AVG / GPDR en Magento – de checklist voor webshop-eigenaren

Nog een goede maand vanaf nu. Met ingang van 25 mei 2018 zullen we er met elkaar naar moeten handelen: de nieuwe regelgeving van de Algemene Verordering Gegevensbescherming (AVG) of GDPR (General Data Protection Regulation (GDPR). Dit is een mooie gelegenheid om je data(verzameling) op orde te brengen en jezelf eens te evalueren. We hebben natuurlijk ook vanuit webshop-perspectief rekening te houden met de veranderende wetgeving en hoewel er veel over geschreven en te vinden is, toch ook voor de specifieke case van een webshop deze post.

We hebben even gewacht met het doorlezen, verzamelen en publiceren van alle informatie, zodat we datgene wat we op een rijtje zetten ook goed hebben kunnen checken. Op zich kunnen we stellen dat wanneer je nu de actiepunten doorneemt en inventariseert, dan heb je als Magento webshop-eigenaar nog tijd om je maatregelen te treffen, tenzij het nu 24 mei 2018 is. Dán moet je een goed nachtje doortrekken, maar ook dan is het te overzien.

In ons geval kijken wij dus met name naar onze klanten met webshops en dan specifiek Magento. Ook onze klanten met uitgebreidere websites die persoonsgegevens verwerken en de klanten die gebruik maken van e-mail marketing, krijgen uiteraard te maken met deze nieuwe Europese wetgeving. In dit bericht gaan we specifiek in op de situatie met Magento, waarbij Magento 1 of Magento 2 niet heel veel uitmaakt.

Intuïtief zul je een hele hoop dingen al goed doen en dat zul je ook constateren wanneer je een en ander eens goed tegen het licht houdt, maar toch is het goed om heel zorgvuldig te kijken, want de handhaving zal strenger worden dan dat we eerder meemaakten bij de zogenaamde “cookie-wetgeving” in 2012. Privacy en security is een thema van de toekomst en zo maken wij zelf ook continue afwegingen om toekomst-bestendig te zijn. Webshops met klant-data zul je bij ons bijvoorbeeld niet tegen komen op development-omgevingen en zo geldt ook voor jou, als webshop-eigenaar, dat je hier desalniettemin serieuze verantwoording voor draagt en je er met je partners naar moet handelen.

We leggen uit wat AVG/GDPR is, welke acties je mogelijk als Magento webshop-eigenaar te doen hebt en geven wat meer achtergrond-informatie over deze wetgeving.

Direct actie? Check dan onze voorbeeld privacy verklaring voor Magento.

AVG en het doel van AVG/GDPR in het kort uitgelegd

Heel kort gezegd komt het er vooral op neer dat je strict beleid moet maken over met name de opslag van persoons-data (gegevens zoals naam, adres, e-mail adres, maar ook zaken zoals het IP adres, cookie data, etc.).

Welke data vraag je van je klanten, bewaar je deze data, zo ja; hoe en waar, voor hoe lang, maar ook vooral met welk doel?

Dát is natuurlijk wel heel kort, maar het is uiteraard meer dan dat. Wij focussen met name op ons deel, het technisch juist opzetten van de (Magento) webshops voor onze klanten, maar andere gebieden waarvoor je AVG/GDPR goed onder de loep genomen moet zijn:

  • je afdeling klantenservice, want welke gegevens vraag je klanten eigenlijk met je te delen?
  • je financiële afdeling, want over het algemeen is het goed om de gegevens van klant-transacties ook goed aan je klant te (kunnen) verstrekken, maar is dat ook echt alleen het hoognodige?

Wanneer je je voorneemt om bij iedere data-opslag beslissing je klant heel helder uit te leggen waarom je dit opslaat en hoe lang je denkt dat je het moet opslaan en waarom het in het belang van je klant is, dan zul je merken dat je het al snel goed blijkt te doen.

Algemene AVG-acties voor iedere organisatie

  • Breng eens in kaart waar alle data binnen je organisatie zich bevindt en maak een helder overzicht van wat je waar hebt opgeslagen en wie het eventueel in beheer heeft.
  • Neem alle externe die uit bovenstaande stap naar voren komen eens onder de loep. Heel simpel de vraag stellen of je relatie kan aangeven wat er inzake AVG en de in kaart gebracht risico’s gedaan word, kan al heel verhelderend en wellicht geruststellend zijn.
  • Kijk voor alle data die je bewaart of er mogelijk een “managed oplossing” mogelijk is, zodat de kwaliteit van je beveiliging en het beheer gemiddeld meer gewaarborgd is dan bij gebruik van eigen systemen.
  • Communiceer over je acties binnen je organisatie, zodat de betrokkenheid en vooral het bewustzijn ook vergroot wordt. In de kern worden er betere keuzes gemaakt wanneer er binnen de hele organisatie het bewustzijn en van daaruit de behoefte om correct met data om te gaan wordt vergroot. Een training kan natuurlijk ook, maar een stukje heldere communicatie hoeft niet heel ingewikkeld te zijn.

