Sinds 25 mei 2018 geldt de AVG. WooCommerce heeft een handreiking op haar website geplaatst om de plugin zo in te stellen dat haar gebruikers voldoen aan de regelgeving, maar die handreiking is in het Engels. Voor gebruikers van WooCommerce die geen Engels spreken, hebben we de instructie van WooCommerce vertaald.
WooCommerce heeft meerdere interessante blogs over de AVG online gezet. Onder de streep start de vertaling van de tekst van WooCommerce die wij van alle teksten van WC het belangrijkst vonden. Onder de tekst staat de datum van de tekst die we vertaald hebben. Mochten er tussentijds aanpassing plaatsvinden, dan hopen we dat oplettende lezers even aan de bel trekken. Ook is het zo dat het een vrije vertaling is. Een handreiking waarop we ons best hebben gedaan, maar waarvoor we geen enkele verantwoordelijkheid willen dragen.
De AVG: vereisten voor het privacybeleid
GESCHREVEN DOOR ALLEN SNOOK OP 15 MEI, 2018 BLOG, KLAAR VOOR DE AVG.
Uw bedrijf voorbereiden op de AVG is geen kleine taak en het houdt niet op als de wet op 25 mei van kracht wordt.
Stap één: om u voor te bereiden op de AVG, op 25 mei en daarna, moet u een medewerker aanwijzen die toeziet op het nakomen (compliance) en die uw privacybeleid bijwerkt. Dit zijn niet alleen wettelijke vereisten; ze vormen ook een goede basis voor toekomstige naleving en ze kunnen positief van invloed zijn op de verkopen.
Iemand verantwoordelijk maken voor de data (gegevens)
Een functionaris voor gegevensbescherming is een formele taak van de AVG. Als je in je eentje de webshop runt, wordt dit een extra taak, dus moet je tijd reserveren om te blijven voldoen aan de vereisten. Of u het nu zelf bent of een van uw werknemers maakt niet uit, zolang er maar iemand is die de leiding neemt over de gegevensbeschermingsstrategie en compliance van uw bedrijf, en:
- Bepaal hoe klanten privacyspecifieke verzoeken moeten doen. Dit kan via een contactformulier op uw site of via een speciaal e-mailadres (bijvoorbeeld privacy@example.com).
- Werk uw privacybeleid bij met een uitleg hoe u gegevens gebruikt en opslaat en waarom u dit doet. De AVG vereist dat u gegevensinformatie vrijgeeft. Is het mogelijk minder persoonlijke gegevens te verzamelen? Hoe lang moet uw bedrijf gegevens bewaren voor de belastingen? Wanneer en hoe maakt u een back-up en vernietig je uiteindelijk klantgegevens en gegevens over bestellingen? Voor WordPress en WooCommerce betekent dit ook het monitoren en evalueren van de prestaties van plug-ins en services waar uw winkel voor het functioneren van afhankelijk is. Al deze informatie moet worden gepubliceerd als uw privacybeleid.
- Bereid je voor op en reageer op het recht om te wissen / van toegangsverzoeken. Klanten kunnen vragen dat u hun gegevens verwijdert en u dient hieraan te voldoen.
- Bereid je voor op en reageer op beveiligingsinbreuken. De AVG vereist dat u inbreuken onverwijld aan uw klanten bekendmaakt.
- Blijf scherp letten op toekomstige wijzigingen in privacywetten die van invloed kunnen zijn op uw bedrijf.
Hoe u kunt updaten naar uw privacybeleid
Behalve dat het een AVG-vereiste is, kan een goed geschreven, gemakkelijk te begrijpen privacybeleid helpen de verkoop stimuleren als het gaat om steeds toenemende groep privacybewuste consumenten. Het opstellen van een privacybeleid voor uw WooCommerce-winkel vereist wat onderzoek, een enig schrijfwerk en een wil om het beleid van tijd tot tijd opnieuw te bekijken.
Vanaf WordPress 4.9.6, kunt u een privacypagina voor uw site creëren of aanwijzen als zijn het privacybeleid van uw winkel. U vindt deze nieuwe functie in WP Admin > Instellingen > Privacy.
Privacy-instellingen in wp-admin
Als u voor het eerst een privacybeleidspagina aanmaakt, zal WordPress u een sjabloon leveren om u op weg te helpen. Over het algemeen geeft een goed privacybeleid antwoord op de volgende vragen:
1. Welke gegevens verzamelt deze winkel over mij?
Begin met het “zelf testen” van uw eigen winkel en noteer alle velden (verplicht of optioneel) waar klanten wordt gevraagd om informatie in te voeren of selecties te maken. Let op de voor de hand liggende persoonlijke gegevens zoals naam en adres, samen met alle andere die u van klanten verzamelt als ze betalen of een geregistreerde gebruiker op uw site worden.
Bekijk vervolgens de minder expliciete hulpmiddelen die uw site gebruikt, zoals cookies of analyses. Onderzoek welke plug-ins u hebt geïnstalleerd en bekijk hun privacy-informatie. Stuurt een plug-in gegevens naar het buitenland of misschien zelfs buiten de Europese Unie? Dat is iets dat moet worden gemeld aan klanten.
Maak gebruik van de nieuwe hulpmiddelen in WordPress om privacy-updates van actieve plug-ins te bekijken: vanaf WordPress 4.9.6 kunnen plug-ins privacy-informatie registreren bij WordPress zelf. U zult deze informatie zien als een speciaal vak op de pagina als u uw privacybeleid bewerkt in wp-admin. WordPress zelf zal ook informatie verstrekken over de informatie die het verzamelt van bezoekers aan uw site, zoals opmerkingen en cookies.
