Hoe je jouw Magento shop klaarstoomt voor de GDPR

Als webshopeigenaar ben jij verantwoordelijk voor de veiligheid van je shop, ook bij een datalek. Vanaf 25 mei 2018 zullen deze verantwoordelijkheden voor webshopeigenaren toenemen door de nieuwe Europese wetgeving GDPR. Het is dan ook van belang dat je goed op de hoogte bent van de privacy vereisten voor jouw webshop.

Donderdag 12 april organiseerden we samen met SupportDesk een kennissessie AVG /GDPR voor Magento shops. In deze blog delen we alle key takeaways.
Inhoudsopgave

1. De GDPR: nieuwe europese privacywet vanaf 25 mei 2018
2. AVG & jouw Magento installatie
3. AVG & Webhosting
4. AVG & Payment Service Provider
5. AVG & verzekering: 100% veilig bestaat niet

Section 1

1. De GDPR: nieuwe europese privacywet vanaf 25 mei 2018

Zoals al in een eerdere blog uitgelegd is de GDPR is de Engelse benaming voor de Algemene verordening gegevensbescherming (AVG) en heeft betrekking op het verzamelen en gebruiken van persoonsgegevens.

Wat zijn persoonsgegevens?

In de nieuwe wetgeving zal het vergaren en bewaren van deze persoonsgegevens aan veel meer regels moeten voldoen. Met persoonsgegevens wordt bedoeld “alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon”. Dit zijn dus niet alleen directe gegevens zoals voor- en achternaam, adres en geboortedatum, maar ook indirecte gegevens, zoals kentekens, geo-locaties en IP-adressen.
Tijdens het GDPR event benadrukte Mats van Seijp van SupportDesk dat de nieuwe wetgeving inspeelt op de nieuwe manieren die gebruikt worden bij het verzamelen van data. Door nieuwe technieken en het combineren van persoonsgegevens, is het namelijk een stuk makkelijker geworden op een persoon te identificeren.
Zo vertelt Mats: “Door het combineren van directe en indirecte persoonsgegevens kan je al een heel eind komen. Zelfs bij in eerste instantie anonieme data, zoals postcode, leeftijdscategorie en het hebben van een brommer rijbewijs. Bij een zoektocht met een gouden gids en Google, zal in een klein dorpje met 500 inwoners al snel 1 persoon geïdentificeerd kunnen worden”.

Rechten van de Betrokkene

Met de huidige technieken is het dus een stuk makkelijker geworden om te achterhalen wie de consument is. Daarom is er een toevoeging gedaan aan de AVG die meer controle en zeggenschap over het vergaren en bewaren van deze persoonsgegevens aan de consument zal geven. Dit zeggenschap wordt de Rechten van Betrokkene genoemd, en bestaat uit:

• Recht op informatie: “Waarvoor worden mijn gegevens gebruikt?”
• Recht op inzage: “Welke gegevens worden er over mij opgeslagen?”
• Recht op correctie: “Kan ik mij afmelden voor bepaalde diensten, zoals een nieuwsbrief?”
• Recht op vergetelheid: “Kunnen mijn gegevens worden verwijderd?”
• Recht op dataportabiliteit: “Kan ik gemakkelijk wisselen tussen organisaties? Kunnen mijn gegevens hergebruikt en doorgegeven worden aan andere organisaties?” (nieuw toegevoegd aan AVG)

Met deze rechten, liggen er heel wat verantwoordelijkheden bij de webshopeigenaar. Hierbij staat het doel van je datavergaring centraal. Er mag alleen informatie verzameld en bewaard worden met een gerechtvaardigde grondslag, zoals de toestemming van de gebruiker, een overeenkomst of een wettelijke verplichting.

Welke GDPR maatregelen zijn dus nodig?

Om aan al deze rechten te voldoen zal je de consument centraal moeten zetten. Tijdens het GDPR event op donderdag 12 april, werden de nodige maatregelen door Supportdesk, Byte, Buckaroo en Citadel vanuit vier verschillende hoeken belicht:

• Voor je Magento installatie
• Voor je webhosting
• Voor je Payment Service Provider
• Voor je verzekeringsdekking

section2

2. AVG &  jouw Magento installatie

Om datalekken te voorkomen moet je zowel maatregelen nemen op de front-end als op de back-end van je shop, aldus Mats van SupportDesk.

