Magento en de AVG: waar moet ik op letten?

Sinds 25 mei 2018 moeten alle Europese webshops voldoen aan de richtlijnen van de Algemene Verordening Gegevensbescherming (AVG), in het Engels bekend als de GDPR. Omdat er flinke boetes staan op het niet of slecht naleven van deze nieuwe Europese privacywetgeving, is het belangrijk dat eigenaren van Magento-webshops zich goed verdiepen in de nieuwe regels en richtlijnen.
Wat houdt de AVG precies in? Wat zijn de belangrijkste verschillen met de oude Wet bescherming persoonsgegevens (Wbp)? In hoeverre voldoet Magento momenteel aan de AVG-richtlijnen? En wat zijn de belangrijkste zaken waar je als webshopeigenaar op moet letten in het kader van de nieuwe privacywetgeving? We leggen het allemaal uit in dit blogartikel.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) of GDPR is de vervanger van de EU-privacyrichtlijn, die in Nederland was uitgewerkt in de Wet bescherming persoonsgegevens (Wbp). Per 25 mei 2018 is de Wbp, net als de privacywetten van de andere EU-lidstaten, komen te vervallen. Dankzij de komst van de AVG is het niveau van gegevensbescherming nu door de hele EU van hetzelfde niveau. De wetgeving is van toepassing op alle bedrijven en domeinnamen die binnen de Europese Unie zijn gevestigd.

Belangrijkste doelstellingen van de AVG

Inhoudelijk heeft de AVG een aantal belangrijke doelstellingen. De AVG voorziet vooral in:
● de versterking en uitbreiding van de privacyrechten van klanten en burgers;
● meer en extra verantwoordelijkheden voor bedrijven en andersoortige organisaties die persoonsgegevens verwerken;
● het gelijktrekken van bevoegdheden voor Europese privacytoezichthouders.
Om de bovenstaande doelstellingen te kunnen realiseren, hanteren de wetgevers in de AVG een aantal basisprincipes. We zullen die hieronder even kort bespreken.

Transparantie

De AVG-wetgeving moet garanderen dat de persoon van wie de gegevens worden verwerkt op de hoogte is van zijn rechten en weet voor welk doel zijn of haar persoonsgegevens worden verzameld en verwerkt. Daarnaast moet je klanten informeren over hun rechten en ze duidelijk maken hoe die rechten uitgeoefend kunnen worden. De aard en het doel van de verwerking moet dus helder zijn voor alle betrokkenen.

Doelbeperking

Doelbeperking houdt in dat persoonsgegevens uitsluitend worden verzameld voor een duidelijk bepaald en rechtmatig doel. De gegevens mogen dus niet zomaar voor andere doeleinden worden gebruikt. Artikel 6 van de AVG bevat een duidelijk overzicht van de grondslagen voor de rechtmatigheid van verwerking.

Gegevensbeperking

Je mag als bedrijf niet zomaar onbeperkt gegevens gaan verzamelen. De AVG schrijft voor dat het alleen is toegestaan om persoonsgegevens te verzamelen die voor het beoogde doel noodzakelijk zijn. Elk nieuw doel moet weer worden getoetst aan de oorspronkelijke doelstelling. Verschilt het nieuwe doel van de oorspronkelijke doelstelling? Dan moet er opnieuw toestemming worden gevraagd.

Juistheid en bewaring

De persoonsgegevens die een organisatie bewaart, moeten correct zijn en dat ook blijven. Kloppen gegevens niet (meer)? Dan moet je ze verwijderen of aanpassen. Bovendien mogen persoonsgegevens niet langer bewaard worden dan nodig is voor het beoogde verwerkingsdoel. De administratieplicht schrijft soms voor dat gegevens wel langer bewaard moeten worden.