Zijn er Magento-specifieke eisen inzake AVG?

Voordat je weet wat je te doen staat is het natuurlijk goed om de belangrijkste actie-punten te kennen. Als merchant, webshop-eigenaar, ben je niet slechts een gebruiker van Magento maar een echte zogenaamde “data-controller“. Zie verderop in deze post voor een toelichting voor wat een data-controller precies is.

Voor de nieuwe klanten, waarvoor wij Magento 2 shops ontwikkelen, passen we uiteraard de specifieke wetenschap over deze regelgeving toe, maar ook je bestaande webshop verdient wellicht wel een update.

Als Magento-webshop eigenaar ben je zoals gezegd geen zogenaamde data-processor, maar een data-controller. Om te voldoen aan de verplichtingen als ‘data-controller’ zijn er niet direct aanpassingen nodig aan het platform. Magento biedt standaard al een beveiliging die voldoet, maar Magento is tegelijkertijd wel bezig om Magento webshop-eigenaren inzicht te geven in welke data waar wordt opgeslagen. Dit document kan je tezijnertijd met je klanten delen.

De (Magento) actie-punten op een rijtje

Onderstaand zie je een kort overzicht, waarbij we zo helder mogelijk de mogelijke actie-punten op een rijtje zetten. Deze stappen zijn geen juridisch advies, het is slechts een interpretatie van datgene wat wij nu, op dit moment, weten. De uitgebreidere toelichting zul je vinden op de website van de autoriteit persoonsgegevens (lees deze ook zeker door voor een goed begrip) en de stappen verderop in dit bericht.

1. Werf actieve toestemming van je gebruikers

Voor het opslaan van persoonlijke gegevens heeft een Magento webshop toestemming nodig die actief door de gebruiker gegevens wordt. Uiteraard moet deze informatie duidelijk zijn, zoals in eerdere cookie-wetgeving ook vereist werd, en mag deze informatie niet “verstopt” zijn.

Magento kent de cookie-melding om gebruikers te informeren en de informatie is in Magento beheersbaar, dus kan ook de webshop-eigenaar of onszelf geüpdatet worden om toestemming te vragen van de gebruiker. Ons advies is om hier zo uitvoerig mogelijk te zijn en als het even kan, nog meer te vertellen dan je verplicht bent.

2. Zorg voor zo min mogelijk gevolgen voor je klant bij diefstal van gegevens

Uiteraard wil je voorkomen dat er wordt ingebroken op je server of in je webshop, maar als het al gebeurt, dan dient het effect zo minimaal mogelijk te zijn. Bijvoorbeeld door versleuteling van gegevens en het niet gebruiken van directe referenties.

  • Zorg dat je ontwikkelaar het ontwikkelproces op orde heeft en veiligheid van gegevens daarbij duidelijk in acht neemt. 
  • Overweeg eventueel het scheiden van data-bases, zodat verbanden minder makkelijk te leggen zijn en eventueel buitgemaakte persoongegevens slechts fragmenten kunnen zijn.
  • Zorg dat versleuteling van gegevens op hoog niveau zijn, een standaard hash van Magento voldoet aan deze eisen en wachtwoorden zijn daarmee voldoen versleuteld.

3. Zorg dat je klant ten alle tijde toegang heeft tot haar gegevens

Als een klant hierom vraagt, moet het mogelijk zijn om alle informatie welke je hebt opgeslagen aan je klant te verstrekken.

In het geval van een magento webshop is het momenteel mogelijk alle informatie uit het systeem te exporteren. Het kan helaas standaard niet geautomatiseeerd, maar deze informatie kan goed handmatig worden verschaft.

4. Zorg dat je, wanneer de klant dat vraagt, gegevens binnen een maand kunt verwijderen

Als een klant hierom vraagt, moet het mogelijk zijn om alle informatie welke je hebt opgeslagen aan je klant uit Magento (en eventuele andere systemen) te verstrekken en verwijderen.

