Ga naar hoofdinhoud
Diensten
Kick-off in december?

Magento checklist Algemene Verordening Gegevens- bescherming (AVG / GDPR)


21 januari 2018
Auteur: Paul Hachmang
7 minuten leestijd

Vanaf 25 mei 2018 moeten alle (Magento) webshops in Europa aan de nieuwe regelgeving van de Algemene Verordening Gegevensbescherming (AVG) of GDPR (General Data Protection Regulation (GDPR) voldoen.

Als Magento webshop eigenaar of wanneer je op het punt staat om een Magento 2 webshop te laten ontwikkelen, dan is het van belang om te informatie in te winnen over hoe je hier als bedrijf mee om moet gaan. Bij Reach Digital maakten we een analyse van deze nieuwe wetgeving en hebben we in leesbare taal opgeschreven wat er vanaf 25 mei veranderd.

In de laatste alinea schrijven we in welke mate Magento op dit moment aan de AVG voldoet. Een Engelstalige versie van dit document is beschikbaar in PDF vorm of te bekijken via Slideshare.

1 Rollen

Met name het deel rondom de verantwoordelijkheid van de Data Processor is nieuw.

Klant/consument

  • Voor de scope van de AVG; dit is de burger of inwoner van een eu-staatslid
  • De natuurlijke persoon is de rechtmatige eigenaar van de persoonlijke gegevens en niet de organisatie die deze in bezit heeft

Data controller (Webshop eigenaar)

  • De organisatie die gegevens verzamelt van EU burger of inwoner
  • Bepaalt het doel, stelt een middel in om persoonlijke gegevens te verwerken
  • Heeft reeds bestaande DPD-verplichtingen (Voor UK)

Data processor (Hosting)

  • Verwerkt gegevens namens de gegevensbeheerder
  • Diensten zoals cloudproviders
  • Gegevensverwerker heeft directe wettelijke verplichtingen
  • Kunnen onderhevig zijn aan directe afdwinging

Functionaris voor gegevensbescherming:

  • Wordt gestuurd door een bedrijf dat zich bezighoudt met 'regelmatige en systematische monitoring van individuen op grote schaal'
  • Werkt onafhankelijk om ervoor te zorgen dat een entiteit de AVG voorschriften naleeft
  • Er zijn sancties als een bedrijf geen DPO heeft
  • Er is een criterium waaraan moet worden voldaan voordat de rol van DPO verplicht is
  • Deze rol bestaat in Duitsland sinds 1979

2 Persoonlijke informatie

Alle informatie met betrekking tot een identificeerbare natuurlijke persoon.

Voorbeelden:

  • Naam
  • Geboortedatum
  • Adres
  • ID van mobiel apparaat
  • Social media-berichten
  • Foto's

Gevoelige persoonlijke gegevens

  • Ras
  • Afkomst
  • Seksualiteit en seksleven
  • Filosofische overtuigingen
  • Vakbondslidmaatschappen
  • Gezondheid

Genetische en biometrische gegevens

  • Gensequentie
  • Vingerafdrukken
  • Gezichtsaccreditaties
  • Retina-scans

2.1 Persoonlijke gegevens zijn niet altijd gevoelige persoonlijke gegevens.

Persoonlijke gegevens zijn niet altijd gevoelige persoonlijke gegevens.

Voorbeelden:

  • Een foto van een landschap genomen door een gebruiker valt niet onder gevoelige persoonlijke gegevens, maar dit zijn persoonlijke gegevens
  • Een IP-adres alleen valt onder prsoonlijke gegevens, maar niet in de VS (dus de definities verschillen van land tot land)

2.2 Toestemming geven voor (gebruik van) persoonlijke gegevens

  • Vrijelijk gegeven: persoon moeten toestemming geven zonder hiervoor benadeelt te worden
  • Specifiek: de toestemming moet te begrijpen zijn
  • Geïnformeerd: het doel waarvoor de gegevens worden gebruikt
  • Ondubbelzinnig: "Duidelijke actie" om toestemming aan te geven

Dit gebeurt in de vorm van een eenvoudig te begrijpen bericht, waarin wordt gecommuniceerd dat de persoon toestemming geeft.

Een kind is verplicht om de toestemming van de ouder of voogd te krijgen voor elke gegevensverwerking activiteit.

Het geven van uitdrukkelijke toestemming voor gevoelige persoonsgegevens

Het verzamelen van gevoelige persoonlijke gegevens verschilt van persoonlijke gegevens doordat persoon expliciete toestemming moet geven: een checkbox waarin warbij duidelijk wordt vermeld hoe gegevens worden gebruikt.

2.3 Recht van toegang

Persoon kan bevestiging krijgen dat zijn gegevens worden verwerkt en kan zelf toegang krijgen tot de gegevens

2.4. Recht tot wissen

De Persoon kan om verwijdering van zijn gegevens verzoeken wanneer er geen dwingende reden is om deze te bewaren.

