Magento & Shopware
Services

AVG / GDPR: Impact informatieverplichting naar de consument op Magento shops

25 januari 2018
door SupportDesk

Onder de Europese Algemene verordening gegevensbescherming (AVG), of General Data Protection Regulation (GDPR), dien jij transparant te communiceren naar jouw klanten van wie jij persoonsgegevens verwerkt. Dit houdt in dat jij duidelijk moet vermelden dat (persoons) gegevens van jouw klanten worden verzameld, verwerkt of op een andere manier worden gebruikt. Ook is het van belang dat de klant geïnformeerd wordt over zijn rechten en op welke wijze deze kunnen uitgeoefend kunnen worden.

De AVG / GDPR legt hiermee alle verantwoordelijkheid bij de organisaties die gegevens van hun klanten verwerken. Maar welke informatie ben je verplicht te delen met jouw klanten, wanneer moet je dit delen en wat is de impact jouw Magento shop hiervan? In afdeling 2 artikel 13-15 van de AVG wordt uitgebreid ingegaan op de informatie die je moet delen.

Informatieverplichting volgens de AVG / GDPR

Het is de taak van de webwinkelier om klanten, van wie (persoons)gegevens worden verzameld, te informeren over wat er precies met die gegevens wordt gedaan en wat voor rechten zij hebben. Artikel 13 van de AVG geeft als volgt aan welke informatie verstrekt moet worden:

  • 1. De identiteit en contactgegevens van de organisatie. De klant moet weten hoe hij contact met je op kan nemen.
  • 2. Indien aanwezig, de contactgegevens van de Data Protection Officer (DPO). Of u een DPO nodig heeft kunt u hier terugvinden.
  • 3. Het doel waarvoor de persoonsgegevens verzameld worden en op welke rechtsgrond dit gebaseerd is.
    • Ook op rechtsgronden waarvoor je geen toestemming van de klant nodig hebt voor het verwerken van zijn persoonsgegevens (gerechtvaardigd belang), dien jij deze wel te informeren. Voor gerechtvaardigde belangen (het verwerken van persoonsgegevens waar geen toestemming voor nodig is) dien je dus wel aan te geven wat dit belang is.
  • 4. Indien informatie wordt doorgegeven, opgeslagen of verwerkt door derden; welke maatregelen zijn genomen om privacy te waarborgen, waar een kopie kan worden verkregen of waar ze kunnen worden geraadpleegd.
    • Indien het derden partijen buiten de EU betreffen, dient extra goed gelet te worden op de waarborging van hoe gegevens conform de AVG worden verwerkt.
    • Hiervoor kunnen dataverwerkingsovereenkomsten gebruikt worden.
  • 5. Informatie over de periode gedurende welke persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijnen. hoelang wil jij gegevens van jouw klanten bewaren en voor welk doel? Meer hierover kunt u teruglezen in de blog over bewaartermijnen.
  • 6. Informatie over de rechten van de klant en de manier hoe deze kan vragen om inzage, rectificatie of het wissen van zijn verzamelde gegevens. Ook dient duidelijk vermeld te worden waar klachten ingediend kunnen worden en waar bezwaar kan worden gemaakt.
    • Het recht om gegevens te wissen wordt ook het “Recht om vergeten te worden” genoemd. Hier hierover kunt u in deze blog lezen.
  • 7. De klant heeft ten alle tijden het recht heeft om zijn toestemming in te trekken, zonder dat dit afbreuk doet op de rechtmatigheid van de verwerking, op basis van toestemming voor de intrekking.
  • 8. Het informeren van de klant dat hij het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit.
  • 9. Het vermelden of het verstrekken van persoonsgegevens een wettelijke of contractuele verplichting is of een noodzakelijk voorwaarde is om een overeenkomst te sluiten. Ook moet duidelijk vermeld worden wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt.
    • Denk hierbij aan het eisen van leeftijdsgegevens voor het verkopen van bijvoorbeeld alcohol. Het is een noodzakelijke voorwaarde om tot een overeenkomst (koop) te komen. Je bent immers wettelijk verplicht te kunnen aantonen dat je alcohol hebt verkocht aan iemand die ten minste 18 jaar is. Een mogelijk gevolg kan dus zijn dat, wanneer de klant weigert zijn leeftijd op te geven, deze geen toegang tot de shop krijgt of geen producten mag bestellen.
  • 10. Indien gebruik wordt gemaakt van geautomatiseerde besluitvorming dient je een uitleg te geven over de onderliggende logica, het belang van deze verwerkingsvorm en de verwachte gevolgen van die verwerking voor de klant.
    • Verstrek je bijvoorbeeld kredieten, online via je Magento shop, en worden deze beslissingen automatisch gemaakt op basis van de verstrekte persoonsgegevens? Dan dien je dus informatie te verstrekken over de werking van dit proces en het belang ervan.
  • 11. Indien je van plan bent persoonsgegevens te verwerken voor een ander doel dan waarvoor deze zijn verstrekt, dien je gegevensverstrekkers hiervan op de hoogte stellen en toestemming te verkrijgen alvorens je hiermee aan de slag gaat.

Wat voor effect heeft dit op mijn Magento shop?

De AVG vraagt organisaties een grote hoeveelheid informatie te verstrekken. Wat en welke informatie je precies dient te delen is duidelijk gespecificeerd. De “waar” en “wanneer” is echter minder duidelijk omschreven, behalve bij het vragen van toestemming. Voor overige informatieverstrekking wordt alleen gesproken over een “duidelijk vindbare plaats”. Wij raden daarom aan om, zolang de AVG hierover niks specifieert, de net opgenoemde punten op te nemen in je privacyverklaring. Meer informatie over je Privacyverklaring kun hier vinden.

wil je meer weten over wat jij volgens de AVG allemaal op orde moet hebben in jouw Magento shop? Kijk voor meer relevante onderwerpen in onze eerste blog. Daar worden alle relevante onderwerpen behandeld. Advies op maat of andere vragen? neem gerust contact met ons op.