AVG / GDPR: Privacy by design voor Magento shops

Geschreven door Mats van de Seijp.

AVG-GDPR 25 mei 2018Omdat webwinkels regelmatig persoonsgegevens verwerken is het van belang dat de nodige beschermingsmaatregelen worden getroffen. Daarom wordt er in de Algemene Verordening Gegegevensbescherming (AVG), of General Data Protection Regulation (GDPR), gesproken over Privacy by Design.

Privacy by Design

Privacy by Design en Privacy by Default worden vaak in één adem genoemd in de AVG GDPR, echter hebben deze verschillende betekenissen. Beide worden genoemd in artikel 25 van de AVG: “Gegevensbescherming door ontwerp en door standaardinstellingen”. De verschillen tussen deze twee begrippen worden hieronder toegelicht.

Privacy by design. Letterlijk vertaald: ‘gegevensbescherming door ontwerp’. Het idee is dat het ontwerp van jouw (Magento 1, Magento 2) webshop, zowel op technisch als organisatorisch vlak, een zorgvuldige omgang met persoonsgegevens afdwingt. In de praktijk betekent dit dat een Magento shop zo ontworpen wordt dat je rekening houdt met de privacy-uitgangspunten van de AVG / GDPR.

Privacy by Default is een onderdeel van Privacy by Design, welke zich focust op de standaardinstellingen rondom de privacy van persoonsgegevens. Privacy by Default gaat er vanuit dat de standaardinstellingen voor jouw klanten altijd zo privacy-vriendelijk mogelijk zijn. Je ziet dat deze twee termen er samen voor zorgen dat webshops niet alleen technisch en organisatorisch rekening moeten houden met de AVG, maar dit ook als standaardinstelling dienen te hanteren.

Wat betekent Privacy by design voor mijn Magento shop?

Stichting Internet Domeinregistratie Nederland (SIDN) heeft in samenwerking met andere partijen een Privacy by Design Framework ontwikkeld. Hieruit zijn 8 maatregelen voortgekomen waarmee jouw organisatie en Magento shop aan de eisen van Privacy by Design kunt voldoen. Deze zijn opgedeeld in 4 data- en 4 proces-georiënteerde strategieën. De acht maatregelen zijn:

Data-georiënteerde strategieën

  • 1. Beperking van gegevensverwerking (dataminimalisatie)
    • Onder het mom van een strikt minimum van gegevensopslag en gegevensverwerkingen (richtlijn 39, AVG), dien je ervoor te zorgen dat je zo weinig mogelijk gegevens verwerkt. Bedenk goed welke gegevens je ‘echt nodig hebt, definieer voor welke doeleinden en zorg dat gegevens die je niet meer nodig hebt worden verwijderd. Meer over dataminimalisatie en bewaartermijnen kun je hier vinden.
  • 2. Bewaar gegevens gescheiden
    • Door verschillende persoonsgegevens van één persoon op verschillende databases/opslaglocaties te bewaren spreid je veel risico en verminder je de “betekenis” van deze data. Dit heeft meerdere voordelen:
    • i. Bij een hack liggen niet direct hele profielen van jouw klanten op straat.
    • ii. De losse gegevens (aparte databases) zeggen afzonderlijk weinig over elkaar
    • iii. Dit heeft ook invloed op je meldplicht bij datalekken.
  • 3. Abstraheer
    • Beperk zoveel mogelijk het detail waarin persoonsgegevens worden verwerkt. Aggregeer informatie over categorieën i.p.v. individuen en vat gedetailleerde informatie samen in meer algemene gegevens.
  • 4. Bescherm de gegevens die je hebt
    • Het beschermen van gegevens kun je doen door onder andere de volgende technieken in te zetten:
    • Pseudonimiseren. Pseudonimiseren is een Privacy Enhancing Technique (PET) waarmee het herleiden van persoonsgegevens naar individuen moeilijker wordt gemaakt. Pas met de juiste sleutel of aanvullende gegevens kunnen (persoons)gegevens ontsleuteld en leesbaar gemaakt worden, en zodoende worden herleid naar individuen.
    • Anonimiseren. Het wordt vaak verward met pseudonimiseren maar, vooral volgens de AVG / GDPR, heeft anonimiseren een hele andere betekenis. Het verschil ligt in het terug kunnen herleiden van gegevens, wat bij pseudonimiseren mogelijk is. Bij anonimiseren is dit niet meer mogelijk wat betekent dat persoonsgegevens, na toepassing van anonimiseren, niet meer te herleiden is. Deze data worden dus niet meer gezien als persoonsgegevens en vallen dus ook niet meer onder de AVG. Anonimiseren kun je gebruiken als je gegevens nog wilt bewaren voor bijvoorbeeld analytische of statistische doeleinden, maar herleide tot individuen niet langer noodzakelijk of rechtmatig is.
    • Het tijdig patchen van je Magento shop
    • Gebruik van verschillende encrypties

Proces-georiënteerde strategieën

  • Informeer
    • Informeer gebruikers op een begrijpelijke manier over de verwerking van hun persoonsgegevens en wat jouw organisatie allemaal doet om hun gegevens veilig te stellen. Zorg dat jouw gebruikers gewaarschuwd worden als hun persoonsgegevens worden gebruikt, of als deze zijn gelekt. Wanneer je dit wel of niet moet melden aan de gebruiker kun je hier terugvinden.
  • 2. Geef controle
    • Wat een organisatie allemaal mag doen met persoonsgegevens is totaal afhankelijk van de consument. Geef gebruikers dan ook de controle over de verwerking van hun persoonsgegevens op jouw Magento shop. Vraag om toestemming, geef de mogelijkheid om dit in te trekken, te corrigeren of te verwijderen.
  • 3. Dwing af
    • Committeer je organisatie aan een privacy-vriendelijke verwerking van persoonsgegevens. Zorg dat jouw Magento shop privacy by default hanteert en dat dit via technische en organisatorische maatregelen wordt afgedwongen.
  • 4. Toon aan
    • Zorg dat je kunt aantonen dat je op een privacy-vriendelijke wijze, conform AVG normen, aan het werk bent. Zorg dat je log/register op orde is, doe regelmatig audits en rapporteer de resultaten. Je zou je eventueel zelfs kunnen laten certificeren.

De Privacy by Design strategieën geven vooral een goed overzicht hoe jij, in grote lijnen, je organisatie moet inrichten om data zo veilig en anoniem mogelijk te houden, zoals; gegevens gescheiden bewaren, abstraheren, bBeschermen van gegevens. De andere strategieën staan verspreid in de AVG wetten en al beschreven als richtlijnen of verplichtingen; Dataminimalisatie, informatieverplichting, controle (rechten van consumenten), aantonen (verantwoordingsplicht). De implementatie van deze strategieën verschillen afhankelijk of je een Magento 1 of Magento 2 shop hebt. Als je hier eens over wilt sparren helpen wij je hier graag mee.

Wil je meer weten over wat jij volgens de AVG / GDPR allemaal op orde moet hebben in jouw Magento shop? Kijk voor meer relevante onderwerpen op onze eerste blog. Even sparren of advies op maat? Neem gerust contact met ons op.

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens