WooCommerce en AVG wetgeving

“Hoe zorg ik ervoor dat mijn WooCommerce webshop voldoet aan de nieuwe AVG-wetgeving?” Misschien wel de meest gestelde vraag die wij momenteel van onze klanten krijgen en daarom hoog tijd om hier een blog over te schrijven. In dit blog lees je wat de AVG wetgeving betekent voor online ondernemers en welke aanpassingen nodig zijn. Uiteraard laat ik je precies zien hoe je alles regelt voor WooCommerce zodat jij je straks geen zorgen hoeft te maken. Na het lezen van dit artikel zijn WooCommerce en AVG voor jou in elk geval geen angstaanjagende combinatie meer…

Eerst even een korte AVG introductie

Op 25 mei 2018 gaat de AVG-wetgeving van kracht. AVG staat voor Algemene Verordening Gegevensbescherming en internationaal staat dit bekend als GDPR, de afkorting van General Data Protection Regulation. Vanaf 25 mei 2018 geldt in de hele Europese Unie dezelfde privacywetgeving en deze wetgeving komt in plaats van de Wet Bescherming Persoonsgegevens (Wbp). De Europese Unie maakte een infographic die je een goed overzicht geeft van de verplichtingen voor bedrijven.

De AVG wetgeving zorgt voor meer privacy voor personen en geeft organisaties meer verplichtingen om deze privacy te garanderen. Onder de AVG mogen organisaties niet zomaar persoonsgegevens verwerken en dat is natuurlijk voor webshops een essentieel punt. Alhoewel de wettelijke grondslag aanwezig is om bepaalde gegevens te vragen, ben je hierbij wel aan regels gebonden.

Welke grondslagen zijn er voor de verwerking van persoonsgegevens?

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens (op basis van website Autoriteit Persoonsgegevens)

• Toestemming van de betrokken persoon.
• De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
• De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
• De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
• De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
• De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Je bent zelf verantwoordelijk om te beoordelen of je je voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen. Als eigenaar van een webshop is overigens de grondslag natuurlijk aanwezig, want gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Het is echter wel belangrijk om alleen die gegevens te verwerken die nodig zijn voor het uitvoeren van de overeenkomst.

En nu over naar de praktijk… WooCommerce en AVG

Welke veranderingen zijn er nodig in een WooCommerce webshop om te voldoen aan de AVG-wetgeving? Wil je echter eerst wat meer achtergrondinformatie, lees dan het artikel op de WooCommerce website getiteld ‘An Introduction to GDPR Compliance for WooCommerce Stores‘.

Om te voldoen aan AVG-wetgeving zijn onderstaande punten van belang voor WooCommerce webshops:

• Vertel de gebruiker wie je bent, welke gegevens je verzamelt, waarom je de gegevens verzamelt, hoe lang je deze bewaart en welke derden deze ontvangen (indien van toepassing)
• Zorg voor een duidelijke toestemming voordat je gegevens verzamelt
• Geef gebruikers toegang tot hun gegevens
• Geef gebruikers de mogelijkheid hun gegevens te downloaden
• Geef gebruikers de mogelijkheid hun gegevens te verwijderen
• Informeer gebruikers als er een datalek is geweest

Het is nu al bekend dat er hoge boetes uitgedeeld kunnen worden als je niet voldoet aan deze regels. De verwachting is dat er in Nederland in eerste instantie vooral waarschuwend zal worden opgetreden, maar toch is het slim om te zorgen dat de basis van jouw WooCommerce webshop in orde is. [Update 25-05-2018: in WooCommerce 3.4.0 worden de belangrijke punten geregeld]

En daarbij helpen wij je natuurlijk graag…

Hiervoor moet je natuurlijk eerst weten op welke momenten in je webshop de bovenstaande punten van toepassing zijn.