Front-end maatregelen

Aan de front-end, zullen de maatregelen vooral te maken hebben met (1) je landingspagina en daarmee de cookie policy, (2) de leeftijdscheck, (3) de algemene privacyverklaring.

1. Cookie policy en landingspagina: vraag toestemming bij niet-functionele cookie

Je landingspagina is het eerste moment waar je toestemming moet vragen aan je klant. Dit heeft vooral te maken met het gebruik van cookies. Echter is er niet altijd toestemming nodig. Er bestaan drie verschillende cookies waarvoor verschillende toestemmingsrechten nodig zijn:

• Functionele cookies: zonder deze cookies kunnen delen van je website niet optimaal werken. Denk hierbij aan winkelwagentjes of taalkeuzes.
  Over het algemeen is toestemming voor deze cookies niet nodig
• Analytische cookies: deze cookies gaan een stap verder. Er wordt geregistreerd waar de consument is, welke websites hij bezoekt en wat hij koopt. Google analytics is het meest bekende voorbeeld hiervan.
  Voor het gebruik van analytische cookies heb je toestemming van de consument nodig.
• Marketing cookies: deze cookies worden voornamelijk gebruikt voor remarketing.
  Voor deze cookies is altijd toestemming nodig.

Cookie toestemming: checklist

Gebruikt jouw webshop dus niet-functionele cookies, dan heb je toestemming nodig van de consument. De consument moet dus op de hoogte worden gesteld van het bestaan van de cookies en zijn consent hiervoor geven. Magento biedt hiervoor een standaard functionaliteit, zodat je klanten kan informeren over je cookiebeleid. Denk hierbij aan het kenbaar maken van het volgende:

• Welke informatie wordt er verzameld?
• Voor welk doel wordt er informatie verzameld?
• Hoe wordt die informatie verzameld: cookies, scripts, beacons?
• Hoe lang wordt die informatie bewaard?

2. De leeftijdscheck: aantonen dat er moeite is gedaan

Er zal strenger gekeken worden naar webshops waarvan de leeftijdscheck minimaal is. Websites moeten aantonen dat er moeite is gedaan om minderjarige voor de hen niet-geschikte websites te weren.
Een goed voorbeeld van een bedrijf die hieraan voldoet is Heineken. Voordat een consument op heineken.nl kan komen, moet je eerst je volledige geboortedatum en huidige plaats invullen op een aparte pagina.

3. De privacyverklaring: maak het transparant, begrijpelijk en gemakkelijk toegankelijk

Zorg ervoor dat je privacyverklaring beknopt maar volledig is. Met de nieuwe AVG wordt het begrijpelijk en toegankelijk maken van de privacyverklaring belangrijker. Daarnaast is het belangrijk dat deze altijd op een duidelijk vindbare plek staat op je webshop. Over het algemeen betekent dit dat je volgende punten duidelijk hebt benoemd:

• De contactgegevens van je onderneming
• De doeleinden en rechtsgronden voor de dataverwerking
• De duur van de opslag
• De rechten van de betrokkene
• Het recht om een klacht in te dienen bij de AP (Autoriteit Persoonsgegevens)

Daarnaast zijn de volgende punten ook van belang te noemen als je deze van toepassing zijn op jouw webshop:

• Contactgegevens van de Data Protection Officer (DPO)
• De ontvangers van je persoonsgegevens, zoals derde partijen
• Of de data in een ander land wordt opgeslagen
• Geautomatiseerde besluitvorming of profilering. Gebruik je dus een data-driven decision tool, ben je verplicht om je consumenten hierover te informeren

Back-end maatregelen voor Magento shops: automatiseren of handmatig?

