Magento en de AVG: waar moet ik op letten?

Wat is de AVG?
Belangrijkste doelstellingen van de AVG
● de versterking en uitbreiding van de privacyrechten van klanten en burgers;
● meer en extra verantwoordelijkheden voor bedrijven en andersoortige organisaties die persoonsgegevens verwerken;
● het gelijktrekken van bevoegdheden voor Europese privacytoezichthouders.
Om de bovenstaande doelstellingen te kunnen realiseren, hanteren de wetgevers in de AVG een aantal basisprincipes. We zullen die hieronder even kort bespreken.
Transparantie
Doelbeperking
Gegevensbeperking
Juistheid en bewaring
Integriteit en beveiliging
Rollen binnen de AVG
- De klant/consument. Dit is voor de AVG elke burger of inwoner van een EU-lidstaat. De klant of consument is en blijft de rechtmatige eigenaar van de persoonlijke gegevens die door de webshop worden verwerkt.
- De data controller of verwerkingsverantwoordelijke is de organisatie die de persoonsgegevens van de klant/consument verwerkt. Hij of zij bepaalt ook het doel waarvoor en de middelen waarmee gegevens worden verwerkt.
- De data processor of verwerker is de partij die de gegevens daadwerkelijk verwerkt. Onder de nieuwe wetgeving is de eigenaar van een webwinkel meestal verwerkingsverantwoordelijke en verwerker tegelijk. Er zijn echter ook scenario’s denkbaar waarin de verantwoordelijke de gegevensverwerking uitbesteedt aan een derde partij. In dat geval ben je verplicht om een verwerkersovereenkomst op te stellen.
- De Functionaris voor Gegevensbescherming (FvG) ziet toe op de naleving van de AVG-richtlijnen. Het is niet altijd verplicht om een FvG aan te stellen. Dit laatste geldt wel voor organisaties met meer dan 250 werknemers, veel overheidsinstellingen en instanties die vanuit hun kernactiviteiten op grote schaal mensen volgen.
Schendingen van de AVG
- De categorieën waar de gelekte gegevens onder vallen. Denk bijvoorbeeld aan naam- en adresgegevens of accountinformatie
- Een schatting van het aantal personen dat bij het incident is betrokken.
- De gevolgen die de inbreuk kan hebben voor de privacy van klanten.
- De mogelijke maatregelen die je neemt om de gevolgen te verzachten. Denk bijvoorbeeld aan financiële compensatie of extra technische maatregelen binnen je Magento-omgeving.
De AVG in de Magento-praktijk
Vraag gebruikers actief om toestemming
Geef klanten inzage en toegang
Het valt ook aan te bevelen om klanten inzage in en toegang tot hun gegevens te verlenen. Magento 2 geeft je die mogelijkheid. Je kunt handmatig namelijk alle informatie uit het systeem exporteren. De klant toegang geven tot zijn of haar gegevens heeft een heilzame werking op het klantvertrouwen omdat de bezoeker van jouw webshop zo altijd in control kan blijven.
Documenteer dataverkeer met derde partijen
Beperk de risico’s bij gegevensdiefstal
- Je kunt binnen Magento databases scheiden. Zo wordt het voor cybercriminelen lastiger om verbanden te leggen en losse persoonsgegevens aan elkaar te koppelen.
- De standaard hash van Magento stelt hoge encryptie-eisen. Hierdoor zijn wachtwoorden goed versleuteld.
Communiceer goed met je klanten en bezoekers
Klantvertrouwen is een factor die ontegenzeggelijk veel invloed heeft op de omzet en het succes van je webwinkel. Communiceer daarom goed met de bezoekers van je shop. Een hoge mate van personalisatie helpt, maar transparantie over het door jouw gevoerde AVG-beleid is minstens zo belangrijk.
Laat je klanten bijvoorbeeld weten welke externe dienstverleners je gebruikt voor taken zoals je magento 2 hosting of het afhandelen van het betaalverkeer binnen je shop. Dit kan heel goed in een duidelijke privacyverklaring. Stel die op in heldere en begrijpelijke taal. Zo weet iedereen direct wat je bedoelt en ontstaat er geen ruimte voor dubbelzinnigheid.
Magento-backend en de AVG
- Sla persoonsgegevens en andere data op in een formaat dat gemakkelijk te beheren en exporteren is. Zo kunnen data gemakkelijk hergebruikt en naar klanten gestuurd worden en voldoe je aan het recht op dataportabiliteit.
- Het wijzigen van het gebruik van persoonsgegevens voor specifieke doeleinden vereist meestal maatwerk. Voor het wijzigen van toestemming in een nieuwsbrief biedt Magento daarentegen wel een instelling die dit proces automatiseert.
- Gegevens kunnen handmatig of met een speciale AVG-extensie worden verwijderd om het recht op vergetelheid te waarborgen.
- Het scheiden van databases binnen Magento verkleint de risico’s als je het slachtoffer wordt van een inbreuk waarbij persoonsgegevens worden gestolen. Door gegevens te spreiden, ligt na een hack niet gelijk alle persoonsinformatie op straat.
- Beveilig je webshop optimaal met een SSL-certificaat en de beste, actueel bijgewerkte virusscanners.
Conclusie
De AVG is zeker een uitdaging voor webshops. Gelukkig is de basis van Magento degelijk en capabel genoeg om te voldoen aan die Europese privacyrichtlijn. Bovendien is voor zowel de oude Magento 1 als de nieuwe Magento 2 middels zogenaamde architecture guides goed in kaart gebracht waar je data van klanten terugvindt en hoe je die informatie kunt wijzigen of verwijderen.
Wil je meer weten over het AVG-bestendig maken en houden van jouw Magento-webshop? Neem dan gerust vrijblijvend contact met ons op. Bij UX Maze hebben we veel ervaring met en kennis over Magento en weten we precies hoe je jouw webwinkel afstemt op de richtlijnen en vereisten van de nieuwe privacywetgeving.