First things first: wat is de GDPR en waarom wordt deze doorgevoerd?
De AVG is de nieuwe privacyverordening van de Europese unie, waarin regels zijn geformuleerd omtrent het beschermen van persoonsgegevens. De inhoud van de wet zelf is niet zozeer nieuw, maar staat pas echt in de schijnwerpers sinds er boetes mee gemoeid zijn. Het zal velen dan ook weinig verrassen dat - ondanks dat 80 procent van de regels al langer bestond - veel bedrijven nu pas actie ondernemen om privacy serieuzer te nemen en GDPR-proof te worden.
Tip: liever een video zien over dit onderwerp? Bekijk dan deze webinaropname
Waarom wordt de GDPR doorgevoerd?
In principe zitten er twee belangrijke drijfveren achter de GDPR. In eerste instantie is ze bedoeld om de wetgeving te versimpelen en mensen de macht over hun gegevens terug te geven. Tot nu toe verschilden de privacy-regels namelijk nog per lidstaat. ‘Bewustwording’ is de tweede drijfveer; webshops (en andere bedrijven) bezitten veel persoonsgegevens van hun klanten/bezoekers, en dienen hier zorgvuldiger mee om te springen. En die befaamde boete? Die is bedoeld om deze bewustwording te versnellen. Overigens is de boete niet voor iedere overtreding even hoog.
Wat verandert er dan wel?
Twee belangrijke verschillen ten opzichte van vroeger zijn enerzijds dat de betrokkenen meer rechten krijgen én dat webshops anderzijds zelf meer administratieve plichten krijgen. Voorheen lag deze taak bij de overheid, nu moet de markt het zelf inregelen. Uiteraard helpt dit ook weer extra mee met een stukje bewustwording.
Kortom; bezoekers krijgen extra rechten als het gaat om hun gegevens:
- Recht op informatie – Waarvoor verwerkt* jouw webshop hun gegevens?
- Recht op inzage – Welke gegevens heb je in je bezit?
- Recht op correctie – Je bezoeker mag vragen om hun gegevens te verbeteren of aan te passen
- Recht op vergetelheid – Je klant mag eisen dat je zijn of haar gegevens verwijdert
- Recht op dataportabiliteit – Je klant mag je vragen om de door jouw verzamelde gegevens naar een ander bedrijf te sturen.
* Opgelet: met ‘verwerken’ wordt niet enkel gedoeld op het ‘gebruiken’ van gegevens; alleen al het bekijken of zelfs het ongelezen verwijderen van gegevens valt onder verwerken.
Deze wetten zijn van kracht op 25 mei 2018, dus de belangrijkste voorzorgsmaatregelen dienen al getroffen te zijn.
Op welke webshops heeft de GDPR impact?
De GDPR is van toepassing op alle webshops binnen de EU. Ook wanneer je webshop zich buiten de EU bevindt kun je met deze wet te maken krijgen. Bijvoorbeeld als je jouw producten aanbiedt aan Europeanen vanuit een niet-Europees land, of wanneer je vanuit zo’n land structureel data van Europeanen verwerkt om je doelgroep te profileren.
Ook is het belangrijk om te beseffen dat de ‘standplaats’ van je developers en verwerkers eveneens meetelt. Zijn zij gevestigd buiten de Europese Unie, maar hebben zij wel toegang tot EU-gegevens, dan zul je dus extra maatregelen moeten nemen. Door deze partijen de zogenaamde ‘EU Model Clauses’ te laten ondertekenen kun je erop toezien dat het goed zit met de import en de export van de persoonsgegevens. Hetzelfde geldt voor je leveranciers; zorg ervoor dat je samenwerkt met internationale leveranciers die GDPR-proof zijn.
Welke veranderingen heeft Magento doorgevoerd om GDPR-proof te worden?
Wil je boetes voorkomen, dan is het een belangrijke randvoorwaarde dat je weet wat je meet. Magento heeft daarom geïnventariseerd welke persoonlijke informatie er op welke locatie wordt opgeslagen. Bij verwijderingsverzoeken kunnen developers met deze informatie aan de slag. Het overzicht van Magento’s opslaglocaties van persoonsgegevens kun je (voor zowel Magento 1 als Magento 2) terugvinden op de documentatiewebsite voor developers.
Hoe zit het met het recht van bezoekers om de verzamelde informatie op te vragen?
De privacyregelgeving stelt dat bezoekers de gegevens die je over hen hebt verzameld mogen opvragen. Wat betekent dit wanneer je e-commerceplatform op Magento draait?