Standaard is het mogelijk om een ​​klant volledig te verwijderen. Klantenservice kan dit handmatig doen. Het is niet mogelijk om bestelinformatie te verwijderen.

5. Wees je bewust van bewaarplicht voor data-transacties buiten de EU

Wanneer een bedrijf groter is dan 250 personen, moet alle informatie die naar andere bedrijven of naar buiten de EU wordt verzonden worden bewaard.

  • Bij gebruik van een payment-service providers kunnen wij gegevens van dit soort transacties leveren.
  • Via de order comments van Magento, is het ook mogelijk om informatie over de transacties bij te houden.
  • Bij data-uitwisselling via de API is er een uitgebreid (beveiligd) logging-systeem om zogenaamde logs te bewaren.

6. Zorg voor een opt-in met betrekking tot het gebruik van persoonsgevens in combinatie andere services

Denk bijvoorbeeld aan re-marketing of een het bieden van up-sells op basis van eerder gekochte producten. Dit mag wel, maar niet zonder actieve toestemming. De zogenaamde opt-in, die we ook wel kennen voor e-mail marketing.

Dit is standaard niet in Magento geïntegreerd. Wil je deze gegevens toch graag blijven verzamelen, dan moet je dus actief om toestemming vragen. Daarbij zijn wij in staat om een actief opt-in proces te integreren.

7. Zorg dat ook je leveranciers voldoen aan de nieuwe vereisten die gesteld worden aan de rol van Data-Processor

Zo moet je webshop bijvoorbeeld worden gehost op een server van een organisatie die aan de eisen van Data Processor voldoet. Uiteraard toetsen wij of de hosting-bedrijven of partijen voor e-mail marketing, waarmee wij zaken doen, zich houden aan de AVG-regelgeving.

8. Communiceer en wees transparant naar de gebruikers van je webshop

Niet echt een Magento-actiepunt, maar als Magento webshop-eigenaar gebruik je waarschijnlijk een aantal externe services; voor hosting, het afhandelen van betaalverkeer, het versturen van je e-mails, etc. etc. Vertel je gebruikers welke services je gebruikt, bijvoorbeeld op je pagina over privacy. Dit zodat zij ook zelf mogelijk kunnen bepalen of dit allemaal AVG-proof gebeurt. Uiteraard moet de verwerkers-overeenkomst met de service die je gebruikt aanwezig zijn.

Conclusie voor Magento webshop-eigenaren

Magento is in de basis zeer goed voorbereid op deze nieuwe wetgeving, de vereisten liggen met name in je proces en beleid, maar het is zeker goed om je leveranciers te toetsen. Loop bovenstaande actiepunten na en zorg dat je hele organisatie een hoog bewustzijn heeft over de wijze waarop wordt omgegaan met data.

In de toekomst zullen wij onze processen en techniek voor onze Magento webshops waarschijnlijk nog wel uitbreiden. Zo zijn wij bezig met functionaliteit die het mogelijk maakt dat een klant zelf haar data kan inzien én verwijderen waarbij wij een beheersbare “retention-time” voor de webshop-eigenaar mogelijk maken. Volg ons via één van onze kanalen om op de hoogte te blijven.

 


Voor wie nog niet uitgelezen is: de AVG-begrippen op een rijtje

Voor de geïnteresseerden hebben we hieronder een aantal begrippen op een rijtje gezet en in jip-en-janneke-taal toegelicht. Het is een verzameling van diverse bronnen, maar wil je juridisch juist zitten, bekijk dan vooral de website van de autoriteit persoonsgegevens.

De volgende zaken lichten we nader toe:

  1. de verschillende rollen ten opzichte van AVG
  2. het begrip persoonlijke informatie en AVG
  3. toelichting voor de definitie van internationale bedrijven en AVG
  4. toelichting voor schendingen van AVG wetgeving
  5. toelichting op mogelijke sancties
  6. toelichting op het begrip gegevensminimalisatie
  7. toelichting op het begrip pseudonimisering
  8. aanmelding registratie persoonsgegevens

Je kunt ook de AVG regelhulp van RVO gebruiken om de eerste stappen te zetten.

1. AVG en het begrip van de verschillende rollen

In het kader van opslag gegevens zijn er een aantal spelers te zien.

