Gastpost: Waarom bewaart een webwinkel klantgegevens ná de koop?

adresboek-gids-lijst-databank.pngIk ben deze week en volgende week met vakantie. Daarom vandaag een gastpost van internetondernemer Hans van Leersum met de interessante vraag, waarom bewaren we eigenlijk allemaal persoonsgegevens van onze klanten?

Waarom bewaren wij webwinkeliers eigenlijk zo veel gegevens van onze klanten? Zelfs als we er helemaal niets mee doen? Deze vraag spookt de afgelopen maanden steeds vaker door mijn hoofd. In de tweeënhalf jaar die we nu bestaan met onze webwinkel Trampolineplezier, hebben we een database opgebouwd met gegevens van honderden klanten. Deden we dat bewust? Nee, niet echt. Hij is eerder opgebouwd tegen wil en dank.

Automatisch opslaan

Het opslaan van klantgegevens gebeurt tegenwoordig automatisch. Er wordt steeds meer online gewinkeld waardoor persoonsgegevens van de consument met elke bestelling in een nieuwe database belanden. In de software van webwinkels is het opslaan en oneindig bewaren van klantgegevens namelijk de standaardoptie. Een optie om de klantgegevens te verwijderen als ze niet meer nodig zijn, bestaat niet. Magento, het webwinkelCMS wat we bij Trampolineplezier gebruiken, heeft deze optie evenmin.

Als je een fiets koopt bij een fietsenmaker, dan zal hij niet snel vragen wie je bent of waar je precies woont. Maakt hem het wat uit. Hoogstens vraagt hij naar je postcode, om te weten waar zijn klanten vandaan komen. Maar als je een fiets koopt bij een webwinkel, sta je als klant wel je naam, adres en soms ook nog creditcardgegevens af. Met het vertrouwen dat de webwinkel er goed mee omgaat. Maar wat gebeurt er met je gegevens als de fiets bij jou bezorgd is? Nee, ze worden niet gewist.

Persoonlijk vind ik het geen fijne gedachte dat, bij elke bestelling die ik online plaats, mijn gegevens weer in een extra database terechtkomen. Maar in mijn rol als webwinkelier vind ik het net zo goed niet prettig om zoveel klantgegevens te bezitten. Je hebt als bedrijf bestaansrecht, omdat je waarde toevoegt voor je klant. Maar wat voor waarde voeg je toe door zijn naw-gegevens te bewaren? Vanuit die gedachte: waarom gooien we de klantgegevens die we niet meer gebruiken niet weg?

Klantgegevens weggooien? Ben je gek?!

Nee, ik meen het. Er zijn ongetwijfeld webwinkels die baat hebben bij het bewaren van klantgegevens, maar wij niet. Wij verkopen trampolines en dat zijn eenmalige aankopen. Sporadisch hebben wij te maken met herhaalaankopen, slechts zo’n 1-2 procent van alle bestellingen. Redenen om de klantgegevens te bewaren hebben we dus niet. En waarom zou je iets bewaren als je het toch niet gebruikt?

Omdat het verplicht is door de fiscus, denk je misschien. Dat klopt. Maar alleen op de facturen. Alleen in je boekhouding is dus voldoende. Of misschien wil je de gegevens graag bewaren om het een en ander te controleren bij een garantiegeval. Daar valt natuurlijk iets voor te zeggen. Maar mijn inziens zijn er meer redenen te noemen voor het wél weggooien van de gegevens.:

    <li>Je laat klanten zien dat je hen serieus neemt. Je respecteert ze, behandelt ze as een volwaardig persoon door hem de keuze te geven. Je erkent dat deze gegevens niet van jou zijn, maar het eigendom van de klant. </li>
    
    <li>Je hebt een betere beveiliging tegen hacken. Persoonsgegevens die je niet in een database hebt staan, kunnen ook niet buitgemaakt worden bij een hack. Zo voorkom je het risico op identiteits- en creditcardfraude met de gegevens van jouw klanten.</li>
    
