Magento & Shopware
Services

Dataportabiliteit: Impact GDPR / AVG op Magento shops

8 maart 2018
door SupportDesk

Bijna iedereen heeft het wel eens meegemaakt; je staat op het punt een account te verwijderen (bijv. je Facebook of Apple account) omdat je wilt overstappen naar een andere aanbieder, maar uiteindelijk doe je dit toch niet. De reden; je verliest anders die dierbare foto’s, video’s en contacten, gegevens die organisaties koste wat kost niet uit hun platform laten gaan. En geef deze bedrijven eens ongelijk, veel klanten beslissen hierdoor toch maar bij hun huidige service aanbieder te blijven.

Veel organisaties maken daarom dankbaar gebruik van deze “lock in” tactiek, om zo hun klanten te behouden. Met de introductie van het recht op dataportabiliteit in de Algemene Verordening Gegegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd, wordt deze “lock in” tactiek tegengegaan.

Dataportabiliteit volgens de AVG / GDPR

In Artikel 20 van de Algemene verordening gegevensbescherming (AVG) wordt gesproken over het recht op overdraagbaarheid van gegevens, ook wel dataportabiliteit genoemd. Dit recht houdt in dat de betrokkene het recht heeft om persoonsgegevens, die hij aan een organisatie heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere organisatie over te dragen. Als de consument hierom vraagt mag de organisatie dit proces niet hinderen of vertragen.

De reden dat dit recht is geïntroduceerd is zodat consumenten hun persoonsgegevens makkelijker van de ene digitale omgeving naar de andere kunnen verplaatsen. Deze controle over persoonsgegevens moeten consumenten meer macht geven, een “lock-in” voorkomen en concurrentie tussen dienstverleners vergoten.

Artikel 29-werkgroep

De artikel 29-werkgroep is het onafhankelijke advies -en overlegorgaan van Europese Privacytoezichthouders, welke in april 2017 een richtlijnen hebben gepubliceerd over het recht op dataportabiliteit. Het doel hiervan is onder meer om organisaties meer informatie te verstrekken over de interpretatie en implementatie over dit recht.

Toepassing van dataportabiliteit

Consumenten hebben alleen het recht op overdraagbaarheid van hun gegevens als aan de twee onderstaande vereisten is voldaan:

  • 1. De verwerkingen berusten op de toestemming van de consument of een overeenkomst; en
  • 2. De persoonsgegevens moeten via geautomatiseerde procedés worden verwerkt. (papieren bestanden vallen dus niet onder dit recht)

Bijvoorbeeld, zo vallen de films en series die jij op je online videodienst hebt bekeken onder het recht van dataportabiliteit, omdat deze gegevens worden verwerkt via een automatisch procedé en berusten op een overeenkomst die jij (de consument) hebt met de streamingdienst.De belastingdienst verwerkt ook gegevens van jou, namelijk voor het innen van diverse belastingen. Deze gegevens vallen echter niet onder de het recht op dataportabiliteit omdat de grondslag van de verwerkingen een wettelijke taak is van de belastingdienst en niet berust op toestemming of een overeenkomst.

Welke persoonsgegevens moeten worden overgedragen?

De persoonsgegevens die een organisatie moet verstrekken zijn:

  • 1. De persoonsgegevens over de consument (anonieme gegevens vallen hier niet onder)
  • 2. Persoonsgegevens die door de consument zelf zijn verstrekt. Deze groep kan worden onderverdeeld in twee categorieën.
    • Actief verstrekte gegevens. Dit zijn gegevens die de consument bewust overdraagt (bijvoorbeeld via een formulier op de website).
    • Gegevens die door het gebruik van de dienst door de consument zijn verstrekt. Hierbij kun je denken aan de zoekgeschiedenis, gebruiksgeschiedenis (zoals de films en series die jij hebt gekeken).

Hoe moeten gegevens worden aangeleverd?

