GDPR: Magento en ERP’s

Over GDPR is de afgelopen tijd veel geschreven. Ondanks de vele uitleggen overal zijn er nog veel vragen. Even kort in een notendop voor wie als Magento owner nog niet bekend is met de regels:

De persoonsgegevens bescherming neemt in mei 2018 de grootste stap in 20 jaar. Dat is niet de volgende cookie-wet dus, er komen zeer veel regels bij die alle ten goede van de privacy komen. Hieronder kort de highlights.

  • Cookie op-outs, na eenmaal toestemming te hebben gegeven moet je deze ook weer kunnen intrekken.
  • Alles omtrent persoonsgegevens opslag moet via Opt-in gebeuren. Verboden worden automatisch aangevinkte boxjes en het in de kleine lettertjes verstoppen.
  • Data opslag voorkeurswijzigingen moeten juist werken, als het in 1 plek verwijderd/privacy gewijzigd wordt moet dit overal worden verwerkt, inclusief eventuele andere partijen waarmee je samenwerkt voor bv marketing doeleinden. Maximale termijn is 1 maand na verzoek.
  • Binnen een maand moet op verzoek alle gebruikersgegevens data aan te leveren zijn in geval van inspectie.
  • De autoriteiten moeten binnen 72 uur op de hoogte gesteld worden van een inbreuk waar data buit is gemaakt.

Terwijl iedereen zich klaarmaakt, inleest of zich nog moet inlezen zijn er een aantal specifieke items die ik even aan de aandacht wil brengen: Magento + ERP’s en GDPR.

Vrijwel alle gebruikers van Magento gebruiken tegenwoordig een ERP aan hun Magento shop. In bijna alle gevallen is het zo dat in geval van een order, alle gegevens, inclusief de persoonsgegevens naar het ERP gestuurd worden. Vanuit het ERP worden orders verwerkt, eventueel naar je CRM gestuurd en Magento wordt op zijn beurt weer op de hoogte van gesteld van de order verwerking. Mooi, dat willen we ook, lekker gemakkelijk de inhoud bijhouden van meerdere winkels en ook je accounting en CRM er aan vast koppelen.

In de regels van de GDPR staat echter dat deze communicatie alleen nog maar plaatsvinden via een opt-in en niet in de ‘fine print’ mag. Dit betekend dat er of een GDPR op-in in je checkout moet komen met een bestand wat er gebeurd met de persoonsgegevens of een extra document in je huidige checkout “Accepteer de algemene voorwaarden (en ga akkoord aan onze GDRP regels oid)”.

Dit is echter nog het gemakkelijkste gedeelte. Ten alle tijden moeten je klanten eerder opgegeven toestemmingen wijzigen of zijn account wissen van alle plekken, inclusief je evt CRM die weer aan je ERP hangt en dat ook nog eens binnen een maand. Een bedrijfswijde invoering met bijbehorende automatiseringen levert dit op.

Voor Magento zal dit in de accounts een extra tabje worden ‘privacy’ waarin dit te beheren is. Ben je in het bezit van een commerciële ERP module naar je Magento, zorg dan dat deze tijdig ge-update wordt, zonder de laatste updates zal je GDPR verwerking hier anders stoppen. Je ERP connector module leverancier zal de juiste wijzigingen op zich nemen. Ben je echter in het bezit van een custom connectie, zorg dan tijdig voor aanpassingen.

Denk ook na bij automatische verwerking van klant verwijdering: zomaar klanten gegevens opslaan voor 2 jaar zonder dat er iets mee gebeurd is ook een overtreding. Met GDPR heeft een klant het ‘recht om vergeten te worden’ welke pro-actief (lees: jij als shop owner bent verantwoordelijk) uitgeoefend dient te worden.

Over tijd zal ik meer praktische tips verzamelen en ze hier posten!