Integriteit en beveiliging

De AVG heeft ook veel oog voor veiligheid. De gegevensverwerker is namelijk verplicht om de data goed te beschermen tegen toegang door onbevoegden (zowel digitaal als fysiek), verlies of vernietiging (denk bijvoorbeeld aan een brand in het bedrijfsgebouw). De partij die je gegevens verwerkt moet bovendien kunnen aantonen (bijvoorbeeld door middel van audits) dat ze voldoet aan de regels van de AVG.
Dit houdt in dat je er als webshop een helder beschreven privacybeleid op na dient te houden, maar ook dat eventueel personeel getraind is in het omgaan met AVG-kwesties. Leg ook altijd goed vast waarom, hoe en hoe lang je persoonsgegevens bewaart.

Rollen binnen de AVG

Om de AVG-praktijk voor webshops te doorgronden, is het allereerst van belang om goed te kijken naar de rollen waarmee je als eigenaar van een webwinkel in de dagelijkse AVG-praktijk te maken krijgt.
  • De klant/consument. Dit is voor de AVG elke burger of inwoner van een EU-lidstaat. De klant of consument is en blijft de rechtmatige eigenaar van de persoonlijke gegevens die door de webshop worden verwerkt.
  • De data controller of verwerkingsverantwoordelijke is de organisatie die de persoonsgegevens van de klant/consument verwerkt. Hij of zij bepaalt ook het doel waarvoor en de middelen waarmee gegevens worden verwerkt.
  • De data processor of verwerker is de partij die de gegevens daadwerkelijk verwerkt. Onder de nieuwe wetgeving is de eigenaar van een webwinkel meestal verwerkingsverantwoordelijke en verwerker tegelijk. Er zijn echter ook scenario’s denkbaar waarin de verantwoordelijke de gegevensverwerking uitbesteedt aan een derde partij. In dat geval ben je verplicht om een verwerkersovereenkomst op te stellen.
  • De Functionaris voor Gegevensbescherming (FvG) ziet toe op de naleving van de AVG-richtlijnen. Het is niet altijd verplicht om een FvG aan te stellen. Dit laatste geldt wel voor organisaties met meer dan 250 werknemers, veel overheidsinstellingen en instanties die vanuit hun kernactiviteiten op grote schaal mensen volgen.

Schendingen van de AVG

Het niet of slecht naleven van de GDPR (AVG) kan je als webshop opzadelen met een flinke kostenpost. De boetes en sancties bij overtreding zijn namelijk niet mals. De maximumboete bedraagt 20 miljoen euro of 4 procent van de wereldwijde omzet van een (internationaal opererend) bedrijf. Daarnaast zijn er ook kleinere boetes tot 10 miljoen euro of 2 procent van de bruto internationale omzet mogelijk. In het geval van een eerste overtreding of het onopzettelijk niet naleven van de AVG krijg je eerst een waarschuwing.
Je bent als eigenaar van een webshop ook verplicht om bij gegevenslekken bepaalde informatie te verstrekken aan de toezichthoudende autoriteiten. Het gaat dan om de onderstaande gegevens.
  • De categorieën waar de gelekte gegevens onder vallen. Denk bijvoorbeeld aan naam- en adresgegevens of accountinformatie
  • Een schatting van het aantal personen dat bij het incident is betrokken.
  • De gevolgen die de inbreuk kan hebben voor de privacy van klanten.
  • De mogelijke maatregelen die je neemt om de gevolgen te verzachten. Denk bijvoorbeeld aan financiële compensatie of extra technische maatregelen binnen je Magento-omgeving.
De AVG stelt strenge eisen aan de registratie van datalekken die zich binnen jouw organisatie voordoen. Alle datalekken moeten gedocumenteerd worden en door de Autoriteit Persoonsgegevens kunnen worden gecontroleerd. Die maatregel gaat nog een stukje verder dan de protocolplicht uit de Wbp.

