één van de 75% kwetsbare webshops…:
Zorgen voor “gepaste beveiliging”
Zorgvuldig partners kiezen
Data in Europa houden
Datalekken onmiddellijk melden in alle transparantie
Data Protection Impact Assessments
Advies en eerste rem tav klant zijn
Partners
zorgvuldig
kiezen
Proactief
en
periodiek
opnieuw
testen en
updaten
Zelf
compliant
zijn...
1 jaar GDPR

De meeste websites en
webshops zijn véél te
veel gefocust op
“cosmetische”
ingrepen
en
te weinig op
data security
1 jaar GDPR

Focus nr. 2: to opt-in or to not opt-in?
1 jaar GDPR

Wanneer mag ik gegevens verwerken?
Rechtsgronden
(4 van de 6)
1 jaar GDPR

Wettelijke
verplichting
Rechtsgronden
(4 van de 6)
1 jaar GDPR

Opt-in
Wettelijke
verplichting
Rechtsgronden
(4 van de 6)
1 jaar GDPR

Noodzakelijk
voor contract
Opt-in
Wettelijke
verplichting
Rechtsgronden
(4 van de 6)
1 jaar GDPR

“Gerecht-
vaardigd
belang”
Noodzakelijk
voor contract
Opt-in
Wettelijke
verplichting
Rechtsgronden
(4 van de 6)
1 jaar GDPR

Wat heeft het voorbije jaar ons geleerd?
Vectaury case
• Dataprofielen van 67 miljoen personen
• Op basis van geoprofiling met 80 mio POI in 450 interessegebieden over de ganse wereld
• Vectaury moet vrije consent van alle 67 miljoen personen kunnen bewijzen
• Vectaury mag geen vooraf aangevinkte boxes gebruiken
• Vecaury mag geen “gebundelde” opt-in gebruiken waarin doorgifte aan derden voor
commerciële doeleinden automatisch meegenomen is
• iab Europe standaarden waarmee Vectaury werkt zijn niet GDPR compliant…
1 jaar GDPR

Facebook Italië
• 10 mio euro boete
• Idem ivm transparantie over waarom data verzameld wordt (enkel voor
eigen gebruik, of ook met het doel om door te geven aan derden?
• Verbod om deelopties vooraf te activeren (“privacy by design & by default”)
1 jaar GDPR

Hooggerechtshof Oostenrijk
• Hooggerechtshof Oostenrijk: “bundelen” van toestemmingen is verboden
• “ik ben akkoord met het gebruik van mijn gegevens door bedrijf X én met de doorgifte aan
commerciële partners én met doorgifte buiten de EU”.
• La Liga case - Bisnode Polen case - Verkiezingscases in België en UK
1 jaar GDPR

Accountability voor rechtsgrond
• Opt-in of uitvoering contract of
“gerechtvaardigd belang”
• Vereist globale denkoefening op ganse
database (+ documenteren!)
• Risico op boetes is reëel hier
• Veel verwerkingsregisters zijn cosmetische
oefening
• Maar vereist en verdient grondige analyse
1 jaar GDPR

• Opt-in of uitvoering contract of “gerechtvaardigd belang”
• Vereist globale denkoefening op ganse database (+ documenteren!)
• Veel verwerkingsregisters zijn cosmetische oefening
Data-
register
1 jaar GDPR

Audit
(wie,
waarom,
waar, hoe
lang, …?
Data-
register
1 jaar GDPR

Audit
(wie,
waarom,
waar, hoe
lang, …?
Docu-
mentatie
Data-
register
1 jaar GDPR

Problemen met opt-ins voorkomen
• Zorg ervoor dat betrokkenen wéten wie je bent en wat je met hun gegevens van plan bent.
Ze moeten met andere woorden voorafgaand kennis kunnen nemen van je Privacy Policy.
• Zorg ervoor betrokkenen ook neen kunnen zeggen zonder daarvoor gesanctioneerd te
worden. Ze moeten met andere woorden kunnen deelnemen aan je online wedstrijd zónder
opt-in voor toekomstige DM.
• Zorg ervoor dat je géén opt-in voor 5 verschillende verwerkingsactiviteiten “bundelt”
achter één aanvinkhokje. Elke zelfstandige verwerking vereist een afzonderlijke
toestemming.
Opt-in is vrij, geïnformeerd, voorafgaand en expliciet
1 jaar GDPR

Advies Nederlandse Autoriteit Persoonsgegevens ivm wifi tracking:
Nederlandse overheid is van oordeel van privébedrijven in se géén gerechtvaardigd belang
kunnen inroepen voor wifi-tracking.
“Het is een groot goed om je in het openbaar onbespied te wanen. Het digitaal volgen van
mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering
gebruikt mag worden”
Locatie tracken (zelfs anoniem) op basis van smartphone of wifi-signaal (bij uitbreiding ook het
gebruik van ibeacons in winkels, het gebruik van ibeacons in interactieve zuilen, etc…) is ernstige
inbreuk op privacy
1 jaar GDPR

