Is jouw Magento webshop geschikt voor de komst van de AVG?

12-apr-2018

Vanaf 25 mei 2018 is de nieuwe Europese privacywetgeving van toepassing in alle lidstaten van de Europese Unie. De Algemene Verordening Gegevensbescherming (verder AVG) wordt op z’n Engels ook wel de General Data Protection Regulation (verder GDPR) genoemd. De AVG / GDPR vervangt de huidige Nederlandse wetgeving, de Wet bescherming persoonsgegevens (Wbp).

Met deze Europese regelgeving wordt de privacywetgeving in alle Europese landen voor een heel groot deel gelijk getrokken. Verkoop je (ook) aan consumenten in andere EU-landen, dan geeft deze wet je ook een stukje rechtszekerheid.

Maar wat voor gevolgen heeft deze nieuwe privacywetgeving nu voor jou als Magento webwinkelier?

Gevolgen van de komst van AVG voor je Magento webshop

Als we kijken wat er voornamelijk gaat gebeuren met de komst van de AVG met het oog op webshops dan kun je dat terugbrengen naar; Transparantie en accountability.

Transparantie
Als onderneming word je verplicht open te zijn over de persoonsgegevens die je verzamelt, wat je daar mee doet en met welke beweegreden. Zo mag je als simpel voorbeeld niet bij het vragen van data voor een nieuwsbrief een telefoonnummer vragen. Want dat streeft het doel voorbij waarvoor je de persoonlijke gegevens van je bezoekers nodig zou hebben.

Accountability
Daarnaast moet je kunnen aantonen dat jouw beveiligingsmaatregelen op orde zijn. Dat betekent dat je actief communiceert over problemen op je platform. Een data-lek is simpelweg nooit 100% te voorkomen, daar gaat de AVG dan ook niet van uit.

Maar mocht het toch gebeuren, dan moet je bij de nationale toezichthouder (de Autoriteit Persoonsgegevens) kunnen aantonen dat jouw beveiliging en gegevensadministratie op orde zijn.

Transparantie en accountability kan een heleboel verschillende raakvlakken hebben. Specifiek op iedere situatie kunnen wij niet ingaan zoals je wellicht kunt begrijpen, maar we kunnen wel algemene zaken die hierbij komen kijken inzichtelijk maken voor je.

Welke persoonsgegevens mogen webshops verzamelen?

Er is in eigenlijk geen harde beperking op het soort of aantal persoonsgegevens dat je mag verzamelen of verwerken als webshop zijnde. Wel moet je voor de verwerking van iedere vorm van persoonsgegevens een geldige reden hebben.

Je mag niet meer zoals in bovenstaande korte situatieschets gegevens vragen die niet in lijn liggen met het doel waarvoor je gegevens verzamelt.

Binnen de persoonsgegevens die je als webshop kunt verzamelen krijg je te maken met een aantal verschillende gradaties;

Het verwerken van gegevens voor de uitvoering van een overeenkomst

De meeste gegevens die je als webshop verzamelt en verwerkt zullen noodzakelijk zijn voor de uitvoering van de overeenkomst. Hieronder vallen bijvoorbeeld zaken zoals ‘Naam, adres en betalingsgegevens’ deze heb je immers nodig om een bestelling te kunnen leveren aan je klant.

Het verwerken van gegevens vanwege een gerechtvaardigd belang

Een voorbeeld hiervan is het gebruik van direct marketing, hierbij is gerechtvaardigd belang van toepassing. Wanneer je een e-mailadres hebt verkregen vanwege een geplaatste bestelling, mag je dit mailadres vervolgens gebruiken om een klant over andere producten te informeren.

Wel komt daar een kanttekening bij kijken; een klant moet makkelijk bezwaar kunnen maken tegen dit type gebruik van de verstrekte persoonsgegevens, bijvoorbeeld door zijn e-mailadres uit te schrijven voor alleen deze direct marketing.

Het verwerken van gegevens na toestemming van de klant

Deze strekking hebben we in de voorbeelden eigenlijk aangehaald. Als je op toestemming verzamelt dan mag het gevraagde alleen in lijn zijn met het achterliggende doel.

Welke verplichtingen heb je als webshop ten opzichte van je klanten?

Je moet als webshop voornamelijk transparant zijn over de persoonsgegevens die je van je klant bewaard, met het daar achterliggende doel en hoe ze gebruikt gaan worden.

De meest gangbare manier om klanten te informeren is via een privacybeleid (privacy policy) die via jouw webshop te raadplegen is. In je privacybeleid moeten in ieder geval de volgende zaken in duidelijke taal worden benoemd;

 • Welke persoonsgegevens je van klanten verzameld
 • Het doel waarvoor de persoonsgegevens verzameld worden
 • Informatie over de wijze van inzage, aanpassing of het verwijderen van persoonsgegevens
 • De termijn van het bewaren van de gegevens
 • Derden waar persoonsgegevens mee worden gedeeld (en hun rol)
 • Contactgegevens van je webshop.

Begrijpelijke taal
Daarbij is van belang dat het privacy beleid voortaan ook geheel duidelijk moet zijn voor iedereen welke deze leest. Geen ‘onnodig’ gebruik van jargon wat het voor mensen die er niet bekend mee zijn lastiger maakt om het te begrijpen.

Advies voor je Magento webshop op gebied van AVG?

Laat je door LanthopusX adviseren!

Wat moeten klanten kunnen doen met hun persoonlijke gegevens

Klanten moeten de mogelijkheid hebben om hun eigen persoonsgegevens te kunnen corrigeren en te verwijderen. In je privacybeleid moet duidelijk staan hoe klanten dit kunnen doen.