Gegevens moeten worden gewist als de gegevenshouder toestemmming intrekt.

Gegevens moeten worden opgeslagen zolang nodig is en vervolgens moeten worden verwijderd.

3. Internationale bedrijven

“This Regulation applies to the processing of personal data of Data Subjects who are in the Union by a controller or processor not established in the Union”

Wanneer klanten zich in de EU bevinden, moet er aan de AVG regelgeving worden voldaan:

  • EU kantoor
  • EU Valuta's
  • EU talen
  • EU domeinnamen

Als er een dienst wordt aangeboden (e-commerce; online verkoop van een product via een webshop is een dienst) die niet expliciet op de EU is gericht, hoeft er niet aan de AVG regelgeving te worden voldaan.

4. Schendingen

“As soon as the controller becomes aware that a personal breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and where feasible, not later than 72 hours after having become aware of it.” —Article 33, paragraph 1

In het geval van een inbreuk of datalek moet de volgende informatie aan de toezichthoudende autoriteit worden verstrekt:

  • Gegevenscategorieën
  • Geschat aantal betrokken personen
  • De waarschijnlijke gevolgen van de overtreding
  • Mogelijke maatregelen om de effecten te verzachten

Belangrijk om te benadrukken is het statement: Tenzij de inbreuk in de persoonlijke gegevens een risico voor de rechten en vrijheden van natuurlijke personen tot gevolg heeft.

Dit betekent dat over het algemeen alle inbreuken op persoonlijke gegevens moeten worden gemeld.

5. Sancties

Wanneer gegevens worden geschonden, kan een boete worden opgelegd:

“A fine up to €20M or 4% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater.”

Dit is de zwaarst mogelijk op te leggen claim, maar er zijn kleinere boetes wanneer bijvoorbeeld "aan de verplichtingen van de gegevensbeheerder niet wordt voldaan":

  • Kleinere boetes: tot € 10 miljoen of 2% van de bruto wereldwijde omzet
  • Audits: regelmatige periodieke audits van gegevensbescherming
  • Waarschuwingen: een schriftelijke waarschuwing in gevallen van eerste en niet-opzettelijke niet-naleving.

GDPR noemt de straffen als

  • Effectief
  • Proportioneel

6. Gegevensminimalisatie

Bescherming by design en als standaard. De doelstelling is om data altijd te beschermen.

“Personal data shall be adequate, relevant an limited to what is necessary in relation to the purposes for which they are processed.”

De AVG gaat de strijd aan met 'het maximaliseren van data bekend van gebruikers'. De volgende vragen moeten worden gesteld (ter reflectie):

Welke gegevens?

Om te bepalen of iemand ouder dan 18 jaar is, moet er gevraagd worden om de geboortedatum. Nadat duidelijk is of iemand oud genoeg is, is de geboortedatum niet meer nodig.

Hoe lang?

Aanmelden voor een wedstrijd is verplicht. De gegevens worden opgeslagen zolang de competitie loopt. Na afloop van de wedstrijd is het opslaan van de gegevens niet langer nodig.

Waar?

Hoeveel locaties moeten de gegevens bevatten? Moet het echt in alle systemen aanwezig zijn?

Welk doel?

Worden de gegevens uitsluitend gebruikt voor het doel waarvoor deze is verstrekt?

7. Pseudonimisering

"Pseudonimisering": de verwerking van persoonlijke gegevens op zodanige wijze dat de persoonlijke gegevens niet langer aan een specifiek persoon kunnen worden toegeschreven zonder het gebruik van aanvullende informatie."

Het vermindert het risico aanzienlijk bij een overtreding. Er mag geen impact zijn op de individuen zelf. Dit is het "gezond verstand" deel van de GDPR.

  • Versleuteling: gecodeerde gegevens kunnen worden gelekt, maar zonder de privésleutels worden de personen niet benadeeld. Encryptie in rust en versleuteling tijdens transacties
  • Hashing: gegevens kunnen nog steeds worden vergeleken, maar kunnen niet worden 'ontsleuteld'.
  • Maskeren: alle of delen van de gegevens vervangen. "Gedeeltelijke e-mailadressen lekken niet het volledige e-mailadres"
  • Aggregatie: het gebruiken van niet-identificeerbare geaggregeerde data, in plaats van afzonderlijke records
  • Indirecte referenties: zonder directe verwijzingen

8. Registreren

Elke controller (en indien van toepassing de verantwoordelijke) houdt een register bij van verwerkingsactiviteiten die onder haar verantwoordelijkheid vallen.

