Maak je Magento webshop klaar voor de GDPR/AVG

AVG, GDPR, nieuwe wetgeving omtrent privacy, termen die je de afgelopen weken, dan niet maanden waarschijnlijk al geregeld voorbij hebt zien komen. De General Data Protection Regulation, of de Algemene Verordening Gegevensbescherming in het Nederlands is vanaf 25 mei 2018 actief en hier moet je als webshopeigenaar aan voldoen, maar hoe leef je deze privacywetgeving nu goed na en waarom?

Deze nieuwe wet heeft effecten op technisch gebied, maar ook op het gebied van marketing zijn er veel nieuwe eisen waaraan zal moeten worden voldaan. Elke onderneming die persoonlijke data gebruikt van Europese burgers moet aan de AVG voldoen, dus verzamel je e-mail adressen en verstuur je e-mails? Dan moet ook jij op 25 mei aan de eisen voldoen.

Hoe zit dat voor webshop eigenaren en online ondernemers in het MKB?

Wanneer je niet aan de nieuwe wet voldoet, kun je boetes riskeren en deze boetes zijn niet mis;

  • Overtreding van de basisbeginselen: Boetes tot 20 miljoen euro of 4 procent van je omzet
  • Minder zware overtredingen: Boetes tot 10 miljoen euro of 2 procent van je omzet

Je hebt dus als webshop eigenaar een aantal nieuwe verplichtingen erbij gekregen:

  • Er moet een duidelijk zichtbare privacyverklaring op je website staan
  • Personen van wie je gegevens verwerkt moeten je daar toestemming toe gegeven hebben
  • De personen van wie je de gegevens hebt verwerkt hebben het recht om hun persoonsgegevens in te zien, aan te passen en te kunnen verwijderen
  • Je moet bewerkersovereenkomsten hebben met alle partijen die voor jou persoonsgegevens verwerken
  • De personen van wie je gegevens hebt verwerkt, hebben het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

Best een lijstje dus met eisen waar je aan moet voldoen, maar hoe pak je dit aan en hoe zorg je er voor dat ook jouw Magento webshop op 25 mei veilig is voor de nieuwe privacywet? Dit stappenplan biedt je een helpende hand om ook jouw webwinkel te laten voldoen aan de AVG.

Stap 1: Je privacyverklaring vernieuwen

Je hebt om aan de AVG te voldoen hoogstwaarschijnlijk een nieuwe privacyverklaring nodig, want er zijn wat algemene gegevens opgenomen in de privacywet die in deze verklaring aan bod dienen te komen; opgedeeld in algemene informatie en zaken die in sommige gevallen moeten worden opgenomen in de privacyverklaring. Wanneer je bent aangesloten bij een keurmerk, dan zou het kunnen dat het keurmerk hier een ondersteunende rol in speelt en je hier verder mee kan helpen. Zo heeft in elk geval thuiswinkel.org een privacy policy generator voor alle aangesloten leden. Heb je jouw organisatie niet aangesloten bij een keurmerk, dan is het wellicht handig om een jurist in te schakelen voor advies.

Algemene informatie die in de privacyverklaring moet worden opgenomen

  • Identiteit; Dit is bijvoorbeeld je bedrijfsnaam, zoals deze is ingeschreven bij de KvK en de bijbehorende contactgegevens
  • Doeleinden en rechtsgronden voor de verwerking;  Een doel kan bijvoorbeeld een marketingdoel zijn zoals het versturen van nieuwsbrieven, of het uitvoeren van de overeenkomst. Alle doeleinden moeten worden beschreven. De rechtsgronden zijn bijvoorbeeld een wettelijke verplichting, toestemming of uitvoering van een overeenkomst.
  • Wanneer de verwerking van persoonsgegevens een contractuele of wettelijke verplichting of noodzakelijke voorwaarde is, ben je verplicht te melden wat de gevolgen zijn van het niet verstrekken van de persoonsgegevens.
  • Duur van de opslag;  De criteria die bepalen hoe lang de persoonsgegevens worden opgeslagen dien je te beschrijven of hoe lang de gegevens worden bewaard.
  • Recht op inzage, rectificatie en het wissen van de verzamelde persoonsgegevens.

