Magento & Shopware
Services

AVG / GDPR: Impact van het recht om vergeten te worden op Magento shops

1 februari 2018
door SupportDesk

In de Algemene Verordening Gegevensbescherming (AVG) wordt in artikel 17 gesproken over het recht op gegevenswissing, ook wel “recht op vergetelheid” genoemd. Dit houdt in dat wanneer een consument aan u vraagt om vergeten te worden dat, in een aantal gevallen, u zijn persoonsgegevens moet verwijderen. De achterliggende gedachte bij dit recht is dat een consument de verwijdering van zijn gegevens kan vorderen indien zijn gegevens onrechtmatig zijn verwerkt. Ook wanneer er geen geldige reden meer is voor een organisatie om de gegevens te bewaren heeft de consument hier recht op. De periode dat een organisatie gegevens mag bewaren verschilt per verwerking en het doel voor deze verwerking. Hier kunt u meer over terugvinden het artikel “bewaartermijnen van persoonsgegevens”.

Wanneer moet ik de gegevens van mijn klant(en) verwijderen?

In artikel 17 van de AVG GDPR staat dat wanneer de consument zijn recht op gegevenswissing wilt gebruiken, de webshop verplicht is hier aan te voldoen om de volgende redenen:

  • De persoonsgegevens niet langer nodig zijn voor het doel waar deze voor zijn verzameld en/of verwerkt.
  • De consument trekt zijn verleende toestemming voor het verwerken van zijn persoonsgegevens in, en er is geen andere rechtsgrond voor het verwerken van zijn gegevens.
  • De consument bezwaar maakt tegen de verwerking van zijn gegevens en er zijn geen andere rechtsgronden om de gegevens te verwerken. Dit kan onder andere gebeuren wanneer er geen goede rechtsgronden zijn voor de verwerking. Denk daarom goed na over het doel van elke verwerking en of dit echt nodig is.
  • De persoonsgegevens zijn onrechtmatig verwerkt.
  • De persoonsgegevens moeten worden gewist om aan de wettelijke verplichtingen binnen de EU of lidstaat te voldoen.

Er zijn dus een aantal gronden (hierboven) waarop de consument zich kan beroepen op zijn recht van vergetelheid. Hoelang mag een webshop hier over doen om dit te bewerkstelligen? In de AVG wordt gesproken over gegevenswissing “zonder onredelijke vertraging”. Je dient dit dus zo snel mogelijk te realiseren voor de consument, met uiterlijk een maand na verzoek als deadline. Iedere koppeling naar of kopie of reproductie van de persoonsgegevens van de consument moeten dan gewist worden. Staan deze gegevens ook bij derde partijen? Dan moeten deze ook ingelicht worden. Hierbij dient wel rekening te worden gehouden met de beschikbare techniek, de uitvoeringskosten en redelijkheid van de maatregelen.
De consument kan echter niet altijd zijn recht om vergeten te worden uitoefenen. Dit geldt niet, volgens artikel 17 van de AVG, als de verwerking van gegevens nodig zijn om de volgende redenen:

  • “Voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie”
  • Voor het nakomen van een wettelijke verwerkingsplicht binnen de EU.
  • “Om redenen van algemeen belang op het gebied van volksgezondheid”
  • “Met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden”
  • “Voor de instelling, uitoefening of onderbouwing van een rechtsvordering”

Hoewel de consument veel gronden heeft om zijn gegevens te laten wissen is het geen absoluut recht. Er is expliciet belangenafweging opgenomen tussen de vrijheid om informatie te verwerken en recht op gegevenswissing (recht van vergetelheid), waar de consument zich op kan beroepen. Desalniettemin zal je enige aanpassingen moeten doen in jouw organisatie en Magento shop om jouw klanten, die de wens hebben vergeten te worden, te kunnen voorzien in hun rechten.

Wat is de impact op de Magento front-end?

Een van de belangrijkste grondbeginselen van de AVG GDPR is dat het intrekken van toestemming, het bezwaar maken tegen gegevensverwerkingen en andere manieren om je recht om vergeten te worden uit te oefenen, even makkelijk moet gaan als het toestemming ervoor geven. Dit betekent dat je op je Magento front-end een aantal dingen op orde moet hebben:

  • Informeren van de klant.
    • Zorg dat op jouw Magento shop duidelijk wordt vermeld, bij het geven van toestemming en in je privacyverklaring, dat de consument ook het recht heeft om vergeten te worden. Onder het recht van informatieverplichting dien je ook aan te geven wie de klant kan benaderen als deze hier vragen over heeft.
  • Makkelijk proces maken.
    • Zorg dat jouw klanten op een makkelijke manier hun recht om vergeten te worden kunnen uitoefenen. Immers, als de consument met één enkel vinkje zijn toestemming kan geven, moet deze met hetzelfde gemak dit kunnen intrekken.

Wat is de impact op de Magento back-end?

In de Magento back-end en in de organisatie dien je ook de nodige maatregelen te treffen;

  • Register.
    • Omdat je aan de autoriteiten moet kunnen aantonen of je toestemming hebt verkregen om persoonsgegevens van een consument te verwerken, dien je hiervoor een register te hebben. Hierin kun je bijhouden (en aantonen) wanneer de consument toestemming heeft gegeven of deze heeft ingetrokken voor het verwerken van zijn persoonsgegevens.
  • Gegevensprocessen.
    • Het is raadzaam een overzicht te maken van al je processen die persoonsgegevens verwerken. Hierdoor krijg je overzicht waar welke data naartoe wordt gestuurd en waar deze worden opgeslagen. Met emailmarketing-, administratie-, payment provider- en andere tools staan de persoonsgegevens van jouw klanten al snel in meerdere databases. Bij het recht om vergeten te worden dient deze informatie, zover de techniek, kosten en moeite dit toelaten, overal verwijderd te worden.
  • Derde partijen.
    • Staat deze informatie bij een derde partij omdat je bijvoorbeeld de marketing en administratie heeft uitbesteedt, dan dien je deze partijen ook in te lichten. Om dit goed en conform AVG wetgeving te laten verlopen raden wij je aan gegevensverwerkingsovereenkomsten af te sluiten met dergelijke derde partijen. Hierin kun je afspreken bepaalde processen te automatiseren of bepaalde gegevens te anonimiseren, wat veel tijd kan besparen.

Zowel op de Magento front-end als back-end zal je dus enige aanpassingen moeten maken. Het komt er, in dit deel van de AVG / GDPR, allemaal op neer dat jij de klant goed informeert over zijn “recht om vergeten te worden” en dat jij dit recht, middels een makkelijk proces en snel proces, voor de klant kunt realiseren.

Wil je meer weten over wat jij volgens de AVG allemaal op orde moet hebben in jouw Magento shop? Kijk voor meer relevante onderwerpen op onze eerste blog. Advies op maat? Neem gerust contact met ons op.