Punten in je webshop waar persoonsgegevens worden verwerkt

• WooCommerce Algemene voorwaarden (Afrekenpagina)
• WooCommerce Privacybeleid (Afrekenpagina)
• WooCommerce Account maken (Mijn Account pagina)
• WooCommerce Winkelwagen Verlaten (Afrekenpagina)
• Productrecensies van WooCommerce (Productpagina)
• WordPress-opmerkingen (Blogpagina’s)
• WordPress & WooCommerce aanmeldformulieren (bijv. Nieuwsbriefaanmeldingen)
• WordPress contactformulieren
• Analyse (Google Analytics etc.)
• WordPress en WooCommerce plug-ins & API’s (betalingen, e-mailmarketing, etc.)
• Meldingen over schending

Goed nieuws: zowel WordPress als WooCommerce teams werken aan 
updates op het gebied van AVG. Deze worden in mei verwacht!

De update van het WooCommerce team zal met name zijn op het gebied van Algemene Voorwaarden, het verwijderen van persoonsgegevens en het exporteren van persoonsgegevens. Deze punten zullen dus door WooCommerce worden gewijzigd en hoeven we niet zelf te regelen.

Hieronder volgen 12 stappen die je moet nemen om overeenkomstig de AVG wetgeving te ondernemen.

Stap 1: WooCommerce Algemene Voorwaarden

Het privacybeleid is om de gebruiker te informeren over de gegevens die je verzamelt, terwijl de Algemene Voorwaarden de juridische voorwaarden en regels bevatten die de klant binden aan je webshop. Op je privacybeleid kom ik zo terug, eerst gaan we aan de slag met de Algemene Voorwaarden. Het is belangrijk je Algemene Voorwaarden aan te passen. Je kunt hierin verwijzen naar je privacybeleid waarin je exact toelicht hoe persoonsgegevens worden verwerkt in jouw webshop.

Heb je nog geen Algemene Voorwaarden? Dan is dit hét moment om deze aan te maken, want ze zijn in het kader van AVG wetgeving echt onmisbaar in je webshop. Als je even in Google zoekt op Algemene Voorwaarden vind je hiervan diverse gratis en betaalde voorbeelden. Ik raad je in elk geval aan even te kijken naar de gratis Algemene Voorwaarden die Thuiswinkel.org aanbiedt op hun website. Deze zijn vrij te gebruiken, ook als je geen lid bent en zo weet je zeker dat je Algemene Voorwaarden aan de wettelijke verplichtingen voldoen!

Binnen WooCommerce kun je de Algemene Voorwaarden eenvoudig instellen. Maak eerst een pagina aan die je Algemene Voorwaarden noemt en ga dan naar WooCommerce > Instellingen > Afrekenen. Onder het kopje Afrekenpagina’s selecteer je achter Algemene Voorwaarden jouw nieuw gemaakte pagina Algemene Voorwaarden.

Nadat je dit hebt opgeslagen, verschijnt er tijdens het afrekenen een checkbox die de gebruiker moet aanvinken en waarmee dan wordt bevestigd dat de Algemene Voorwaarden bekend en geaccepteerd zijn.

Stap 2: Privacybeleid aanpassen

Bij de vorige stap heb ik het privacybeleid op je website al even benoemd. De pagina met je privacybeleid moet zeker worden aangemaakt als deze er nog niet is, maar als deze wel aanwezig is, zal de pagina waarschijnlijk nog wel aangepast moeten worden. Ook hiervoor kun je voorbeelden online vinden of check de privacypagina van Innonet die je onderaan elke pagina van onze website vindt.

Volgende informatie moet zeker in je privacybeleid worden vermeld:

• Wie je bent (bedrijf, adres, enz.)
• Welke gegevens je verzamelt (IP-adressen, naam, e-mailadres, telefoon, adres, enz.)
• Met welke reden verzamel je de gegevens (facturering, tracking, e-mailcommunicatie, enz.)
• Hoe lang bewaar je de gegevens (facturen moet je bijvoorbeeld 6 jaar bewaren)
• Welke derde partijen ontvangen gegevens (bijv. MailChimp, Google, CRM, enz.)
• Hoe kan een gebruiker zijn gegevens downloaden (automatisch of per e-mail vragen bij de functionaris voor gegevensbescherming)
• Hoe kan een gebruiker zijn gegevens verwijderen (automatisch of per e-mail aan de functionaris voor gegevensbescherming)
• Hoe kan een gebruiker contact opnemen voor gegevensgerelateerde problemen (benoem hier de contactgegevens van de toegewezen Functionaris Gegevensbescherming)

Het WordPress team werkt momenteel aan een privacybeleidgenerator, deze wordt in mei verwacht en je kunt dus ook hierop wachten tot je bovenstaande wijzigingen doorvoert.

