Is jouw webwinkel klaar voor de AVG?
Het zal je niet ontgaan zijn, vanaf 25 mei 2018 vervangt de General Data Protection Regulation (GDPR) oftewel de Algemene Verordening Gegevensbescherming (AVG) de huidige privacywetgeving. Organisaties hebben vanaf mei 2016 de tijd gekregen om hun processen zo in te richten dat ze voldoen aan de nieuwe regels. Vanaf 25 mei 2018 is het dan echt zover en moeten organisatie voldoen aan de eisen die gesteld worden in AVG. Ben jij er al klaar voor?
We stippen nog een aantal praktische zaken aan die je snel op orde kunt hebben:
Privacyverklaring
In je privacyverklaring leg je precies uit welke gegevens je verzamelt en bewaart, waarom (met welke toestemming) en hoe je hier verder mee omgaat. Het gaat niet alleen om cookiegegevens, maar om alle persoonsgegevens. Zorg ervoor dat je privacyverklaring up-to-date is, in begrijpelijke taal en gemakkelijk vindbaar op je site. Bekijk voorbeelden of genereer je eigen privacyverklaring.
Anonimiseer Google Analytics
Gebruik je cookies niet voor advertentiefuncties, verzamel je geen ip-adressen en deel je de gegevens niet met derden? Dan mag je de Google Analytics trackingcookie plaatsen zonder dat je om expliciete toestemming hoeft te vragen aan bezoekers van je website. Belangrijk is wel dat je Google Analytics privacyvriendelijk instelt.
Heb jij je Google Analytics al privacyvriendelijk ingesteld? De autoriteit persoonsgegevens heeft hiervoor een stappenplan ingesteld. Neem dit stappenplan door, of vraag ons om alle instellingen voor je na te lopen en waar nodig aanpassingen te doen.
Google Analytics databewaartermijn
In het kader van de AVG voorziet Google Analytics nu ook in het verwijderen van data. De standaard instelling is zelfs dat gegevens na 26 maanden verwijderd zullen worden. Wil je dat je gegevens niet verwijderd worden (of wil je een andere termijn instellen), vergeet dit dan niet aan te passen. Vergeet natuurlijk niet om deze bewaartermijn ook te noemen in je privacyverklaring.
Wil jij niet dat jouw statistieken na 26 maanden standaard worden verwijderd? Pas dit dan nu aan in je Google Analytics account, bekijk hier welke stappen je kunt nemen (of vraag het ons natuurlijk)
Vergeet ook niet om met Google Analytics een verwerkersovereenkomst te sluiten en hier melding van te maken in je privacyverklaring.
Inventariseer overige functionaliteiten
Inventariseer verder of je naast Google Analytics gebruik maakt van andere modules of functionaliteiten die cookies plaatsen of gegevens van jouw klanten verwerken. Denk hierbij aan Hotjar om gebruikersbeweging te monitoren, een chatfunctionaliteit als Crisp om te chatten met bezoekers van je website of modules in het kader van remarketing zoals Adwords en Facebook. Sluit een verwerkersovereenkomst met deze partijen, anonimiseer waar nodig (en mogelijk) en maak melding van deze modules in je privacyverklaring. Wanneer deze functionaliteiten alleen werken bij de gratie van cookies doe je er vervolgens ook verstandig aan je cookie melding hierop aan te passen.
Cookie melding
Omdat consumenten dankzij de AVG volledige zeggenschap krijgen over hun persoonlijke gegevens die organisaties verzamelen, opslaan en gebruiken, mogen cookies mogen hierdoor niet zomaar meer worden verzameld. Er zijn verschillende soorten cookies:
1. Functionele cookies, die nodig zijn om je webwinkel te laten werken (denk aan cookies voor het inloggen of bijhouden van een winkelwagen).
2. Analytische cookies, waarmee je inzicht krijgt in het gebruik van je site.
3. Tracking-cookies, die het surfgedrag van bezoekers vast te leggen voor bijvoorbeeld remarketing campagnes.
Vanaf 25 mei, moet de gebruiker expliciete toestemming geven voor tracking-cookies en analytische cookies die nodig zijn voor gepersonaliseerde content, remarketing, het opbouwen van profielen en voor het delen van gegevens met Google en derde partijen. De traditionele cookiewall of impliciete toestemming voldoet dan niet meer. Zorg dus dat jouw cookiemelding een scheiding maakt in functionele, analytische en tracking cookies.
Magento en de AVG
Er zijn geen wijzigingen in je Magento installatie nodig om te voldoen aan de AVG, aldus Magento. Uiteraard is het wel van belang om goed in kaart te brengen welke persoonsgegevens Magento verwerkt en is het zelfs verplicht om de verwerkte persoonsgegevens bij te houden in een register. Omdat in de AVG is vastgelegd dat gebruikers het recht hebben op inzage, aanpassing en verwijdering van deze gegevens moet je hierop ook een adequaat antwoord kunnen geven of actie op kunnen ondernemen. Inzage in welke gegevens waar opgeslagen worden in Magento is dus heel belangrijk.
Neem beveiliging heel serieus
Neem beveiliging heel serieus en controleer of jouw Magento installatie al op de meest recente versie draait. Wees je ervan bewust dat eventuele datalekken altijd gemeld moeten worden aan de consument/ eindgebruiker/ autoriteit persoonsgegevens.
Overige gegevensverwerkers
Inventariseer met welke partijen je ‘zaken’ doet die voor jou gegevens verwerken in het kader van je webwinkel. Denk hierbij aan je Payment Service Provider en je verzendpartner(s), maar vergeet ook niet om je Magento extensies te dubbelchecken. Sluit een verwerkersovereenkomst met deze partijen en maak hier ook melding van in je privacyverklaring.
Heb je aanvullende vragen, kunnen wij je ondersteunen of heb je onze verwerkersovereenkomst nog niet ontvangen? Aarzel dan niet om contact met ons op te nemen.
Dan nog even dit: Cream is geen professioneel juridisch adviesbureau. Aan dit artikel kunnen dus ook geen rechten worden ontleend. Het opvolgen van bovenstaande actiepunten maakt jouw organisatie niet volledig GDPR proof. Laat je voorlichten door een jurist bij twijfel of aanvullend advies.