• Recente boetes PwC (15.000 euro), Zweedse school (20.000 euro), …:
• Opt-in moet vrij zijn
• Gedwongen account = geen vrije opt-in
• Pro memorie: opt-in is zeker niet altijd nodig en soms zelfs fout...
Géén verplichte accounts op webshops!
1 jaar GDPR

Focus nr. 3: cookies
1 jaar GDPR

When the cookie crumbles…
Europees Hof van Justitie legt absolute transparantie en voorafgaande vrij keuze op in
recent “Planet 49” arrest van 1 oktober 2019 + Jubel-boete van de GBA in december
2019
• ALTIJD voorafgaande VRIJE en GEÏNFORMEERDE toestemming
• NIET vooraf aangevinkt, NIET stilzwijgend en in principe PER CATEGORIE
• Facebook case: Website is verantwoordelijk voor naleven GDPR door share
buttons van derden (FB)
• Nederlandse Autoriteit Persoonsgegevens kondigde in april bijkomende controles
aan
• LET OP: “cookiewet” gaat NIET alleen over cookies (FB Pixel e.a.)
• LET OP: cookiewetgeving is niet uniform in gans Europa
1 jaar GDPR
Focus nr. 3: cookies

Cookiemodel staat onder grote druk...
• Apple kiest voor de vlucht vooruit
• ITP 2.1 - Intelligent Tracking Prevention op Safari
• Automatisch verwijderen van first party cookies na 7 dagen ipv 30 dagen - Automatisch
blokkeren van third party cookies
• ATP - Advanced Tracking Prevention op Firefox (ook voor fingerprints)
• Cookie Sandbox op Chrome
• Impact op remarketing & conversion stats in affiliate marketing is enorm
1 jaar GDPR
When the cookie crumbles…

Wat moet ik doen als webshop?
• Taak voor webshops?
• Wéten welke cookies geplaatst worden
• Wéten welke data verzameld wordt
• Wéten waar de data naartoe gaat (buiten EU?)
• Wéten waar de klant actief zal zijn
• Transparantie en advies naar klant verzekeren
• ePrivacy verordening in de gaten houden
1 jaar GDPR

Kennis
van
de wet
(ePrivacy…)
1 jaar GDPR

Cookie
tools
zorgvuldig
kiezen
Kennis
van
de wet
(ePrivacy…)
1 jaar GDPR

Cookie
tools
zorgvuldig
kiezen
Technisch
checken
Kennis
van
de wet
(ePrivacy…)
1 jaar GDPR

www.cookie-scan.be
Technische én juridische
scan
Door Grava (Duval Union groep) en Sirius Legal
+
Compliant set-up voor
de toekomst
1 jaar GDPR

Focus nr. 4: Data Breach Notification
1 jaar GDPR

Wat is een datalek?
• Elk incident waarbij persoonsgegevens potentieel gecompromitteerd raken : Gehackt, gestolen,
verloren, per ongeluk gewist, per ongeluk in verkeerde handen gekomen, potentieel in verkeerde
handen gekomen, …
• Ongeacht fout, nalatigheid, opzet, …
• Ongeacht gevoeligheid van gegevens
• Ongeacht omvang van probleem
• Cfr, veiligheidslek in formulieren, hacking, paswoordverlies, laptop of smartphone verloren, inbraak in
kantoren, ...
Data Breach Notification

Wat doen bij datalekken?
• Verplichting om GBA te verwittigen van elke data breach
• Asap of ten laatste binnen 72 uur
• Aard van de breach, mogelijke gevolgen, genomen maatregelen, etc…
= verplichting om data breach te documenteren
= plicht om data breach procedure in place te hebben

Data Breach getrapte procedure
“Light” incident:
Identificeer en
documenteer
Disaster:
Meldt ook
aan aan
alle
betrokken
en
Grote impact:
Meldt aan bij
GBA

Absolute dataveiligheid
bestaat niet.
Elke digital professional
wordt ooit geconfronteerd
met een data breach.
Belangrijk is om snel en
gepast te kunnen reageren
als het zover is.

Verder ook
DPO
Register
Privacy policy
Data export
DPIA
...

Media & advertising law
IP law
Internet & e-commerce
Privacy & data protection
Gambling law
Travel & consumer
protection
Commercial & contracts
Corporate - tax
bart@siriuslegal.be
freekje@siriuslegal.be
www.siriuslegal.be
Facebook.com/siriuslegal
79

Ecommerce overzicht van de regelgeving, slides bij webinar door Connect & VLAIO

More Related Content

What's hot

Similar to Ecommerce overzicht van de regelgeving, slides bij webinar door Connect & VLAIO

More from Agentschap Innoveren & Ondernemen

Ecommerce overzicht van de regelgeving, slides bij webinar door Connect & VLAIO