Na het succes van de eerdere blogartikelen (deel 1, deel 2) van ICTRecht, kregen we nog een serie vragen van klanten en partners rondom AVG/GDPR. Onze artikelen over dit onderwerp zijn informerend maar natuurlijk niet alles omvattend. Wil je met je Magento shop concreet aan de slag met het oog op de AVG/GDPR wetgeving? Zorg dan dat je je verder laat informeren door een expert op dit gebied.

 GDPR Magento Commerce

 

Wat is dataminimalisatie, en wat houdt het in?

Dataminimalisatie is het concept dat een organisatie zo min mogelijk data van personen/andere organisaties heeft opgeslagen. Voor elk stuk opgeslagen data moet er actief verantwoord worden waarom deze data wordt opgeslagen, waar dit eerder nog achteraf verantwoord moest worden.

Wie is er verantwoordelijk voor de verwerkersovereenkomst?

Kort en krachtig: De “eigenaar” van de data is verantwoordelijk voor het aanbieden van een verwerkersovereenkomst. De verwerkersovereenkomst is een overeenkomst tussen een eigenaar en een verwerker van de data. Als eigenaar van een Magento webshop valt het beheer en onderhoud onder de noemer “verwerken” - dus is het noodzakelijk om een verwerkersovereenkomst af te sluiten met de betreffende partij.

Moet ik een cookie bar weergeven?

Allereerst is het belangrijk om onderscheid te maken tussen drie soorten cookies: functioneel, analytisch en overig. Functionele cookies zijn de cookies die nodig zijn om onder andere te onthouden wat klanten in hun winkelwagentje doen en om in te loggen. Analytische cookies zijn de cookies die onder andere gebruikt worden om de gebruikerservaring te verbeteren. Of bijvoorbeeld Google Analytics hieronder valt, hangt af van wat je verzamelt, en in welke mate data naar gebruikers te herleiden valt. Daarnaast zijn de derde soort cookies “overige” cookies. Hieronder vallen onder andere tracking cookies voor affiliate marketing en retargeting. Voor alles behalve functionele cookies moet je onder de AVG expliciet toestemming vragen, zowel pseudo-anonieme gegevens als herleidbare gegevens. Ook IP-adressen mogen dan niet meer opgeslagen worden zonder dit via cookies bevestigd te hebben. Bezoekers moeten actief kunnen selecteren of ze akkoord gaan met (onderdelen van) het verzamelen van cookies. Een cookie bar is daar de beste optie voor, want een cookie wall mag dan niet meer.

Mag ik de geboortedatum van mijn klant vragen bij het registreren/afrekenen?

Ja, maar alleen als het noodzakelijk is voor het type product dat je verkoopt. Producten die gericht zijn aan volwassenen, en alleen aan volwassenen verkocht mogen worden, moet bijvoorbeeld wel een geboortedatum gevraagd worden om te controleren of de verkoop legaal is. Als het product wettelijk aan iedereen verkocht mag worden, mag hiervoor niet de geboortedatum gevraagd worden. Dit is een duidelijk voorbeeld van dataminimalisatie. Mocht je een mail willen sturen op de verjaardag van een klant, dan kan de geboortedatum wel gevraagd worden, maar moet hiervoor expliciet toestemming worden gevraagd bij het invullen van de geboortedatum.

Hoe lang mag ik data van/over mijn klanten bewaren?

De precieze periode is niet per se aan te geven. In het kader van dataminimalisatie is het veelgehoorde advies: zo kort mogelijk. Als het niet per se nodig is, of als verplichting voor de wet opgeslagen moet zijn, is het beter om zo snel mogelijk deze informatie te verwijderen. Mocht je geldige redenen hebben om de data langere tijd te bewaren, zorg er dan voor dat je dit goed beveiligt.  

Waar wordt de data van/binnen Magento opgeslagen?

Magento Commerce wordt zowel on premise (op eigen server) als in cloud variant aangeboden. Waar de data wordt opgeslagen hangt af van welke variant je hebt. Maak je gebruik van Magento Commerce Cloud, dan is de Europese data opgeslagen op servers in Ierland, Londen of Frankfurt. Heb je een eigen (Magento) hosting provider (bijvoorbeeld Byte of Hipex), dan kun je daar het beste navragen waar je data wordt opgeslagen. Voor de aanvullende Magento diensten Magento Business Intelligence en Order Management - die van zichzelf al cloud based zijn - is de data in Ierland opgeslagen.

gdpr1.jpg

 

Wat slaat Magento op in de cookie van mijn webshop?

Voor bezoekers die nog geen klant zijn, slaat Magento het winkelwagentje, productvergelijking (op het moment van gebruik), vergelijkingsgeschiedenis, recent bekeken producten en klantgroep en segmentatie (op basis van de actieve sessie) op in een cookie. Je kunt al deze functionaliteiten uitzetten, en de informatie in deze cookies is geanonimiseerd. Mocht je bezoekers verder willen segmenteren dan is dat alleen toegestaan zodra bezoekers zijn ingelogd in hun persoonlijke account. Hiervoor moet je bij het aanmaken van een persoonlijk account expliciet toestemming voor vragen. Binnen Magento is er een mogelijkheid waarmee bezoekers die klanten worden een opt-in kunnen aanklikken als expliciete toestemming.

Hoe zit het met klanten die mij vragen om hun gegevens op te sturen of te verwijderen?

Onder de AVG hebben klanten recht op inzicht in de gegevens die bij organisaties bekend of opgeslagen zijn. Daarnaast mogen klanten hun gegevens laten verwijderen die niet wettelijk noodzakelijk opgeslagen hoeven te worden. Binnen Magento is er geen automatisch systeem dat klanten dit zelf laat doen, dit is iets dat iemand met de juiste permissies binnen het Magento systeem handmatig moet doen.

Hoe zit het met mijn Magento extensies?

Magento extensies zijn erg afhankelijk van de manier waarop zij data verwerken en opslaan. Er zijn extensies die op andere plekken (naast de core van Magento) data opslaan. Voor je al geïnstalleerde extensies is het wel raadzaam per extensie te bekijken welke data verwerkt wordt, en waar deze wordt opgeslagen. Aan de hand hiervan is het mogelijk dat er om meer toestemming gevraagd moet worden via bijvoorbeeld de cookie bar en privacy policy.

Geeft MediaCT advies op het gebied van AVG/GDPR?

MediaCT is geen professioneel juridisch adviesbureau. Aan dit artikel kunnen dus ook geen rechten worden ontleend. Voor meer informatie en specifieke vragen verwijzen we je dan ook graag door naar ICTRecht.

Zijn er nog aanvullingen vanuit Magento die helpen met AVG/GDPR?

Magento ontwikkelde een data mapping guide waarmee alle locaties waar persoonlijke informatie is opgeslagen in het systeem. Deze guide is te vinden op de Magento Developer Documentation site. Deze guide is van toepassing op Magento 1, en deze guide is van toepassing op Magento 2. Tools voor het opvragen, exporteren en verwijderen van persoonlijke data zijn er op dit moment niet tenzij er vanuit de markt veel vraag naar komt. Mogelijk dat dit dan in de nabije toekomst alsnog komt.


Meer lezen?

Op de site van Magento is er ook de nodige informatie gepubliceerd rondom dit onderwerp waaronder deze FAQ. Bekijk ook deze pagina van Reach Digital voor een makkelijk, leesbaar artikel rondom Magento en GDPR.