Informatie die in sommige gevallen in de privacyverklaring moet worden opgenomen

  • Wanneer er sprake is van profiling of geautomatiseerde besluitvorming, dan dien je te vermelden waarom dit wordt gedaan en wat de verwachte gevolgen hiervan zijn.
  • Contactgegevens van de Functionaris Gegevensbescherming wanneer die binnen jouw organisatie is aangesteld.
  • Ontvangers van de persoonsgegevens of categorieën daarvan; Wanneer je de persoonsgegevens met derde partijen deelt, of bijvoorbeeld gebruikt om op te slaan in SaaS-oplossingen, dan moet je dit vermelden in je privacyverklaring. In sommige gevallen volstaat het om hierbij alleen de categorie te vermelden (zoals bijvoorbeeld ‘betaaldiensten’), maar in de meeste gevallen zul je de specifieke partij in je privacyverklaring moeten benoemen.
  • Staan je servers in een ander land? Dan moet je ook dat in je verklaring opnemen. Wanneer gegevens aan ‘derde landen’ worden verstrekt, moet je aangeven of dit land adequaat is verklaard (dat zijn de landen binnen de EU op dit moment wel) of dat er andere passende maatregelen zijn getroffen. Wat hierbij van belang is, is dat er in een ander land niet op een makkelijkere manier mag worden omgegaan met de persoonsgegevens.
  • Heb je persoonsgegevens met toestemming verkregen? Dan moet je in je verklaring vermelden dat deze toestemming ook mag worden ingetrokken.

Zijn de gegevens niet van de betrokkene zelf verkregen?

  • Vermeld dan ook de bron waar deze persoonsgegevens vandaan komen in je privacyverklaring, ook wanneer deze gegevens uit een openbare bron komen.

Stap 2: Je privacyverklaring publiceren op een eigen pagina

In de nieuwe privacywet staat vermeld dat de privacyverklaring voor al je gebruikers eenvoudig te vinden moet zijn. Dit betekent dat je jouw verklaring een eigen pagina moet geven, met een linkje in de footer van je website en eigenlijk ook op alle locaties waar je persoonsgegevens verzamelt, dus bijvoorbeeld bij je contactpagina of in je checkout.

Stap 3: Gebruik Google Analytics geanonimiseerd

Google AnalyticsHeb je geen goede cookiemelding, dan is het belangrijk om Google Analytics geanonimiseerd te gebruiken. Afhankelijk van hoe je dit hebt ingesteld, gebruikt Google deze data namelijk zelf ook voor uiteenlopende doeleinden. Ook is het mogelijk om de gebruiker te tracken door een User ID. Analytics maakt gebruik van IP-adressen en deze adressen zijn weer te herleiden naar personen, dus dat is niet anoniem. De Autoriteit Persoonsgegevens heeft een handige handleiding opgesteld waarin precies wordt uitgelegd hoe je Google Analytics kunt anonimiseren. De optie om remarketing toe te passen vervalt wel na deze instelling, dus wanneer je hier wel gebruik van wilt blijven maken, dan ben je verplicht om je bezoeker de cookies van je webshop te laten accepteren.

In je cookie melding moet terug te vinden zijn dat de cookies waar je gebruik van maakt pas geplaatst worden wanneer:

  • Men heeft aangegeven hier akkoord mee te gaan of wanneer ze verder navigeren op je website. Veel partijen kiezen hierbij voor de laatste optie.

Stap 4: Beveiliging van je Magento Webshop

Beveiliging van de opslag en verwerking van gegevens staat centraal in de nieuwe privacywet en dat zorgt ervoor dat het hebben van een SSL-certificaat vanaf 25 mei 2018 verplicht is. Door gebruik te maken van een SSL-certificaat, worden de gegevens versleuteld verzonden.

SSL certificaat weergave

Naast het hebben van een SSL-certificaat, ben je ook verplicht om er voor te zorgen dat de laatste beveiligingsupdates van plugins, de gebruikte software en de server volledig uitgevoerd en up-to-date zijn.

Stap 5: Communiceer duidelijk welke gegevens je verzamelt

Omdat je nu verplicht bent duidelijk aan te geven waar je gegevens voor gebruikt, moet je op het moment dat een gebruiker persoonsgegevens achterlaat op je Magento webshop duidelijk maken waarom je deze gegevens nodig hebt en hoe je deze gaat gebruiken. Verwijs dan ook altijd naar de privacyverklaring die je op jouw webshop hebt staan. 

Schrijft iemand zich bijvoorbeeld in voor je nieuwsbrief? Vermeld hier dan bij waar ze zich voor inschrijven, hoe vaak je de nieuwsbrief verstuurt en dat je gebruiker er eenvoudig, wanneer hij/zij maar wil, zich weer uit kan schrijven van je nieuwsbrief (de zogeheten opt-out). De opt-in moet daarbij een bevestigende, duidelijke actie zijn dus verwijs ook bij alle opt-ins naar je privacyverklaring.

Stap 6: Het recht om te worden vergeten 

Gebruikers hebben vanaf de ingang van de nieuwe wetgeving het recht om vergeten te worden. Je moet er voor zorgen dat profielen en accounts zo makkelijk mogelijk in te zien zijn, aan kunnen worden gepast of verwijderbaar zijn. Gebruikers die een account hebben op je Magento Webshop kunnen zelf al een aantal van deze gegevens inzien en wijzigen. Wanneer je voor je mailings gebruik maakt van bijvoorbeeld MailChimp, dan kan de gebruiker via MailChimp zelf zijn gegevens wijzigen. Dit zie je altijd terug in de footers van de nieuwsbrieven waar iets staat in de trant van ‘Wijzig jouw profiel’. 