1.1 Klant/consument

  • De natuurlijke persoon is de rechtmatige eigenaar van de persoonlijke gegevens en niet de organisatie die deze in bezit heeft (EU)

1.2 De data-controller, gegevens-beheerder (de eigenaar van de applicatie)

  • De organisatie die gegevens verzamelt
  • Bepaalt het doel, stelt een middel in om persoonlijke gegevens te verwerken

1.3 Data processor (Hosting)

  • Verwerkt gegevens namens de gegevensbeheerder
  • Diensten zoals cloudproviders
  • De processor heeft directe wettelijke verplichtingen
  • Kan verplicht worden voor het afstaan van gegevens

1.4 Functionaris voor gegevensbescherming:

  • De functionaris voor de gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp).
  • organisaties zijn in een aantal gevallen verplicht om een FG aan te stellen. De bewaarplicht is van toepassing op een onderneming of een organisatie met meer dan 250 werknemers.

2. AVG en het begrip persoonlijke informatie

De informatie die betrekking heeft tot het identificeren van een natuurlijke persoon.

2.1 Het verschil tussen “persoonlijke gegevens” en “gevoelige persoonlijke gegevens” in het kader van AVG.

We kennen normaal persoonlijke gegevens zoals NAW-gegevens, maar ook gevoelige persoonlijke gegevens zoals ras, filosofische overtuigingen en gezondheid. Voor het gebruik dient actief toestemming te worden gegeven.

2.2 De toestemming geven voor (gebruik van) persoonlijke gegevens

  • De persoon moeten toestemming geven zonder hiervoor benadeeld te worden, bijvoorbeeld het niet hebben van enig voordeel zoals een kortingscode.
  • De toestemming moet te begrijpen zijn
  • Het moet duidelijk zijn voor welk doel de gegevens worden gebruikt
  • Het moet duidelijk zijn dat je echt toestemming geeft

Onder de 18 jaar, dient er toestemming van een ouder of voogd te zijn.

2.3 AVG en het recht van toegang

Een persoon kan bevestiging over en toegang krijgen tot welke persoonsgegevens worden gebruikt.

2.4. AVG en het recht tot verwijderen van gegevens

  • Een persoon moet kunnen bepalen dat en welke persoonsgegevens worden gewist.
  • Persoonlijke gevoelige gegevens mogen niet langer worden bewaard dan nodig.

3. AVG en het begrip internationale bedrijven

AVG richt zich met name op klanten binnen de EU, daar het hier ook gaat om Europese regelgeving. EU wetgeving zegt hier het volgende over:

“This Regulation applies to the processing of personal data of Data Subjects who are in the Union by a controller or processor not established in the Union”

Wanneer de aangeboden diensten niet specifiek op EU zijn gericht, dan hoeft er niet aan de AVG regelgeving te worden voldaan.

4. AVG en het begrip schendingen van de wetgeving

EU wetgeving zegt hier het volgende over:

“As soon as the controller becomes aware that a personal breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and where feasible, not later than 72 hours after having become aware of it.” —Article 33, paragraph 1

Wanneer er gegevens zijn gestolen óf er een security-breach/datalek geconstateerd is, is er de verplichting om dit te melden en een aantal gegevens te verstrekken bij het melden aan de autoriteiten.

  • Aangeven welke soort gegevens het betreft;
  • Een schatting van het aantal betrokken personen;
  • De mogelijke consequenties als gevolg van de gebeurtenis;
  • Het benoemen van maatregelen om de schade te beperken.

Alle schendingen van persoonlijke gegevens moeten worden gemeld.

5. AVG en mogelijke sancties

Wanneer er gegevens zijn geschonden, kan er een boete worden opgelegd. EU wetgeving zegt hier het volgende over:

“A fine up to €20M or 4% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater.”

Het moet gezegd worden dat dit de zwaarst mogelijk boete is. In de praktijk zullen er ook kleinere boetes worden uitgedeeld als er niet aan de verplichtingen wordt voldaan.

  • Waarschuwingen: in gevallen van een eerste en niet-opzettelijke niet-naleving;
  • Periodieke audits: regelmatige audits van de autoriteit bescherming persoonsgegevens;
  • Kleinere boetes: tot € 10 miljoen of 2% van de bruto wereldwijde omzet

6. AVG en het begrip gegevensminimalisatie

EU wetgeving zegt hier het volgende over:

“Personal data shall be adequate, relevant an limited to what is necessary in relation to the purposes for which they are processed.”

