€ 0,00*
Magento & Shopware
Services

AVG / GDPR: Hoelang mag ik persoonsgegevens bewaren in mijn Magento shop?

18 januari 2018
door SupportDesk

De AVG / GDPR dwingt organisaties om, aan zowel hun klanten als de autoriteiten, aan te kunnen tonen met welk doel zij persoonsgegevens voor bepaalde periodes willen bewaren. Hoe je dit dient te bepalen en wat de richtlijnen hiervoor zijn, zullen we in deze blog uitleggen.

Bewaartermijnen voor persoonsgegevens volgens de AVG/GDPR

In de Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de General Data Protection Regulation (GDPR), staat in richtlijn (39) dat ervoor wordt gezorgd dat de opslagperiodes van persoonsgegevens, voor het doel waarvoor deze zijn verzameld, tot een strikt minimum worden beperkt. In Artikel 5.1 (e) van de AVG wordt hier dieper op ingegaan met de uitleg dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

Wat betekent dit precies?

De AVG/GDPR geeft dus geen concrete bewaartermijnen aan voor persoonsgegevens. De focus ligt op het doel waarvoor je de persoonsgegevens bewaard en de beargumentering over de duur ervan. Heb je een 100 dagen retour policy (herroepingsrecht), dan is het wellicht handig om na 100 dagen te weten om welke klant en aankoop (overeenkomst) het ging. De maat van zijn trui heb je, afhankelijk van het doel waarvoor je die hebt gekregen, waarschijnlijk minder lang nodig. Je dient dus goed te kunnen beargumenteren hoelang de gegevens van jouw klanten bewaard worden en wat het doel hiervoor is.

Dit gaat echter om een strikte minimum van opslagperiodes van persoonsgegevens. Het is dus wel mogelijk om gegevens langer te bewaren mits de persoonsgegevens geanonimiseerd kunnen worden en daarmee dus niet meer de directe en indirecte identificatie van een persoon mogelijk maken. Artikel 89 geeft ook uitzonderingen aan voor archivering, algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Verwerkt uw Magento shop gegevens voor zulke doeleinden dan kunt u dit aangeven in uw privacyverklaring.

Wat betekent dit voor mijn Magento shop?

Nu u inzicht heeft in de eisen van de AVG / GDPR moet dit geoperationaliseerd worden. Hieronder zijn drie stappen waar u tenminste rekening mee dient te houden.

  • 1. Het in kaart brengen van de bewaartermijnen
    • Zorg dat je per verwerking in kaart brengt hoelang je bepaalde gegevens (afhankelijk van het doel waarvoor je ze verzamelt) mag bewaren. Het is belangrijk dat je omschrijft welke verwerkingen er zijn en wat de doeleinden zijn voor de bewaartermijnen.
  • 2. Processen opstellen
    • Zorg dat er processen zijn die ervoor zorgen dat jou tijdig informeren over gegevens die verwijderd moeten worden of zorg ervoor dat deze informatie, na verloop va het bewaartermijn, automatisch worden verwijderd. Het is belangrijk dat dit goed en consequent gebeurd. Immers, de autoriteiten kunnen jou vragen dit aan te tonen. Voor de juiste tips om dit technisch en organisatorisch te borgen kun je een kijkje nemen op de pagina van Privacy by Design.
  • 3. Informeren
    • Informeer je klanten over je bewaartermijnen, de doelen van deze termijnen, wat er na deze termijnen gebeurd. Je doet er goed aan om al deze informatie op te nemen in je privacyverklaring.

wil je meer weten over wat jij volgens de AVG allemaal op orde moet hebben in jouw Magento shop? Kijk voor meer relevante onderwerpen in onze eerste blog. Daar worden alle relevante onderwerpen behandeld. Advies op maat? neem gerust contact met ons op.

Deze website maakt gebruik van cookies om de best mogelijke ervaring te waarborgen. Meer informatie...