Op de documentatiewebsite uit de vorige vraag kun je exact terugvinden waar welke informatie is opgeslagen in je Magento-webshop. Je developmentteam kan deze informatie vervolgens voor je tevoorschijn halen. Ook kunnen ze de gegevens aanpassen of verwijderen, mocht je klant hierom vragen. Draait jouw webshop via Magento’s Cloud op Magento Commerce? In dat geval kun je ook aan Magento’s officiële support-team vragen om dit voor je te doen.
Hoe gaat Magento om met opt-ins?
Tijdens het opzetten van een webshop-account voeren je klanten persoonlijke informatie in. Deze persoonlijke informatie mag je niet zomaar inzetten voor getargete reclames. Schrijft iemand zich dus in voor de nieuwsbrief, dan kun je niet zonder expliciete toestemming zijn of haar gegevens gebruiken voor een retargetingcampagne. Hiervoor zal diegene eerst moeten instemmen via een opt-in.
Maakt je klant of bezoeker geen account aan? Dan wordt er alleen maar informatie verzameld over zijn of haar actieve bezoekerssessie.
Magento Commerce slaat langetermijncookies op, op het gebruikte apparaat van je bezoekers. Deze cookies bevatten anonieme (!) informatie over de onderstaande thema’s:
- (De inhoud van) het winkelwagentje
- Producten die op dat moment worden vergeleken
- Geschiedenis van producten die vergeleken zijn
- Recent bekeken producten
- Informatie m.b.t. segmentatie en gebruikersgroepen waartoe de bezoeker behoort
Wil je deze gegevens niet verzamelen, dan kun je deze functie op winkelniveau uitschakelen.
Hoe zit het met de extensies die ik heb gekoppeld aan Magento, zijn die wel GDPR-proof?
De extensies op bijvoorbeeld Magento’s Marketplace zijn het eigendom van hun ontwikkelaars. Schaf je een extensie aan, dan ga je dus automatisch in zee met een derde partij. Zo’n extensie kan ervoor zorgen dat je onbewust persoonlijke informatie opslaat in Magento, dus het is belangrijk dat je op de hoogte bent van het bijbehorende databeleid – en om te weten of dit beleid wel GDPR-proof is.
Magento verplicht vanaf 25 mei alle extensieleveranciers om hun privacybeleid te vermelden, zodat je in ieder geval niet lang hoeft te zoeken naar hun beleid.
Over (gebundelde) white labels
Maak je gebruik van ge-whitelabelde Magento-extensies (zoals Magento Shipping en Magento Social)? Dan weet je zeker dat je goed zit. Magento ziet er namelijk op toe dat deze GDPR-proof zijn. Er bestaan ook gebundelde extensies die geen white label dragen. In dit geval sluit je je contract af met bijvoorbeeld e-mailsoftwareleverancier dotmailer, maar wordt het bijbehorende beleid alsnog getoetst op GDPR-vriendelijkheid.
Wat moet je zelf doen?
Om aan de AVG te voldoen moet je diverse stappen ondernemen. Zo zul je bij niet-functionele cookies moeten vragen om toestemming en is het belangrijk dat je privacyverklaring leesbaar, begrijpelijk én makkelijk vindbaar is. Ook zul je een verwerkingsregister moeten opstellen, waarin gedocumenteerd staat waar en welke informatie opgeslagen is (en voor hoe lang dat is). Verkoop je in je webshop 18+-artikelen, dan is een leeftijdscheck verplicht.Vergeet ook niet om bij je leveranciers te informeren naar de GDPR-maatregelen die deze treft. In veel gevallen zal deze provider zelf een verwerkingsovereenkomst hebben opgesteld, zodat alle neuzen de goede kant op staan. Bespreek het doorvoeren van GDPR-aanpassingen vooraf met je bedrijfsjurist, zodat je goed beslagen ten ijs gaat.
Tip: wil je meer informatie over de rol van GDPR voor webshops? Onlangs gaf Michelle Wijnant van ICTRecht een webinar over dit onderwerp, die je gratis bij ons kunt terugkijken.
![[Video] Deze conversieboosters zijn onmisbaar voor een succesvolle Magento 2 webshop](https://www.ism.nl/hubfs/ISM%20blogs%20content/Conversie/mobusop_banner_social.png)
![[Video] Magento Commerce: zo behaal je meer succes door de inzet van gepersonaliseerde acties](https://www.ism.nl/hubfs/ISM%20blogs%20content/Magento/magvb_snippet.png)