Als je privacybeleid is vastgesteld moet je ervoor zorgen dat dit op alle pagina’s zichtbaar is. Je kunt het daarom prima in de footer van je pagina vermelden. Maar dan ben je er nog niet… Gebruikers dienen actief akkoord te gaan met jouw privacybeleid. Ze moeten dus via een checkbox aanvinken dat ze hiervan op de hoogte zijn. Deze checkbox mag niet vooraf aangevinkt zijn. De checkbox moet bovendien bij alle formulieren aanwezig zijn, dus ook bij nieuwsbriefinschrijvingen en het aanmaken van een account.

Ook op de afrekenpagina moet dus deze checkbox met je privacybeleid staan en dat betekent dus dat deze bij je Algemene Voorwaarden checkbox zal komen. 2 checkboxes die een klant moet accepteren voordat een bestelling geplaatst kan worden… Laten we eerst maar eens afwachten hoe grote e-commercepartijen dit oppakken, maar houd het wel in je achterhoofd.

Stap 3: WooCommerce account maken

De Mijn Account pagina van WooCommerce heeft een aanmeldformulier voor gebruikers als je dit hebt aangevinkt onder WooCommerce > Instellingen > Accounts > Klantregistratie.

Je voelt de bui al hangen. Wanneer jij in bovenstaand voorbeeld beide checkboxes hebt aangevinkt, zal hier het privacybeleid bij vermeld moeten worden. Tevens geldt hier dat je alleen informatie mag vragen die alleen noodzakelijk is om de overeenkomst uit te kunnen voeren.

Stap 4: WooCommerce winkelwagen verlaters

Stel iemand doet artikelen in zijn winkelwagen, maar verlaat je webshop zonder af te rekenen. Er is echter wel een account aangemaakt, dus gegevens van die persoon zijn opgeslagen. Er zijn diverse plug-ins die je de mogelijkheid bieden om de gebruikers die wel een account hebben gemaakt, maar niet hebben afgerekend, een herhalingsmail te sturen. Gebruik jij zo’n plug-in, dan is het belangrijk te controleren of deze voldoet aan AVG-wetgeving. Iemand die in deze stap een e-mailadres invult, maar niet gaat afrekenen krijgt namelijk nog nergens de optie de Algemene Voorwaarden of het privacybeleid te accepteren. Dit gebeurt namelijk pas bij de allerlaatste stap.

Er zijn mogelijkheden om dit te omzeilen, je kunt namelijk afrekenen als gast uitvinken (WooCommerce > Instellingen > Afrekenen) of een afrekenproces verspreiden over meerdere pagina’s waarbij je al vroeg in het proces de checkbox van het privacybeleid laat zien. Beide methoden zijn echter niet best voor de conversieratio, ze laten de gebruiker teveel stappen uitvoeren en daar houdt men niet van.

De hoop is dus op de plug-in ontwikkelaars om te zien hoe zij hiermee omgaan.

Stap 5: WooCommerce product reviews

Nog een punt in WooCommerce waar persoonsgegevens worden opgeslagen. Volgens mij is de beste manier om alleen gecontroleerde eigenaren een product review te laten schrijven. Je selecteert dit via WooCommerce > Instellingen > Producten onder Beoordelingen.

Gecontroleerde eigenaren zijn personen die je product daadwerkelijk hebben aangeschaft. Zij zijn ook de beste personen die een product review kunnen achterlaten. Bovendien zijn zij tijdens het afrekenen al akkoord gegaan met je privacy en Algemene Voorwaarden. Je kunt deze personen dus zonder problemen een review laten schrijven.