Het nieuwe privacy-informatievak maakt het mogelijk om privacy-informatie van WordPress en plug-ins te kopiëren en rechtstreeks in uw privacybeleid te plakken, waar u het kunt aanpassen aan de details van uw winkel. Omdat veel afhangt van de specifieke instellingen die u gebruikt en hoe plug-ins met elkaar samenwerken, moet u die tekst controleren en bewerken om te controleren of deze geschikt is voor uw winkel.
Als een plug-in geen privacyinformatie verstrekt, kunt u de website van de ontwikkelaar bezoeken of rechtstreeks contact met hen opnemen om te vragen welke gegevens van bezoekers hun plug-in verzamelt en wat ze ermee doen.
2. Wat doet deze winkel met mijn gegevens en waarom?
Nadat je weet wat je verzamelt, moet je opschrijven waarom je het verzamelt.
Verklaringen voor veel van de gegevens die u verzamelt, zijn eenvoudig: u hebt hun adres nodig om een product te verzenden, of u hebt hun e-mailadres nodig om ze op de hoogte te houden over de status van hun bestelling.
Als u persoonlijke gegevens verzamelt die u niet echt nodig hebt om een bestelling uit te voeren, moet u aan uw klant uitleggen waarom en geeft u hen de mogelijkheid om zich af te melden voor dat soort “verwerking”.
3. Met wie deelt deze winkel mijn gegevens?
Hier is een beetje speurwerk van belang – je moet bekijken hoe de gegevens die je verzamelt, worden gebruikt. Enkele typen plug-ins die sneller geneigd zijn gegevens te delen:
- Betalingsdiensten delen vaak gegevens met de betalingsprovider van de klant (bijvoorbeeld zijn/haar bank) om de betaling te kunnen laten plaatsvinden.
- Verzendextensies delen vaak gegevens met pakketdiensten om verzendkosten te berekenen of verzendetiketten af te drukken.
- Marketing- en analyse-extensies delen vaak gegevens om klanten aan lijsten toe te voegen of hun gedrag te analyseren.
Als een plug-in verbinding maakt met een externe service, deelt deze waarschijnlijk gegevens met die service. U zult het privacybeleid van deze services willen herzien om ervoor te zorgen dat ze aansluiten bij uw privacyprioriteiten.
4. Hoe lang bewaart deze winkel mijn gegevens?
Er zijn veel redenen om gegevens te bewaren, ook als een betaling door een klant wordt betwist, voor belastingcontrole of voor andere juridische kwesties. Hoewel wetten zoals de AVG “recht op vergeten” hebben, bent u niet verplicht om gegevens te wissen die u nodig hebt voor deze andere aspecten van uw bedrijf.
Dat gezegd hebbende, moet uw privacybeleid, naast uw algemene voorwaardenpagina, klanten duidelijk maken hoe lang u hun persoonlijke gegevens bewaart en waarom.
5. Hoe kan ik de verzamelde gegevens openen, bijwerken of verwijderen?
Naast dat u weet wat u met uw persoonlijke gegevens doet, moeten klanten weten hoe zij hun gegevens kunnen bijwerken, waaronder:
- Een kopie van hun gegevens ophalen
- Hun gegevens bijwerken
- Hun gegevens verwijderen
Uw privacybeleid moet klanten duidelijke instructies geven over hoe u of de door u aangewezen privacymedewerker met hun verzoeken kunnen bereiken. Als u uw klanten toestaat sommige van hun eigen gegevens te bewerken, bijvoorbeeld onder Mijn account, kunt u dat hier ook vermelden.
Selectievakjes zijn niet de enige manier
Onder de AVG zijn er meerdere juridische benaderingen voor het omgaan met persoonlijke gegevens. Het privacybeleid moet duidelijk maken op welke basis u de verschillende vormen van verwerking van persoonlijke gegevens toepast. De meest toepasbare vormen voor eCommerce-sites zijn onder meer:
- Toestemming: de gebruiker geeft expliciet toestemming voor een specifiek soort verwerking van zijn persoonlijke gegevens (bijvoorbeeld toestemming om deel te nemen aan marktonderzoek uitgevoerd door een derde partij).
- Contractuele noodzaak: de verwerking van de persoonlijke gegevens is vereist om een contract te vervullen (bijvoorbeeld hun bestelling verzenden).
- Naleving van wettelijke verplichtingen: de verwerking van de persoonlijke gegevens is om juridische redenen vereist (bijvoorbeeld een btw-nummer).
- Legitieme interesses: de verwerking van de persoonlijke gegevens is een legitiem, te verwachten gedrag van een bedrijf (bijvoorbeeld e-mails over andere producten waarin klanten mogelijk geïnteresseerd zijn nadat ze een bestelling hebben geplaatst ).
Bouw uw privacybeleid stap voor stap op
Dat is een lange lijst, we weten het! Doe het stap voor stap, en maak u geen zorgen over het in één keer creëren van het perfecte privacybeleid. Het up-to-date houden van uw privacybeleid, met name op het moment dat u plug-ins toevoegt (of plug-ins functies toevoegen), is een doorlopende activiteit net als alle andere zaken waarmee u uw bedrijf up-to-date houdt.
Volgende? De lange en korte toegangsrechten aanvragen.