Ook op de back-end zal je maatregelen moeten nemen zodat je voldoet aan de nieuwe eisen van de AVG. De afweging voor jou als webshopeigenaar zal zijn tussen het automatiseren of het handmatig toepassen van functionaliteiten. Mats: “de kracht van Magento is dat je door uitgebreide functionaliteiten, extensies en maatwerk je webshops goed kan personaliseren en automatiseren”.
Met de nieuwe wetgeving, zal je via de back-end moeten inspelen op de eerder genoemde “Rechten van de Betrokkene”:

• Recht op inzage: de consument heeft het recht om zijn data op te vragen.
  • Hoe? Op dit moment is er nog geen automatische functie om data te exporteren en zal je dit handmatig moeten uitvoeren. Helaas neemt dit veel tijd in beslag. Vooral als een consument voor een langere tijd al klant is. Het maken van een aanvraagformulier zou hierin kunnen helpen.
• Recht op vergetelheid: ook wel het recht om gewist te worden. Een bedrijf mag niet meer informatie verzamelen dan hij of zij nodig heeft zodat de consument haar anonimiteit kan behouden.
  Dit wordt in de nieuwe AVG Privacy by Design en Privacy by Default genoemd. Denk hierbij bijvoorbeeld aan het vakje “Ja , ik wil aanbiedingen ontvangen”. Deze moet je niet al vooraf aangevinkt op je website plaatsen. Of door bij het abonneren op een nieuwsbrief niet meer gegevens te vragen dan nodig zijn.

• Hoe? Dit zal handmatig gerealiseerd moeten worden. Wel zijn er speciale GDPR extensies die aangeven dit te automatiseren. Bovendien staan gegevens vaak op meerdere plekken opgeslagen. Naast je Magento database kan het ook zo zijn dat de gegevens staan in de Magento Log, een Server access log of bij derden partijen.
• Recht op dataportabiliteit: dit recht is toegevoegd aan de nieuwe AVG en vraagt om een duidelijke structuur in je data vergaring en bewaring. Het exporteren van data naar andere partijen moet in een gangbaar formaat zijn zodat de gegevens herbruikbaar zijn.
  • Hoe? Hiervoor is geen standaard functionaliteit. Je zal hiervoor zelf de afweging moeten maken in welke vorm jouw data wordt opgeslagen zodat het makkelijk te exporteren is.
• Recht om wijzigen: met dit recht krijgt de consument meer controle op de gegevens die zijn opgeslagen.
  • Hoe? Het wijzigen van het gebruik van persoonsgegevens voor specifieke doeleinden vraagt ook om maatwerk. Voor het wijzigen van toestemming in een nieuwsbrief biedt Magento daarentegen wel een standaard instelling.

Section 3

3. AVG & Webhosting

Naast je eigen webshop, ben je als webshopeigenaar ook verantwoordelijk voor datalekken die buiten je eigen shop gebeuren. Sanne, Marketing en Sales manager van Byte, benadrukt het belang van het werken met partijen die AVG compliant zijn. Zorg dat je een verwerkingsregister hebt en weet welke informatie waar wordt opgeslagen en hoe lang. Als webshophouder is het jouw verantwoordelijkheid om een datalek binnen 72 uur te melden. Sanne: “Wanneer wij als hostingpartij een datalek ontdekken, melden wij dit eerst aan de webshopeigenaar. Ook al is alleen de webshopeigenaar verantwoordelijk, zien wij het als onze dienst om dit aan hen te melden”.

