Eind november heeft Bas al een blog geschreven met een algemene uitleg over GDPR/AVG. In de tussentijd heeft Magento ook niet stil gezeten. Afgelopen week kwam er meer informatie naar buiten wat Magento van plan is en waar merchants op kunnen rekenen.

GDPR in het kort
General Data Protection Regulation -of zoals we het in Nederland noemen: AVG- is een nieuwe Europese wetgeving waarbij bescherming van persoonlijke data centraal staat. Het is namelijk de bedoeling dat we hier voorzichtig mee om gaan. Persoonlijke data is alle data waarmee een persoon mee geïdentificeerd kan worden. Je denkt hierbij al snel aan gegevens zoals naam, adres, e-mail adres. Maar vergeet ook zeker niet het IP adres, Social media posts en cookie data.

De rol van Magento

Het voldoen aan de AVG gaat verder dan alleen een paar aanpassingen aan het Magento platform. Magento is dus zeker niet alleen verantwoordelijk. Magento is namelijk de ‘data processor’ terwijl de merchant een ‘data controller’ is. Hierbij horen hele andere verplichtingen.

Contracten

Een van de verplichtingen vanuit Magento is het aanpassen van alle contracten met de Merchants. Deze dienen namelijk te voldoen aan de GDPR regels. Deze contracten zullen in eerste instantie geleidelijk worden aangepast. Maar je kunt ook een aanvraag indienen om het Data Processing Agreement direct aan jouw contract toe te voegen.

Technologie
Om te voldoen aan de verplichtingen als ‘ data processor’ zijn er niet direct aanpassingen nodig aan het platform. De producten van Magento hebben immers al standaard hele goede beveiliging opties. Magento is momenteel wel bezig met een mapping om de merchant inzicht te geven welke data waar wordt opgeslagen. Dit zal in eerste instantie een document worden. Deze informatie kan de merchant delen met de klanten. Tools die bijvoorbeeld het verwijderen van klanten data automatiseren is vooralsnog toekomstmuziek. De merchant staat natuurlijk altijd vrij om dat zelf wel te laten maken.

Vergeet ook niet…

Zoals al eerder aangegeven liggen de meeste verplichtingen om te voldoen aan de GDPR bij de merchants. Vergeet dus zeker niet de locatie van je data opslag en alle extensies.

Locatie data opslag

Het is inmiddels algemeen bekend dat het opslaan van data in de EU een hogere standaard heeft dan in de Verenigde Staten. Magento is bezig met het Privacy Shield certificaat. Dit certificaat zorgt ervoor dat ook alle data opgeslagen in de VS aan hoge standaarden voldoen.

Voor alle Magento producten zoals Magento BI en Magento Order Management kun je al kiezen om de data op te slaan in Ierland. Het is zeker de moeite waard om goed te kijken in welk land alle data wordt opgeslagen.

Magento Marketplace extensies

We verwachten dat de extensies van de Magento Marketplace of van andere derde partijen nog het meeste ‘gevaar’ gaan opleveren. Het is enorm belangrijk om alle extensies goed te bekijken en in contact te treden met de makers van deze extensies. Het is namelijk goed mogelijk dat bepaalde extensies ook extern data opslaan of doorsturen naar externe partijen. Zorg ervoor dat alle derde partijen waarmee wordt samengewerkt voldoen aan de GDPR regels.

Meer weten?
Wil je meer weten hoe je kan voldoen aan alle GDPR eisen? Geef dit dan zeker door aan je consultant of neem contact op met Guapa. We vertellen er graag meer over en houden je dan op de hoogte van alle toekomstige updates en events (zoals onze GDPR voor e-commerce training).