De AVG in de Magento-praktijk

Maar hoe verhoudt de AVG zich nu tot de directe Magento-praktijk? Wat zijn de belangrijkste aandachtspunten bij het volledig AVG-proof maken van jouw Magento-webshop? En welke waarborgen biedt het platform op het vlak van de nieuwe privacywetgeving? We tonen het je aan de hand van een helder overzicht dat de vorm heeft van een aantal belangrijke actiepunten.

Vraag gebruikers actief om toestemming

We hebben al gezien dat gegevensverwerking in het kader van de AVG gepaard gaat met een informatie- en toestemmingsplicht. Gelukkig stelt de aanpasbare cookiemelding van Magento je prima in staat om toestemming te vragen aan de klant. Doe dit zo uitgebreid mogelijk om onduidelijkheden te voorkomen en het vertrouwen van de klant veilig te stellen.
Het vragen van toestemming heeft vooral betrekking op niet-functionele cookies. Dit zijn cookies die niet direct essentieel zijn voor een optimale werking van je website. Voorbeelden zijn analytische cookies (die informatie over de klant zoals locatie, productvoorkeuren en websitebezoek registreren) en marketingcookies (deze worden vooral gebruikt voor remarketing).
Gebruikt jouw webshop niet-functionele cookies? Dan heb je altijd toestemming nodig van de consument. De bezoeker van je webwinkel moet dus op de hoogte worden gesteld van het bestaan van de cookies en zijn goedkeuring voor het gebruik van deze tools uitspreken. Magento biedt hier gelukkig een standaard ingebouwde functionaliteit voor, zodat het een koud kunstje is om klanten goed te informeren over je cookiebeleid. Houd trouwens wel in het achterhoofd dat Google Analytics-cookies óók functionele cookies kunnen zijn als aan bepaalde voorwaarden wordt voldaan.

Geef klanten inzage en toegang

Het valt ook aan te bevelen om klanten inzage in en toegang tot hun gegevens te verlenen. Magento 2 geeft je die mogelijkheid. Je kunt handmatig namelijk alle informatie uit het systeem exporteren. De klant toegang geven tot zijn of haar gegevens heeft een heilzame werking op het klantvertrouwen omdat de bezoeker van jouw webshop zo altijd in control kan blijven.

Inzage is ook belangrijk vanuit het oogpunt van de in de AVG genoemde dataportabiliteit. Dit houdt in dat iedereen het recht heeft om (bijvoorbeeld bij het overstappen naar een nieuwe provider) gegevens ‘mee te nemen’ naar een andere partij.

Documenteer dataverkeer met derde partijen

Als webshopeigenaar deel je bepaalde informatie ook met derde partijen. Denk bijvoorbeeld aan de leveranciers van producten en betaalsystemen. Het is belangrijk om die gegevens in te bedden in een goed overzicht en deugdelijk bewaarsysteem.
Magento levert hier de handvatten voor in de vorm van het order comments-systeem (waarmee je informatie over transacties bij kunt houden) en een uitgebreid en beveiligd login-systeem bij data-uitwisseling via de API. Daarnaast heeft Magento alle aanbieders van extensies verplicht om hun privacybeleid te vermelden. Je kunt zo zelf bepalen of de verwerking voldoet aan de richtlijnen van de AVG.
Wissel je ook regelmatig persoonsgegevens uit met bedrijven buiten Europa? Ga dan goed na of de door die partners gebruikte richtlijnen en beveiligingsmaatregelen voldoen aan standaarden die vergelijkbaar zijn met de richtlijnen van de AVG.

Beperk de risico’s bij gegevensdiefstal

Oog voor veiligheid is natuurlijk een tweede natuur als je een webshop beheert. Toch kan zelfs de best beveiligde website ten prooi vallen aan slimme cybercriminelen. Het is daarom van belang om de effecten van gegevensdiefstal zoveel mogelijk te minimaliseren.
Dat kan gelukkig goed in Magento, bijvoorbeeld door het nemen van de onderstaande maatregelen.