Je gebruiker moet zich ook af kunnen melden voor data profilering. Data Profilering betekent dat je jouw doelgroep op kunt delen in groepen, waardoor je een beter toegespitste boodschap kunt overbrengen met een hogere kans op conversie. Wanneer je gebruiker aangeeft dit niet te willen, moet je dit ook honoreren. 

Het recht om vergeten te worden geeft de gebruiker, zoals het waarschijnlijk al deed vermoeden, het recht om al zijn of haar gegevens uit je systemen te laten verwijderen. Het is dan ook van belang dat je in je privacy verklaring opneemt hoe mensen deze gegevens kunnen inzien, maar dus ook hoe ze deze kunnen verwijderen.

Stap 7: Legale lijsten

Alle email opt-ins moet je ‘registreren’. Dit betekent dat je achteraf moet kunnen aantonen hoe je aan de e-mail adressen bent gekomen en waar de eigenaar van dat e-mail adres toestemming voor heeft gegeven. Je moet hierbij dus onderscheid maken tussen een e-mail adres dat je hebt verkregen doordat iemand een bestelling bij je heeft gedaan en tussen een e-mailadres dat je op een andere manier, bijvoorbeeld via een pop-up hebt verkregen. 

Klanten met wie je een betaalrelatie hebt mag je wel gewoon zonder een actieve opt-in een mail sturen over soortgelijke diensten en producten, maar wanneer je van je huidige klantenbestand niet kunt aantonen hoe je aan de adressen komt en waar ze wel/geen toestemming voor hebben gegeven, dan is het een goed idee om deze lijst een mail te sturen met daarin de opt-in voor je uiteindelijke e-maillijst. De mensen die zich hier op aanmelden mag je mailen, de rest niet meer.

Stap 8: Bewerkersovereenkomsten

Met alle partijen die toegang hebben tot de persoonsgegevens die je via je Magento Webshop verzamelt, heb je een bewerkersovereenkomst nodig. Dit wordt ook wel de DPA (Data Processing Agreement) genoemd. Misschien wel het lastigste punt van deze hele nieuwe wetgeving, maar nieuw is het niet. Er worden strenge controles aangekondigd en er zijn wat verplichte zaken bijgekomen. 

Deze bewerkersovereenkomst moet je bijvoorbeeld afsluiten met partijen zoals MailChimp, Google Analytics, je programmeur, je hostingpartij enzovoorts. Deze bewerkersovereenkomst geeft een garantie dat de rechten van personen worden beschermd en gewaarborgd. Wanneer er dan problemen ontstaan, kan een verwerker hier aansprakelijk en verantwoordelijk voor zijn. Justitia heeft goede voorbeelden van bewerkersovereenkomsten.

Stap 9: Vastleggen hoe lang je persoonsgegevens bewaart

Hoe lang bewaar je data?Je moet in je verklaring opnemen hoe lang je de verzamelde persoonsgegevens bewaart. Je mag deze gegevens eigenlijk niet langer bewaren dan noodzakelijk is voor het doel van je verwerking, maar deze termijn kan behoorlijk worden uitgerekt wanneer je hier statistische doeleinden voor hebt. Wanneer je bijvoorbeeld onderzoek doet naar je gebruiker of je statistieken wilt opbouwen. Belangrijk dat je dit wel goed hebt beschreven in je privacyverklaring, maar dit punt is nog een grijs gebied en het is dus belangrijk om de berichtgeving hierover goed in de gaten te houden!

De AVG nog even in het kort

Om met je Magento Webshop aan de nieuwe AVG te voldoen, moet je de volgende punten oppakken:

1. Vernieuw je privacyverklaring met tenminste de volgende gegevens:

  • Je bedrijfsgegevens
  • Doeleinden (reden van de verwerking van de persoonsgegevens)
  • Persoonsgegevens (welke persoonsgegevens verwerk je)
  • Recht van toestemming
  • Recht op inzage, aanpassing en verwijdering
  • Beveiligingsmaatregelen
  • Cookies

2. Publiceer je Privacy verklaring op een duidelijk zichtbare plek op je webshop

3. Anonimiseer Google Analytics of licht het gebruik zeer duidelijk toe

4. Houd je beveiliging up-to-date en zorg voor een SSL-certificaat

5. Wees duidelijk over welke gegevens je verzamelt

6. Het recht om vergeten te worden, maar ook het aanpassen en inzien van de persoonsgegevens

7. Maak gebruik van legale lijsten bij het versturen van mailings

8. Zorg voor bewerkersovereenkomsten met alle partijen die de persoonsgegevens in kunnen zien

9. Leg duidelijk vast hoe lang je persoonsgegevens bewaart en communiceer dit naar de eindgebruiker

Ben jij met je Magento Webshop al klaar voor de Algemene Verordening Gegevensbescherming? Neem voor zaken waar je over twijfelt een jurist in de hand, dan weet je zeker dat jouw shop goed is voorbereid.