Stap 6: WordPress reacties

Als bezoekers op je pagina’s en blogberichten kunnen reageren via de WordPress reacties, moeten ook zij akkoord gaan met je privacybeleid. Tot nu toe kunnen bezoekers reageren door hun naam, e-mailadres en website in te voeren. Er wordt echter geen account aangemaakt voor deze bezoekers.

Gebruik jij, net als wij de standaard WordPress reactiemogelijkheid? Dan heb ik goed nieuws, want WordPress werkt aan een oplossing om deze manier van reageren AVG-proof te maken. Ook hiervoor is het dus even wachten tot een nieuwe update van WordPress.

Yes, we zijn over de helft van de stappen die nodig zijn om je WooCommerce webshop AVG-proof te maken. Het is misschien een taai verhaal, maar het is wel belangrijk. Nog even doorzetten dus. Onderaan dit artikel vind je ook nog een samenvatting van alle stappen die je moet nemen…

 

Stap 7: WordPress en WooCommerce opt-in formulieren

Een opt-in formulier is een formulier waar bezoekers hun e-mailadres invullen waarna dit e-mailadres wordt opgeslagen in een e-mailbestand. Dit wordt bijvoorbeeld gebruikt om nieuwsbrieven te versturen. Zoals je inmiddels zult begrijpen kun je ook hier niet om persoonsgegevens vragen zonder te vermelden waarvoor je deze gaat gebruiken.

Om te beginnen is het belangrijk om alle automatische opt-ins in je webshop te verwijderen. Je ziet nogal eens dat je tijdens het afrekenen in een webshop automatisch aan een mailinglijst wordt toegevoegd. Dit is niet langer toegestaan. Een gebruiker moet actief akkoord gaan met de aanmelding en dus je privacybeleid goedkeuren.

Let op: gebruik jij de mailinglijst van een derde partij als Mailchimp, Copernica of Aweber? Dan moet je erop toezien dat deze partij zijn AVG-regelgeving goed op orde heeft.

Bij het aanmelden voor een nieuwsbrief moet een gebruiker altijd:

• Actief toestemming geven
• Weten waarom hun persoonlijke gegevens nodig zijn (“Vul je e-mailadres in om onze wekelijkse nieuwsbrief te ontvangen”)
• Alleen relevante informatie kunnen verwachten (om lid te worden van je nieuwsbrief hoef je niet om de geboortedatum te vragen … tenzij je ze een cadeau op hun verjaardag wilt sturen! In dit geval moet je duidelijk maken WAAROM je de geboortedatum wilt weten)
• Weten hoe  de gegevens op elk gewenst moment verwijderd of gedownload kunnen worden
• Weten hoe je moet afmelden

Als je persoonsgegevens deelt met een partij als Mailchimp moet bovenstaande ook goed geregeld zijn.

Stap 8: WordPress contactformulieren

Gebruik jij Contact Form 7, Ninja Forms, Gravity Forms of een andere plug-in voor een contactformulier? Ook voor deze formulieren moet toestemming van privacy worden verleend. Plaats dus een checkbox onderaan je formulier waarin je ook weer verwijst naar je privacybeleid. De bezoeker moet de checkbox actief zelf aanvinken en daarmee akkoord gaan met jouw privacybeleid.

Stap 9: WooCommerce Analytics

Google Analytics is vanzelfsprekend een partij die veel gegevens opslaat. De Algemene Voorwaarden van Google Analytics zijn dan ook aangepast en moeten voor elk account worden bevestigd. In dit geval ben jij slechts de verwerker van de gegevens en sla je deze niet zelf op.

In Google Analytics onder Beheerder > Accountinstellingen vind je de Aanpassing voor Gegevensverwerking die je moet accepteren.