  • Je kunt binnen Magento databases scheiden. Zo wordt het voor cybercriminelen lastiger om verbanden te leggen en losse persoonsgegevens aan elkaar te koppelen.
  • De standaard hash van Magento stelt hoge encryptie-eisen. Hierdoor zijn wachtwoorden goed versleuteld.

Communiceer goed met je klanten en bezoekers

Klantvertrouwen is een factor die ontegenzeggelijk veel invloed heeft op de omzet en het succes van je webwinkel. Communiceer daarom goed met de bezoekers van je shop. Een hoge mate van personalisatie helpt, maar transparantie over het door jouw gevoerde AVG-beleid is minstens zo belangrijk.

Laat je klanten bijvoorbeeld weten welke externe dienstverleners je gebruikt voor taken zoals  je magento 2 hosting of het afhandelen van het betaalverkeer binnen je shop. Dit kan heel goed in een duidelijke privacyverklaring. Stel die op in heldere en begrijpelijke taal. Zo weet iedereen direct wat je bedoelt en ontstaat er geen ruimte voor dubbelzinnigheid.

Zorg er in elk geval voor dat je AVG-bestendige privacyverklaring op zijn minst je bedrijfsgegevens, de doeleinden van verwerking, het recht van toestemming, het recht op inzage, aanpassing en verwijdering, de getroffen beveiligingsmaatregelen en informatie over cookies bevat.
Door bezoekers van je Magento-shop goed te informeren, kweek je vertrouwen en kan een attente klant ook voor zichzelf nagaan of jouw werkwijze voldoet aan de stringente richtlijnen van de AVG.

Magento-backend en de AVG

Je kunt in de backend van je Magento-webshop verschillende maatregelen nemen om te voldoen aan de eisen van de AVG. We zetten de belangrijkste voor je op een rij.
  • Sla persoonsgegevens en andere data op in een formaat dat gemakkelijk te beheren en exporteren is. Zo kunnen data gemakkelijk hergebruikt en naar klanten gestuurd worden en voldoe je aan het recht op dataportabiliteit.
  • Het wijzigen van het gebruik van persoonsgegevens voor specifieke doeleinden vereist meestal maatwerk. Voor het wijzigen van toestemming in een nieuwsbrief biedt Magento daarentegen wel een instelling die dit proces automatiseert.
  • Gegevens kunnen handmatig of met een speciale AVG-extensie worden verwijderd om het recht op vergetelheid te waarborgen.
  • Het scheiden van databases binnen Magento verkleint de risico’s als je het slachtoffer wordt van een inbreuk waarbij persoonsgegevens worden gestolen. Door gegevens te spreiden, ligt na een hack niet gelijk alle persoonsinformatie op straat.
  • Beveilig je webshop optimaal met een SSL-certificaat en de beste, actueel bijgewerkte virusscanners.

Conclusie

De AVG is zeker een uitdaging voor webshops. Gelukkig is de basis van Magento degelijk en capabel genoeg om te voldoen aan die Europese privacyrichtlijn. Bovendien is voor zowel de oude Magento 1 als de nieuwe Magento 2 middels zogenaamde architecture guides goed in kaart gebracht waar je data van klanten terugvindt en hoe je die informatie kunt wijzigen of verwijderen.

Zeker weten dat jouw webshop AVG-proof is? Leg goed vast welke persoonsgegevens je verwerkt en op welke manier. Benut daarnaast de hulpmiddelen die Magento aanreikt op de juiste manier. Zorg er wel voor dat je continu de vinger aan de pols houdt en je werkwijze tijdig bijstelt als dat nodig blijkt te zijn.

Wil je meer weten over het AVG-bestendig maken en houden van jouw Magento-webshop? Neem dan gerust vrijblijvend contact met ons op. Bij UX Maze hebben we veel ervaring met en kennis over Magento en weten we precies hoe je jouw webwinkel afstemt op de richtlijnen en vereisten van de nieuwe privacywetgeving.