GDPR (General Data Protection Regulation), er is al veel over geschreven. De Europese wet die op 25 mei 2018 zijn intrede doet en gaat zorgen dat de veiligheid van opslag en verwerking persoonsgegevens via webportalen toekomstbestendig wordt. Dat het impact heeft moge duidelijk zijn, maar even heel praktisch, welke stappen kun je nu al voorbereiden?

Privacyverklaring & Overdraagbaarheid gegevens

Wie kent hem niet, de standaard https://voorbeeldmerchant.nl/privacy-policy. Een bak met info die geen klant leest tenzij strikt noodzakelijk. Iets wat we het liefst ver weg stoppen in footers of klantenservice pagina’s. In feite verandert er niet veel,  belangrijk is het om te weten dat de inhoud verder gespecificeerd is naast dat deze pagina niet “verstopt” mag worden in je webshop. Binnen de privacy verklaring moet eveneens duidelijk de mogelijkheid gegeven worden om misbruik van persoonsgegeven te melden bij de Autoriteit Persoonsgegevens door de klant zelf. Mijns inziens moet je in principe een duidelijk zichtbare/vindbare pagina maken waarin je het zo laagdrempelig mogelijk moet maken voor klanten om vragen te stellen over hun persoonsdata. Belangrijk is wel dat je intern daar ook op voorbereid bent. Overtuig jezelf ervan dat je de data juist verwerkt, deel dat ook met de klant.

Daarnaast is het zo dat jouw eigen persoonsgegevens te allen tijde opvraagbaar moeten zijn. Dit was in de oude wet ook al geregeld. Een groot verschil met de GDPR is dat deze gegevens nu ook overdraagbaar moeten zijn. Kortom, je moet idealiter met een eenvoudige handeling ALLE persoonsgegevens die kunnen leiden tot de identificatie van die persoon aan kunnen bieden zodat deze gegevens overgedragen kunnen worden naar een andere partij.

Het is daarmee cruciaal om te zorgen dat data die een klant ingeeft in jouw shop direct op alle plekken waar deze data terugkomt kan worden aangepast. Denk daarbij aan je e-mail marketing clients, externe klantenservice pakketten maar ook je Business Intelligence die volledig vaart op deze gegevens. Op het moment dat de klant zijn/haar gegevens opvraagt moet je aan kunnen tonen waar je de gegevens gebruikt en waarvoor, plus het feit dat deze gegevens geëxporteerd moeten kunnen worden of zelfs verwijderd moeten kunnen worden op verzoek van de klant. De wet stelt dat dit binnen een reëel afzienbare tijd moet gebeuren, ten minste binnen 1 maand. Beleid hierop maken en de juiste indexering van je gegevens is dus cruciaal.

Cookiemelding 2.0

Op 5 juni 2012 heeft de cookiewet zijn intrede gedaan, weet je het nog? Een actieve melding die aangeeft dat er gegevens worden opgeslagen. Vele shops hebben creatieve invullingen gegeven aan het accepteren van deze cookies. Met de komst van de GDPR verandert hier iets in. De melding an sich mag/kan blijven staan, alleen het grote verschil zit hem in het feit dat een klant te allen tijde moeten kunnen aangegeven dat zijn/haar gegevens niet meer gebruikt mogen worden. In feite zou er dus een actief opt-in en opt-out proces moet komen voor persoonsgegevens.

Dat betekent voor jouw shop dat er een functionaliteit ingebouwd moet worden vergelijkbaar met je nieuwsbrief inschrijvingen. Ik heb Magento zelf gesproken aangaande GDPR, zij geven aan zeker bezig te zijn met de ontwikkelingen m.b.t. GDPR en de techniek binnen Magento. Wat er vanuit Magento zelf komt is vooralsnog onduidelijk. Uiteraard zijn er legio mogelijkheden te bedenken die via extensies te beheren zijn. Maar wees daarbij wel alert, het gaat hier uiteraard niet om een extra functionaliteit die direct commercieel inzetbaar is. Daarom is het cruciaal om je niet te laten verleiden de eerste de beste extensie te pakken. Collega Willem Poortman schreef recent een blog over Magento 2 extensies. Zeker interessant om in de overweging mee te nemen.