Het gaat hier om zogenaamde “Security by Design” waarbij het je doel is om data ten allen tijde zo goed mogelijk te beschermen. AVG wil bewustwording creëeren door vragen te stellen bij keuzes in het opslaan van persoonsgegevens, daarbij zijn de volgende vragen zinvol:

  • Welke gegevens sla je op?
  • Hoe lang sla je gegevens op?
  • Waar sla je gegevens op?
  • Welk doel heeft het opslaan van gegevens?

7. AVG en het begrip Pseudonimisering

Pseudonimisering is het begrip voor een methode om ervoor te zorgen data opgeslagen zo min mogelijke directe referenties en verminderde leesbaarheid heeft, waardoor de mogelijke schade bij schending van persoonsgegevens dus verminderd. Denk aan de volgende zaken.

  • Opgeslagen gegevens moeten versleuteld worden, zo worden de personen niet (snel) benadeeld omdat er zogenaamde private keys nodig zijn om gegevens te ontsleutelen. In onze optiek moet uitwisseling van gegevens op ieder moment versleuteld zijn, niet alleen bij transacties in het afreken-proces.
  • Gegevens moeten worden gehashed.  Gegevens kunnen dan zelfs niet worden ‘ontsleuteld’, ook niet een “private key”. Dit gebeurt in Magento shops standaard voor wachtwoorden.
  • Gegevens moeten worden gemaskeerd. Hierbij vervang je delen van de gegevens door een onleesbaar deel, denk bijvoorbeeld aan: i***@ma******.net.
  • Data moet geen direct referenties bevatten. Zo is er met een deel van mogelijk geschonden data geen makkelijk verband naar andere data of bronnen te leggen: denk bijvoorbeeld aan een naam en e-mailadres aan elkaar gekoppeld, op één plek beschikbaar.

Wil je je Magento webshop data gepseudonimiseerd hebben, neem dan contact op.

8. Registreren

Hoewel je niet per definitie verplicht bent om een zogenoemde FG (functionaris voor de gegevensbescherming) De controller, toegelicht bij 1.3,  houdt bij welke van de verwerkingsactiviteiten onder zijn verantwoordelijkheid vallen. Dit gebeurt in een zogenaamd register en bevat de volgende gegevens.

  • Details van de controller
  • Doel van de verwerking persoonsgegevens
  • Categorieën van personen en  persoonlijke gegevens
  • Categorieën ontvangers aan wie de persoonlijke gegevens zijn of zullen worden bekendgemaakt
  • Overdracht van de gegevens naar een ander land of internationale organisatie
  • Tijdslimieten voor wissen
  • Genomen beveiligingsmaatregelen op organisatorisch en technisch niveau

Hoewel je dus niet persé verplicht bent kun je je uiteraard wel vrijwillig aanmelden.

Aanmelden bij het register bescherming persoonsgegevens.

 

Uitzonderingen die zorgen voor registratieplicht

Er zijn uitzondering voor wanneer je wel verplicht bent, ondanks dat je geen onderneming of een organisatie met meer dan 250 werknemers (benoemd in 1.3) bent. Het gaat om de volgende uitzonderingen:

  • Als de verwerking een mogelijk risico voor de rechten en vrijheden van personen tot gevolg heeft;
  • Als de verwerking niet incidenteel is;
  • Als de verwerking speciale categorieën gegevens omvat, namelijk: gevoelige persoonlijke gegevens of genetische en biometrische gegevens.

 


Samenvatting en conclusie over AVG in het algemeen

Het begrip van AVG/GDPR vraagt wat ons betreft geen specifieke expertise. Regelgeving is helder te begrijpen en met een goede dosis logica ook prima toe te passen voor organisaties en ondernemingen. Verzamel je veel data, of meen je deze te moeten te verzamelen, dan is er logischerwijs ook meer werk aan de winkel. Actiepunten voor Magento webshop-houders zijn doorgenomen en hierboven te lezen.

Gebruik ook de AVG regelhulp van RVO om de eerste stappen te zetten.

 


Extra bronnen inzake services en AVG

Je hebt natuurlijk meer te maken dan met alleen je Magento webshop, dat beseffen wij zeker. Maar wij focussen minder op de andere gebieden en zullen er daarom ook minder goeds over te zeggen hebben dan de services zelf. Daarom onderstaand nog een aantal links met informatie van een paar belangrijke services op een rijtje.

Deze zaken hebben wij op een rijtje, omdat we deze veel gebruiken. Als je je service er niet tussen ziet staan, is er vast wel wat te vinden als het al niet actief gecommuniceerd is. Wat wij tegenkomen, zullen we aanvullen.

Geschreven door Marissen,