Je bent vrij om dit te automatiseren, maar duidelijke contactgegevens (bijvoorbeeld e-mail) waar zo’n verzoek naartoe gestuurd kan worden volstaat ook. Het gaat om het bieden van de mogelijkheid.

Daarnaast moeten klanten ook de mogelijkheid hebben om hun data op te vragen, ook wel data-portabiliteit genoemd. Wanneer je zo’n verzoek krijgt, moet je de persoonsgegevens binnen een maand in een gangbare vorm opsturen aan de persoon die zijn/haar eigen data heeft opgevraagd.

Termijn van bewaren van persoonsgegevens

Voor iedere categorie persoonsgegevens moeten termijnen bepaald worden voor hoe lang je ze wilt bewaren en waarom. De AVG zegt niets over harde termijnen op dat gebied. De AVG zegt alleen dat gegevens bewaard mogen worden, ‘zolang dat nodig is voor het doel waarvoor ze verzameld zijn’.

Dat is natuurlijk open voor interpretatie.

Bij een Magento webshop is dat relatief makkelijk. Zolang een klant een account heeft, blijven de gegevens bewaard. Verwijdert een klant zijn account? Dan zal je binnen een redelijke termijn ook de gegevens daadwerkelijk moeten verwijderen en daar een bevestiging van geven.

Dit geldt natuurlijk niet voor gegevens die je vanwege een wettelijke verplichting langer dient te bewaren. Denk bijvoorbeeld aan facturen of gegevens van werknemers.

Er gelden geen bewaartermijnen voor geanonimiseerde klantengegevens.

Dat verschaft ook de nodige mogelijkheden; als je bepaalde klantdata wil bijhouden (zoals wat is de gemiddelde leeftijd, gemiddelde bestede bedrag) dan dien je deze te anonimiseren, maar dan ben je vrij om ze zo lang te bewaren als je wil.

Contactgegevens derden

Als Magento webshop deel je de klantgegevens ook in veel gevallen met jouw servicediensten zoals een betalingsprovider of pakketservice. Die doorgifte van persoonsgegevens is nou eenmaal ‘noodzakelijk voor de uitvoering van de overeenkomst’. Daarvoor heb je geen toestemming nodig van de klant.

Het enige wat verplicht is; is dat je wél de klant moet informeren over het feit dat de gegevens gedeeld worden. Het is voldoende wanneer je de verschillende categorieën servicediensten noemt.

Het is niet toegestaan om zonder expliciete toestemming persoonsgegevens door te geven aan derden indien dat niet noodzakelijk is voor de uitvoering van de overeenkomst. Een voorbeeld aan het doorverkopen van e-mailadressen aan derde partijen voor marketingdoeleinden.

Verwerkt jouw webshop of een derde partij de persoonsgegevens (ook) buiten de EU, dan moet je dit ook melden in je privacybeleid. Je moet je klanten informeren welke acties er in dat geval genomen worden om de gegevens te beschermen.

Welke verplichtingen heb je als webshop tegenover leveranciers?

Als we kijken naar de relatie tussen de webshop en leveranciers zijn er een aantal relaties mogelijk.

Verwerkersovereenkomst
Webshops werken vaak samen met externe partijen, of dat nu betalingsproviders zijn of andere partijen. Afspraken over die verwerking van gegevens moeten verplicht vastgelegd worden in een zogenaamde verwerkersovereenkomst.

Als webshop verzamel je de gegevens en word je aangemerkt als verwerkingsverantwoordelijke. De derde partij ontvangt de gegevens van jou voor een bepaald doel en wordt aangemerkt als verwerker.

De verwerkersovereenkomst geeft inzicht in de verplichtingen en verantwoordelijkheden van beide partijen. Het doel van een verwerkersovereenkomst is dan ook om ervoor te zorgen dat verwerkers de nodige beveiligingsmaatregelen nemen.

De onderstaande zaken moeten in een verwerkersovereenkomst opgenomen zijn:

 • De duur, beschrijving en doeleinden van de gegevensverwerking
 • Beveiligingsmaatregelen / audits
 • Waarborging van betrouwbaarheid van personeel
 • Melding van een datalek aan verwerkingsverantwoordelijke
 • Medewerkings- en inlichtingenplicht
 • Toestemming voor inschakelen subverwerkers (derden)
 • Waarborgen zoals ingericht voor gegevensverkeer buiten de EU

Zijn er nog meer zaken waaraan een webshop moet voldoen qua AVG?

Alles wat we tot nu toe besproken hebben gaat over de verplichtingen die je hebt als webshop tegenover klanten en leveranciers. Maar als webshop moet je ook kijken naar interne (nieuwe) procedures die ingesteld / aangepast moeten worden.

Hier gaan we in een later item verder op in, want anders wordt het enorm veel informatie om in 1 keer goed te kunnen verteren.

Zorg dat je Magento webshop voorbereid is op de AVG!

Laat LanthopusX je Magento webshop compliant maken!

Hoe nu verder?

De AVG-wetgeving legt heel wat nieuwe verplichtingen op aan eigenaren van een webshop. Maar het is niet nodig om hiervan te schrikken. Het betreft namelijk vooral het vergroten van de transparantie en accountability van bedrijven en je kunt hier zelf dan ook al veel maatregelen voor treffen.

Mochten bepaalde zaken niet duidelijk zijn of je mocht je hier vragen of hulp bij nodig hebben, dan helpt LanthopusX je natuurlijk graag verder. Neem vrijblijvend contact met ons op!

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend. Heb je specifieke vragen inzake deze nieuwe wetgeving, dan adviseren wij je om contact op te nemen op met een juridisch adviesbureau.

Op de hoogte blijven?

Schrijf je in voor de nieuwsbrief!