Bewaartermijnen

Voor verschillende webshops gaat het mogelijk impact hebben; de termijn waar gegevens op worden geslagen. De nieuwe AVG/GDPR stelt dat gegevens niet langer bewaard mogen worden dan strikt noodzakelijk voor het doel waarvoor de gegevens dienen. Bedenk dat als jij je kledingmaat invoert voor een specifieke kleding bestelling dit niet nodig is om nog jaren te bewaren, maar dat bij bijvoorbeeld een factuur dat anders geldt. Welke gegevens voor welk doel en welke termijn opgeslagen worden dienen expliciet benoemd te worden in de privacy policy. Daarnaast moet het interne beleid doordrongen zijn bij het personeel om vragen/audits direct te kunnen beantwoorden.

Een concrete tip waar een webshop owner over na kan denken is het splitsen van gegevens in verschillende databases. Enerzijds om het opschonen van gegevens beter beheersbaar te maken, anderzijds om data breaches te vermoeilijken. Als er al gegevens op straat komen te liggen is het niet direct alles wat kan leiden tot de identificatie van personen.

Ook is het natuurlijk zo dat gegevens niet persé in je eigen omgeving opgeslagen hoeven te worden. Kijk kritisch welke gegevens de klant zelf in een lokaal cookie bestand kwijt kan. Kortom, sla geen zinloze gegevens op die mogelijk een risico vormen voor jou als merchant en voor de klant.

Interne naleving

Een factor die misschien wel het zwaarst weegt, in het opzetten en naleven van het GDPR, is het zorgdragen dat alle partijen die invloed hebben op de GDPR zich hiervan bewust zijn.

Zorg dat je klantenservice weet wat de rechten van de klanten zijn, zodat zij dit via de verschillende contactmogelijkheden op de juiste manier toelichten. Ik ben van mening dat het wantrouwen richting dataopslag en verwerking van consumenten veel invloed heeft op het succes van je webshop. Wees transparant en toon aan dat het meerwaarde heeft dat er data opgeslagen en verwerkt wordt en maak er niet iets geheimzinnigs van.

Heb een protocol klaar voor eventuele datalekken. Moet je het lek melden? Dat hangt af of er schade kan ontstaan aan een individu. Kortom, kan de gelekte data een individu identificeren of bijvoorbeeld bij creditcardgegevens geld kosten, dan moet er altijd gemeld worden (voor ons Nederlanders) bij de Autoriteit Persoonsgegevens. Daarnaast moet je altijd de individuen waar het datalek betrekking op heeft informeren. Beide tenminste binnen 72u na het ontdekken van het datalek.

Voorkomen is beter dan genezen

Uiteraard, lekker cliché, voorkomen is beter dan genezen. Inkoppertje. Het belangrijkste aan het GDPR wat mij betreft: ga met stakeholders van je webshop (technisch beheerder, financieel beheer, strategie/commercieel, customer service manager etc. etc) beleid maken. Ga indexeren welke data je gebruikt en waarvoor. Is dat allemaal nodig en ga splitsen. Maak actief beleid op het verwijderen van data die je niet meer nodig hebt en zorg dat zowel intern als extern tot in den extreme duidelijk is hoe er met data om wordt gegaan en welke stappen/processen daarin gebruikt worden, vanaf het moment dat de klant de eerste keer je website bezoekt. Als je naam als merchant eenmaal oppopt in het kader van databreaches dan ben je daar niet zomaar vanaf.

Een keer met één van onze consultants en/of technische specialisten kijken of je de goede dingen (al) doet? Bel ons eens…

Wij zijn benieuwd naar je mening

Vragen? Neem gerust contact op met onze collega