    <li>Je sluit misbruik in de toekomst uit. Door je personeel, een andere eigenaar, je webbouwer, malware op de server, enzovoort.</li>
    
    <li>Je voorkomt imagoschade. Een lek van je klantenbestand doet je naam en betrouwbaarheid als webwinkel niet goed. Al zal het voor een webwinkel in medicijnen of erotische artikelen erger zijn dan voor een webwinkel in ijzerwaren. </li>
    
    <li>De beveiliging van de gegevens kost tijd en geld. Waarom zou je geld uitgeven aan de beveiliging van gegevens die je niet gebruikt en nooit nodig zult hebben?</li>
    

Wat vinden collega-webwinkeliers?

Wat vinden jullie? Overdrijf ik? Is de kans op een hack te verwaarlozen? Zijn er redenen om de gegevens van mijn klanten wél te bewaren die ik over het hoofd heb gezien? Ik ben erg benieuwd naar reacties.

Hans van Leersum is internetondernemer met bijzondere interesse in privacy.

18 reacties

    1. Dat kan allebij a.h.v. de gegevens van de boekhouding. Terugroepen? “Alle fakturen van – tot” en hoppekee, daar heb je de gegevens. Garantie? Wanneer heeft U het deel gekocht? Heeft U de rekening nog? En ook daar zijn de gegevens beschikbaar. Geen reden dus voor een extra database met de klantgegevens.

      1. Voor garantieafhandeling is dit geen punt. We vragen eigenlijk zelden om een aankoopbewijs. Het scheelt ook een boel dat veel uiteindelijk wordt opgelost via onze leverancier en dat zij hier ook coulant in zijn. Maar dit kan inderdaad wel met de factuur die de klant zelf nog heeft zoals Olav terecht opmerkt.

        Maar zelfs als je kunt bewijzen dat de klant ongelijk heeft, is het vaak beter om gewoon zijn probleem op te lossen dan om in discussie te gaan over of hij wel of geen garantie heeft.

  1. Bewaren is bewaren. Dus “alleen op de facturen” is ook bewaren? Dus ga je tegen je klanten zeggen ‘we bewaren uw gegevens niet’ en als het dan mis gaat ga je zeggen ‘jaaaa, alleen op de facturen!’. Dat komt wel misleidend over.

    Daarnaast koppelt een beetje webwinkelsysteem de facturen aan de klantdatabase en is er geen verschil tussen “op de factuur” en “in de database” ?

    Personeel en een nieuwe eigenaar kunnen toch ook bij de facturen trouwens?

    Even over je beveiligingsopmerkingen:

    Je hebt een betere beveiliging tegen hacken.
    Nee: je verlaagt de impact van een hack, niet het risico.
    De beveiliging van de gegevens kost tijd en geld. Waarom zou je geld uitgeven aan de beveiliging van gegevens die je niet gebruikt en nooit nodig zult hebben?
    Omdat je niet specifiek ‘gegevens’ beveiligt maar je hele site?

    Kortom jouw voorgestelde aanpak is mijns inziens: a) misleidend tegenover je klanten omdat je de gegevens toch ergens bewaart en het verschil – voor zover aanwezig – amper is uit te leggen. b) naief ten aanzien van de beveiligings-implicaties

    1. Ik denk dat Hans de volgende aanpak voorstelt: 1. Klant doet aankoop, betaalt; aankoop wordt geleverd. 2. De ondernemer slaat een kopie van de factuur op in een boekhoudsysteem dat op kantoor draait. (Of misschien zelfs alleen op papier?) 3. De ondernemer verwijdert alle klantgegevens van het webwinkelsysteem (in het serverpark).

      Het klopt dat veel gegevens nog op de factuur terug te vinden zijn, maar sommige gevoelige items, zoals paswoorden, niet. Daarnaast zal het boekhoudsysteem minder gemakkelijk te bereiken zijn als het webwinkelsysteem.

      Ik denk dat het vrij simpel is om de klant helder te informeren. “We zijn verplicht uw factuur voor x jaar na aankoop te bewaren. Alle andere gegevens worden direct na levering van uw koop permanent verwijderd. De facturen worden bewaard in een apart systeem dat niet via internet toegankelijk is. We vernietigen de facturen na de verplichte bewaartermijn.”