Stap 10: Overige WordPress en WooCommerce plug-ins

Het is nu tijd om al je plug-ins te bekijken. Voor welke plug-ins worden persoonsgegevens gevraagd en/of opgeslagen? Als jij plug-ins gebruikt die persoonsgegevens nodig hebben, stel je jezelf de volgende vragen:

• Is dit zeker een betrouwbare plug-in?
• Is deze plug-in AVG-proof?
• Voeg de plug-in toe aan de lijst met derde partijen die gebruik maken van persoonsgegevens in je privacybeleid.

Stap 11: WordPress en WooCommerce API’s

Een API wordt gebruikt om gegevens tussen 2 partijen over te zetten zonder dat de oorspronkelijke website wordt verlaten. In jouw WooCommerce webshop gebruik je bijvoorbeeld Mailchimp. Via de Mailchimp API worden persoonsgegevens opgeslagen in de database van Mailchimp. Ook Facebook, Twitter en Instagram gebruiken API’s om jouw WooCommerce webshop eenvoudig te verbinden met je bezoekers.

Weet jij welke API’s er worden gebruikt in je webshop? Dan zorg je dat deze worden vermeld in je privacybeleid en kun je snel verder naar stap 12, de laatste stap in dit artikel…

Stap 12: Help, een datalek?

Onder de vernieuwde AVG wetgeving is het verplicht een datalek binnen 72 uur te melden aan de gebruikers die hiermee te maken hebben. Je kunt denken aan een hacker die toegang tot je webshop heeft gekregen, maar ook een onbetrouwbare API of plug-in kan een datalek veroorzaken. Zorg dus dat je steeds op de hoogte bent van het laatste nieuws van alle derde partijen waarmee je samenwerkt. Dit kan bijvoorbeeld via Twitter of hun nieuwsbrief. Zodra je hier dus wordt gewaarschuwd voor een datalek moet jij ook je gebruikers hiervan op de hoogte stellen.

 

De beste tip die ik in het kader van AVG-wetgeving heb gehoord is wel deze: verminder de hoeveelheid persoonsgegevens die je opslaat. Hoe minder gegevens je bewaart, hoe minder zorgen je hebt. Toch kunnen we op dit moment niet om de AVG heen en ik hoop dan ook dat ik je met bovenstaande punten een goed inzicht heb gegevens van alle consequenties voor jouw webshop.

 

Nog even alle stappen op een rijtje

• Als je nog geen pagina met Algemene Voorwaarden hebt, maak je deze aan
• Voeg aan je privacybeleid informatie toe over gegevensverwerking
• Ga naar de WooCommerce instellingen en koppel de Algemene Voorwaarden zodat gebruikers deze moeten accepteren voor ze kunnen bestellen
• Maak je pagina met privacybeleid of wacht op de generator die WordPress gaat uitbrengen
• Voeg de verplichte informatie toe aan je privacybeleid
• Vermeld de link naar je privacybeleid in de footer van je pagina (zie ook onze website van Innonet)
• Plaats het privacybeleid ook op je afrekenpagina
• Aanvinken dat alleen beoordelingen kunnen worden gegeven door gecontroleerde eigenaren
• Controleer je opt-in formulieren en pas deze zo nodig aan
• Controleer of derde partijen AVG-proof werken
• Zorg dat gebruikers akkoord gaan met jouw privacybeleid middels een checkbox
• Voeg een privacy checkbox toe aan al je contactformulieren
• Check elke plug-in op het opslaan van persoonsgegevens en pas indien nodig je privacybeleid aan
• Ga na welke API-koppelingen je gebruikt en pas indien nodig je privacybeleid aan
• Installeer een SSL-certificaat in je WooCommerce webshop

 

Wij maken jouw webshop AVG-proof!

Kun je wel wat hulp gebruiken bij het AVG-proof maken van jouw WooCommerce webshop? Dan helpen wij je graag. Om te beginnen maken we een scan van je gehele webshop waarbij we alle risicopunten precies in kaart brengen. Vervolgens bespreken we met je welke punten je wilt aanpakken en dat doen we dan uiteraard ook voor je. Meer informatie? Neem dan zeker even contact op via info@innonet.nl.