Gegevens dienen door de onderneming in een gestructureerde, gangbare en machineleesbare vorm te worden verstuurd, verplaatst of gekopieerd te worden. Een standaardisatie van bepaalde formats en technieken is er echter nog niet. Organisaties moeten nu nog zelf bepalen hoe zij de gegevens van de consument overdragen aan de consument of een andere organisatie. De Europese Privacy adviesgroep (WP 29) adviseert echter wel een drietal punten om rekening mee te houden:

  • Een directe downloadmogelijkheid voor betrokkene
  • Een optie om gegevens direct door te kunnen sturen naar andere organisaties
  • Maatregelen om betrokkene te identificeren om misbruik te voorkomen

Als niet gekozen wordt voor een directe download -of doorstuurmogelijkheid, dient de organisatie een andere manier ter beschikking te stellen voor dataportabiliteit. Het verzoek tot dataportabiliteit dient in ieder geval binnen een maand te worden ingewilligd. In moeilijke gevallen mag een organisatie het termijn verlengen tot drie maanden, zolang de consument en/of derde partij hiervan op de hoogte wordt gebracht.

Wat heeft het recht op dataportabiliteit voor impact op mijn Magento shop?

Het recht op dataportabiliteit brengt veel (technische) uitdagingen met zich mee voor de Magento front-end en Magento back-end.

Magento Front-end

Op de Magento front-end dien je jouw consumenten in elke geval te voorzien van de volgende mogelijkheden:

  • De mogelijkheid tot dataportabiliteit. Dit kan door de consument te voorzien van een directe downloadmogelijkheid waarmee de consument zelf zijn gegevens kan downloaden of kan versturen naar een andere organisatie. Indien dit niet wenselijk of mogelijk is voor jouw webshop dien je een andere optie aan te bieden, bijvoorbeeld via een aanvraag formulier.
  • Een manier om identificatie te checken. Je wilt er zeker van zijn dat niet iemand anders dan de klant zelf deze gegevens kan downloaden. Je kunt dit bijvoorbeeld doen door accountgegevens, ordernummers of lidmaatschapsnummers te gebruiken ter verificatie.
  • Informatie. In de AVG, of GDPR, staat informeren centraal. Zorg dat je op een duidelijk vindbare plek jouw klanten informeert over hun rechten.

Magento Back-end

In de Magento back-end draait het allemaal om het zo efficiënt en veilig mogelijk realiseren van het recht op dataportabiliteit. De Magento back end moet ervoor zorgen dat de wensen, aangegeven door jouw klanten op de front end, gerealiseerd worden. Hiervoor is het handig om de technieken in kaart te brengen die je wilt gebruiken voor:

  • Filteren van gegevens. In het kader van dataportabiliteit moeten persoonsgegevens worden onderscheiden van andere gegevens. Dit betekent dat gegevens die buiten de overdraagbaarheid vallen, zoals betalingsgegevens en wachtwoorden, niet mogen worden meegenomen in dit proces.
  • Direct downloaden. Welke technieken ga je inzetten zodat jouw klanten hun data direct kunnen downloaden? Het direct kunnen opvragen van deze persoonsgegevens is niet de enige uitdaging. Je dient dit ook aan te leveren in een gestructureerde, gangbare en machineleesbare vorm. Wat voor soort data format(ten) je hiervoor moet gebruiken ligt aan het soort gegevens die jij moet aanleveren, de standaarden in jouw branche en/of de wensen van de klant.
  • Beveiliging. Dit punt werd ook al aangestipt aan de front-end kant, maar om aan te geven hoe belangrijk dit wel niet is stippen we het hier nogmaals aan. Immers, Indien slecht beveiligd, is dit voor kwaadwillende natuurlijk een mooie nieuwe manier om aan de data van jouw klanten te komen. Welke technieken ga je gebruiken om ervoor te zorgen dat hier geen misbruik van kan worden gemaakt?

Wij hopen dat deze blog je geholpen heeft inzicht te geven in wat er moet gebeuren om aan het recht op Dataportabilietit te voldoen, volgens de AVG / GDPR. Binnenkort posten wij nog een blog omtrent dit onderwerp waarin wij, aan de hand van showcases, jou laten zien hoe jij dit kan realiseren in jouw Magento shop.

Wil je meer weten over wat jij, volgens de AVG/GDPR, allemaal op orde moet hebben in jouw Magento shop? Kijk dan voor meer informatie op onze eerste AVG / GDPR blog, hier worden alle relevante onderwerpen behandeld. Even sparren of advies op maat om voor 25 mei AVG compliant te zijn? Neem gerust contact met ons op.