      Hecht ik hier als klant waarde aan? Jazeker.

      1. De ondernemer slaat een kopie van de factuur op in een boekhoudsysteem dat op kantoor draait. (Of misschien zelfs alleen op papier?)

        Boekhoudsysteem dat op kantoor draait? Kantoor? Papier? In welk jaar leef jij?

      2. Dit is inderdaad de situatie die ik voor ogen heb. Een offline boekhoudsysteem zie ik echter niet zitten, en een boekhoudsysteem wat niet is gekoppeld de webwinkel of zelfs maar aan het internet, is ook erg omslachtig. Dit zal dus een heikel punt blijven. Het liefst zou je info over wat de klant heeft gekocht en zijn naw-gegevens gewoon niet op de factuur zetten. Maar dat maakt frauderen weer erg makkelijk, wat de fiscus niet leuk zal vinden.

        Desondanks zou dit al wel een stap voorwaarts zijn. Lang niet iedereen binnen het bedrijf kan in het boekhoudsysteem.

    2. “Wij slaan Uw gegevens uitsluitend op voor wettelijke verplichte dokumentatie…” dat maakt duidelijk dat ik geen database heb voor “klanten” maar slechts kopien van de factuur/leverdokumenten. Wat het koppelen van de factuur aan een NAW-Database betreft: Tenminsten in Duitsland -en ik ga er van uit ook in Nederland- ben je als bedrijf verplicht een onveranderbare kopie van het origineel te hebben. Dus het oproepen van een factuur met daarin de NAW vanuit een database voldoet niet aan deze eis. Worden de gegeven in de NAW database verandert, is de factuur niet meer origineel. Dan heb je dus een probleem met de fiscus. Ik herinner me dat bij een bedrijf waar ik vroeger werkte we voor de belastingdienst zelfs kopien moesten hebben van rekeningen die voor systeemtest waren gebruikt om zo te kunnen aantonen, dat we rekeningnummers niet meervoudig hadden gebruikt. Als het goed is kan allen een beperkte groep werknemers bij facturen. Gegevens die niet in het systeem zijn, maar extra moeten worden opgevraagd verhogen de drempel als het gaat om misbruik. Het risico van een hack en diefstal van gegevens hangt wel degelijk samen met de (vermoedde) beschikbaarheid van deze gegevens. Als je als webwinkel duidelijk maakt “ik sla alleen dat op, waartoe ik wettelijk verplicht ben en ook alleen voor die termijn…” ben je minder aantrekkelijk dan iemand die zegt “wij slaan alles op”. Dus met die politiek verminder je wel degelijk ook het risico. Je beveiligt inderdaad je hele site, maar als je een beetje meedenkt beveilig je ook daarachter. Dat is als bij een bedrijf waar je nadat je door de voordeur bent gekomen zonder problemen overal bij kan. Het is voor mij absoluut onvoldoende alleen de site te beveiligen, wat er achter ligt (en waar niemand iets heeft te zoeken) moet extra beveiligt worden.

  2. Maar mijn inziens zijn er meer redenen te noemen voor het wél weggooien van de gegevens.:

    Er is nog een reden: de Wet bescherming persoonsgegevens verplicht je tot het verwijderen van gegevens die niet meer ter zake doen.

    Overigens juich ik het van harte toe dat er toch winkeliers zijn die zich bezig houden met de bescherming van persoonsgegevens.

  3. @Richard, ik ga altijd uit van risico = kans x impact … Gebruik van persoonsgegevens is één, het beschikbaar houden op internet is een tweede. In veel gevallen is het beschikbaar houden in de webshop niet proportioneel. Daarom vind ik het splitsen en eventueel converteren een juiste oplossing. Voor een klant is het ook niet relevant steeds zijn eigen persoonsgegevens te zien (anders dan in een profiel). Op een opgeslagen order kan worden volstaan met een klantnummer.

    1. Inderdaad een artikel wat hier goed bij aansluit. Als ik het zo lees, dan lijkt het zelfs verboden om zomaar klantgegevens op te slaan. Ben je als webwinkel dan zelfs in overtreding als je klantgegevens bewaart na de koop?

      En anders: zou het privacy-technisch interessant zijn om bedrijven bij wet te verbieden om persoonsgegevens van hun klanten op te slaan als ze deze niet gebruiken?

      1. En anders: zou het privacy-technisch interessant zijn om bedrijven bij wet te verbieden om persoonsgegevens van hun klanten op te slaan als ze deze niet gebruiken?

        Dat is in feite al zo. Je mag persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel waarvoor deze verzameld zijn (het uitvoeren van een koopovereenkomst, meestal). Er blijkt, behalve de boekhoudingsuitzondering, nog een significante uitzondering te zijn: een bedrijf mag na het uitvoeren van de koopovereenkomst de klant spammen. Want het bedrijfsbelang is groter dan het belang van de klant om niet lastig gevallen te worden. Waarom dat het geval is, is mij al heel lang een raadsel. Maar goed: om de klant te kunnen spammen, moeten de persoonsgegevens bewaard blijven en daarmee is aan de voorwaarden van de wet voldaan. Als een webwinkel de gegevens echter wel bewaart, maar niet gebruikt om te spammen, en ook niet nodig heeft voor de belastingdienst, is het bewaren in strijd met de Wet bescherming persoonsgegevens.

  4. Dat ook parkeerbedrijven overbodige informatie, zoals parkeerlocaties, geregistreerd laten staan zodra de factuur is betaald vind ik veel zorgelijker. Het gaat de Belastingdienst niets aan waar de max 500 prive km voor gebruikt worden en voor de verantwoording van de zakelijke km kunnen ze de parkeerder zelf om bewijs vragen, zoals agenda’s, km administratie etc. Waarom is opslag van die informatie nu zo riskant? Een aantal voorbeelden: Stel dat ik maandelijks een behandeling zou ondergaan bij een psychiatrische kliniek in mijn eigen stad en daar voor de deur parkeer? Of als ik een serie afspraken zou hebben met een advocaat in familierecht (waaronder, maar niet uitsluitend, echtscheidingen)? Of als ik mij na een grote misstap met regelmaat zou moeten melden bij de reclassering? Dit soort informatie, in handen van derden -zonder beroepsgeheim-, kan in de praktijk tot grote persoonlijke drama’s leiden. Dit kan variëren van relationele problemen tot niet kunnen vinden van een baan of het niet kunnen krijgen van een hypotheek of verzekering. Zeker dit soort gevoelige info mag daarom nooit gaan zwerven. Opslag van die parkeerlocatiegegevens kan – ook voor personen die zich keurig aan de regels houden- simpelweg te ernstige schade aanrichten. Dat er leaserijders bestaan die fraude plegen met hun 500 km rechtvaardigt mijns inziens daarom nooit deze enorme inbreuk op de privacy. Dat partijen als CDA en VVD VVD en SP de wettelijke privacywaarborgen als doelbinding en dataminimalisatie kennelijk al aan de kant vegen voor opsporing van dit soort fraude en zich dan ook nog bedienen van de dooddoener ‘als je niets te verbergen hebt’ vind ik echt schokkend. Bovenstaande voorbeelden illustreren wat mij betreft voldoende dat iedereen wel iets te verbergen heeft of in ieder geval dat niet iedereen alles hoeft te weten van anderen.

    1. Je haalt enkele goede voorbeelden aan. Ik heb het idee om klantgegevens weg te mikken geopperd bij meerdere mensen in mijn omgeving, en in eerste instantie verklaarden veel mensen me voor gek. Zolang het opzichzelf staat, is zulke data geen probleem (behalve natuurlijk bij heel expliciete info). Zodra data uit verschillende databases gekoppeld gaat worden echter, worden er verbanden duidelijk waarvan je niet wilt dat de hele wereld (werkgever, verzekeringsmaatschappij, overheid, etc.) ze te weten komt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.