  • Naam en contractdetails van de controller
  • Het doel van de verwerking
  • De categorieën van personen en categorieën van persoonlijke gegevens
  • Categorieën ontvangers aan wie de persoonlijke gegevens zijn of zullen worden bekendgemaakt
  • Elke overdracht van de gegevens naar een ander land of internationale organisatie
  • Tijdlimieten voor wissen
  • Technische en organisatorische beveiligingsmaatregelen

Uitzonderingen

De bewaarplicht is niet van toepassing op een onderneming of een organisatie met minder dan 250 werknemers. Behalve:

  • Als de verwerking waarschijnlijk een risico voor de rechten en vrijheden van personen tot gevolg heeft
  • Als de verwerking niet incidenteel is
  • De verwerking omvat speciale categorieën gegevens: Gevoelige persoonlijke gegevens of genetische en biometrische gegevens

9. Algemene samenvatting

  • Valt uw onderneming binnen de scope van de Algemene verordening gegevensbescherming (AVG) - stel vast of GDPR uw bedrijf beïnvloedt
  • Begrijp uw gegevens: wat heeft u? Waar is het? Van wie is het?
  • Gegevensminimalisatie: behoud alleen dat wat adequaat, relevant en beperkt is.
  • Pseudonimisatie: bescherm de gegevens die u bezit zoveel mogelijk.
  • Bescherming by design: hiermee begint u bij het ontstaan ​​van het bedrijfsconcept.
  • Gezond verstand: de AVG reguleert zaken die al logisch zijn!

10. AVG / GDPR voor Magento

Let op: dit is de interpretatie van Reach Digital op basis van de beschikbare informatie over het onderwerp. Dit is geen juridisch advies.

Magento webshops slaan geen gevoelige persoonlijke gegevens op, maar slaat wel persoonlijke gegevens op. Dit betekent dat er geen expliciete toestemming nodig is om gegevens op te slaan.

Om persoonlijke gegevens op te slaan, heeft een Magento webshop toestemming nodig die: vrijelijk, specifiek, geïnformeerd is. ondubbelzinnig:

Magento biedt momenteel een manier om klanten te informeren over het huidige Cookiebeleid, de teksten van deze 'cookie melding' kunnen worden aangepast om AVG gevraagde toestemming te vragen van de gebruiker.

Recht op toegang: wanneer een klant om toegang vraagt, moet het mogelijk zijn om alle informatie aan de klant te verstrekken. In het geval van een magento webshop is het momenteel mogelijk alle informatie uit het systeem te exporteren.

Er zijn standaard geen automatische systemen om deze functionaliteit te bieden. Medewerkers van de klantenservice kunnen deze informatie handmatig verschaffen.

Recht om te wissen: wanneer een klant om verwijdering van gegevens vraagt, moet het mogelijk zijn om alle informatie uit Magento te verwijderen.

Standaard is het mogelijk om een ​​klant volledig te verwijderen. Klantenservice kan dit handmatig doen. Het is niet mogelijk om bestelinformatie te verwijderen.

Wanneer een bedrijf groter is dan 250 personen, moet alle informatie die naar andere bedrijven of naar buiten de EU wordt verzonden worden bewaard.

  • Magento Enterprise Admin Logging volgt sommige transacties.
  • Magento order comments houden informatie over de tranctie bij.
  • Alle tools die gebruikmaken van API's (verzending, betalingsservice providers, marketingtools) moeten uitgebreide logging bevatten en deze logs lang bewaren.

Het is niet toegestaan om informatie naar nieuwe services te sturen, waarvoor een persoon geen toestemming heeft gegeven. Bijvoorbeeld: als je nooit toestemming hebt gevraagd om Upsells via e-mail te versturen, dan is dit niet toegestaan.

Er moet een systeem worden gebouwd om een ​​klant te upgraden naar de laatste 'Data opt-in' wanneer de klant de site bezoekt.

De magento webshop moet gehost op een server en door een organisatie die aan de eisen van Data Processor voldoet. Dit betekent niet dat informatie opgeslagen hoeft te worden in de EU.

We verwachten dat de hostingbedrijven waarmee wij zaken doen zich houden aan de AVG-regelgeving

Het effect van inbraak moet tot een minimum worden beperkt. Versleuteling, hash, maskering, aggregatie, indirecte referenties.

  • Neem beveiliging serieus. Maak het een aantoonbaar onderdeel van het softwareontwikkelproces
  • Magento 2 Enterprise database-scheiding is een goed voorbeeld van de indirecte verwijzingen
  • Magento 2 biedt wachtwoord hashing van de hoogste kwaliteit

Disclaimer: Dit is geen juridisch advies, maar een analyse op basis van beschikbare informatie. Ik ben geen erkend juridisch adviseur.

Meer weten over dit onderwerp, of reageren?
Paul Hachmang
Paul Hachmang
071 744 0084
paul@reachdigital.nl
contactformulier