Het werken met internationale partijen

Uitsluitend werken met AVG compliant partijen is vooral belangrijk als je werkt internationale partijen of servers. Sanne: “Als je een shop hebt waar veel producten in de US worden verkocht, is het wenselijk om server te kiezen in de US. Dit maakt je shop een stuk sneller. Echter heb je als Nederlandse webshopeigenaar nog steeds de verantwoordelijkheid om aan de GDPR te voldoen”. Om het leven wat makkelijker te maken is er het EU-US Privacy Shield opgesteld. Wanneer je als Amerikaans bedrijf hier aan voldoet, betekent het het dat hun beleid, volgens henzelf, voldoet aan de GDPR. Echter zal je bij partijen die aan deze certificering voldoen, nog altijd hun Algemene voorwaarden en andere beleidstukken moeten controleren of deze ook voldoen aan jouw benodigde verwerking. Zo maken we bij Byte bijvoorbeeld ook alleen gebruik van gecertificeerde internationale servers zoals AWS en DigitalOcean.
Daarnaast zal je wanneer je werkt met externe developers en leveranciers ook extra maatregelen moeten nemen. Sanne: “Wanneer je werkt met developers buiten de EU, geef je hen toegang tot EU gegevens. Een Non-Disclosure Agreement (NDA) waarin de privacy en vertrouwelijkheid van deze persoonsgegevens gewaarborgd is zal er dan voor zorgen dat je voldoende gedekt bent. Zorg er daarnaast voor dat je alleen met internationale leveranciers werkt die GDPR compliant zijn”.
Section 4

4. AVG & Payment Service Provider

Met de nieuwe wetgeving moeten consumenten anoniemer kunnen blijven. Nu is dit alleen een stuk lastiger met betalingen. Door anonieme betalingen loopt je webshop een groter risico gebruikt te worden voor witwassen en terrorisme. Dit wil je natuurlijk ver van jouw webshop houden. Daarom gaf Elke Anker, Compliance Officer bij Buckaroo drie belangrijke implicaties mee: (1) het tekenen van een verwerkingsovereenkomst, (2) het bewaren en verwijderen van gegevens tot aan PSP, (3) het kenbaar maken van de PSP.

 Teken een verwerkingsovereenkomst

Daarom moet er een goede balans zijn tussen privacy en het anonimiseren van betalingstransacties. Vaak wordt er gebruikt gemaakt van een Payment Service Provider, die een deel van deze verantwoordelijkheid uit handen neemt. Zo vertelde Elke: “De betaalkenmerken en transactiedata staan veilig bij ons. Als PSP moeten wij namelijk naast de GDPR, ook aan andere financiële veiligheid wet- en regelgeving voldoen”. Een verwerkingsovereenkomst is hierin dus belangrijk. Om ervoor te zorgen dat alle partijen voldoen aan deze standaarden, levert Buckaroo een eigen verwerkingsovereenkomst zodat iedereen dezelfde afspraken maakt.

AVG consequentie: Het bewaren en verwijderen van gegevens

De nieuwe AVG geeft consumenten het recht om vergeten te worden. Het kan dus zo zijn dat consumenten vragen om het verwijderen van hun data. Echter kan dit alleen maar tot aan de betalingstransactie omdat iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren. Wanneer een consument daarom om vergetelheid vraagt, zal dit tot aan de diensten van de PSP zijn. Zo stelt Elke: “Als een klant wil dat zijn persoonsgegevens gewist worden, kan dat tot aan Buckaroo. Transactiedata kan niet zomaar verwijderd worden omdat het aan financiële wetten is verbonden”.

Maak de PSP kenbaar naar de consument

Een consument moet op de hoogte worden gesteld van de psp waarvan jouw webshop. Het beste is om dit al voor de check-out kenbaar te maken.
Section 5

5. AVG & verzekering: 100% veilig bestaat niet

“100% veilig bestaat niet”, stelt Johan Leeuwerke van Citadel, een adviesbureau dat zich specialiseert in risico en verzekeringsadvies. Per jaar is er meer dan 8,8 miljard aan cybercrime en om je zo goed mogelijk voor te bereiden op deze risico’s, bestaan er Cyber en Data verzekeringen. Anders dan je bedrijfs- of beroeps aansprakelijkheids verzekering, ben je met een Cyber en Data Risk verzekering uitgebreid gedekt tegen datalekken en cybercrime.

Cyber & Data Risico’s

De risico’s die jouw webshop loopt door cybercrime bestaan uit:

• Diefstal van persoons- bedrijfsgegevens incl aansprakelijkheid
• Diefstal van betaal- en kaartgegevens
• Onderzoekskosten: zoals externe (crisis)deskundige
• Boetes
• Losgeld
• Verlies van geld op de rekening
• Imago schade: zoals klantverlies, daling beurswaarde
• Website / Webshop (tijdelijk) offline: zoals omzetverlies
• Herstelkosten op website, netwerk, programma’s, data

Om te illustreren hoe hoog deze kosten daadwerkelijk zijn, hierbij een voorbeeld waarbij een website 6 uur lang onbereikbaar was vanwege een DDoS aanval op het datacentrum waar de webshop gehost was.

Het afsluiten van een Cyber & Data Risk verzekering

Om je webshop voor deze hoge kosten te beschermen kan je ervoor kiezen om een Cyber en Data Risk verzekering af te sluiten. Van deze verzekeringen bestaan er standaard en maatwerkoplossingen, waar bedrijven tot ongeveer 25 miljoen omzet vaak voor een standaard oplossing gaan.

Waarvoor ben ik beschermd met een Cyber & Data Risk verzekering?

Deze verzekeringen hebben een uitgebreide dekking. Hieronder vallen:

• Privacy-claims inclusief boetes: alleen deze verzekering dekt zowel de claims als boetes
• Aansprakelijkheid netwerkbeveiliging claims
• Media claims
• Digitale afpersing (zoals losgeld)
• Herstelkosten van data gegevens
• Bedrijfsschade
• Onkosten zoals: juridische bijstand, deskundige
• Cyber incident kosten (PR en crisis management)

Extra dienstverlening

Naast een uitgebreide verzekeringsdekking, biedt de verzekeraar vaak een dienstverlening aan waarbij een pre-scan wordt gedaan op eventuele risico’s van jouw onderneming. Hiertoe behoort:
een juridische check van de bewerkingsovereenkomsten,
een scan van online verbindingen op kwetsbaarheden,
monitoring en beoordeling van uitgaande dataverkeer
een scan van de herstelmaatregelen.

De premies van een Cyber & Data Risk verzekering

De premies die behoren bij deze verzekering zijn afhankelijk van de bedrijfssoort, omzet en verzekerd bedrag. Zo zal voor een bedrijf met een omzet tot 5 miljoen en een verzekerd bedrag van €500000, de premie rond de €1561 liggen. Wanneer een bedrijf een omzet maakt tot 15 miljoen, zal deze premie oplopen tot €2,149. Een gedetailleerde weergave van deze premies kan je HIER vinden.

Wat zijn de acceptatiecriteria voor deze verzekering?

Nu is het natuurlijk niet zo dat jij als webshopeigenaar achterover kan zitten en geen maatregelen meer hoeft te nemen. Verzekeraars willen namelijk weten wat jij al aan beveiliging hebt gedaan en stellen bepaalde eisen aan jou als klant. Afhankelijk van de grote van jouw webshop, zijn er de volgende criteria zijn:

• Virusscanners op alle apparaten
• Een Back-up (minimaal maandelijks en extern bewaren)
• Software updates en patches minimaal elke 6 maanden: wanneer blijkt dat je nalatig bent geweest met het patchen of updaten van jouw softwares, loop je het risico dat je verzekeraar je schade niet in behandeling wil nemen.
• Het hebben van herstel procedures

Dus wat moet ik doen als ik verzekerd ben en slachtoffer wordt van cybercrime?

Wanneer er een datalek blijkt te zijn of je slachtoffer wordt van cybercrime, neem dan altijd eerst contact op met je verzekeraar. Neem geen overhaaste beslissingen zoals het betalen van losgeld maar stel samen met je verzekeraar een plan op zodat je tot de beste uitkomst kan komen.

Dus: begin nu de privacy van jouw webshop in kaart te brengen

De nieuwe AVG vraagt om heel wat maatregelen. Neem dit serieus en begin op tijd met het in kaart brengen van de privacy van consumenten in jouw webshop. Met de nieuwe wetgeving staan de rechten van de betrokkene voorop. Maak hier jouw onderneming bewust van en neem de nodige maatregelen voor jouw Magento installatie, webhosting en PSP of zorg voor een vangnet met een Cyber & Data Risk verzekering.
[widget id=”magereport_widget-5″ /]