Hoe de GDPR in WooCommerce en WordPress is geïmplementeerd.
Op 25 mei 2018 is de GDPR een feit geworden. Maar wanneer je hiervoor de nodige maatregelen hebt genomen en denkt dat het hiermee is afgelopen, dan heb je het mis. Om de simpele reden dat ondanks alle vooraankondigingen en andere bekendmakingen, veel plugins die jij nu gebruikt absoluut nog niet voldoen aan de voorwaarden van deze nieuwe privacy regeling.
Om met het eenvoudigste te beginnen. Op 23 mei is pas de GDPR in WooCommerce en WordPress op een bruikbare manier geïmplementeerd. En deze wijze van implementatie zal in de toekomst waarschijnlijk worden doorgezet in ander plugins die je gebruikt. In dit artikel hoop ik je wat meer bewust te maken van hoe WordPress ‘privacy’ implementeert in de laatste versie (4.9.3) en wat dit betekent voor het ‘recht op wijziging en verwijdering’ van gegevens zoals omschreven in de privacy richtlijnen.
Hoe dit allemaal werkt bekijken we aan de hand van de meest recente versie van WooCommerce (3.4), waar deze nieuwe ‘privacy functionaliteit’ al in is geïmplementeerd.
Bewaartermijnen en het recht op verwijdering van gegevens.
Hoe zit het nu eigenlijk met de bewaartermijnen van gegevens in een willekeurige webapplicatie? Dit kunnen we wellicht het meest eenvoudig bekijken aan de hand van een concreet voorbeeld. En een webwinkel is zo’n voorbeeld.
Op het moment, dat je een bestelling plaatst in een webwinkel is het vrij duidelijk hoe lang je gegevens minimaal bewaard moeten worden. Namelijk de wettelijk voorgeschreven termijn die in de meeste landen door de belasting is gedefinieerd. Je moet immers een x aantal jaren de factuur kunnen reproduceren. Soms, wanneer je bijvoorbeeld extreem lange garantietermijnen hebt, kan de bewaartermijn langer zijn in het belang van de klant.
Maar wat nu indien een klant een bestelling niet afrond. Of annuleert.
In dat geval heb je de gegevens eigenlijk niet nodig. Om deze jaren te bewaren is onzin. Om het de klant makkelijker te maken kan je deze gegevens nog enige tijd in het systeem laten, mocht hij dezelfde bestelling nogmaals willen plaatsen. Maar enkele maanden na de mislukte bestelling, is er eigenlijk geen enkele reden meer om zijn gegevens in het systeem te houden.
En zo zijn er meer situaties te bedenken.
De GDPR in Woocommerce – En het opschonen van gegevens.
Het is natuurlijk een crime wanneer je iedere keer met de hand de gegevens van klanten in WooCommerce op moet schonen. Maar nu er een wettelijke eis is gekomen dit daadwerkelijk te doen, is het een standaard functie in WooCommerce geworden.
Wanneer je naar WooCommerce -> Settings (Instellingen in de Nederlandse versie) gaat dan zie je een tabblad ‘Accounts & Privacy’ ().
Op dit scherm zie je een drietal nieuwe onderwerpen die we in deze blogpost eens nader bekijken.
Op het moment dat ik dit schrijf is er nog geen officiële vertaling van dit onderdeel beschikbaar. Vandaar dat je het in het Engels ziet. In de komende dagen zou een goede Nederlandse vertaling beschikbaar moeten komen.
In het eerste onderdeel wordt ingegaan op hoe er met een ‘Account Erasure Request’ omgegaan moet worden. Hierover later in dit artikel meer.
Het tweede onderdeel bevat een link naar de privacy pagina en de teksten die je naar deze pagina moeten leiden. Zorg ervoor dat je dit instelt en de tekst -zolang er geen vertaling beschikbaar is- netjes in het Nederlands vertaalt.
Het laatste onderdeel bevat de verschillende bewaartermijnen voor de verschillende soorten gegevens. Stel deze overeenkomstig jouw situatie in en zorg ervoor, dat deze termijnen benoemd worden op je ‘Privacy’ pagina.
De GDPR en WordPress
Zoals aangegeven heeft WordPress ‘iets’ ingebouwd voor het goed omgaan met verzoeken tot aanpassing of verwijdering van informatie. Omdat WordPress zelf niet veel privacy gevoelige gegevens vastlegt, maar dit juist wordt gedaan vanuit verschillende plugins, kan WordPress zelf weinig anders doen dan deze verzoeken ‘coördineren’.
Op het moment, dat iemand zijn gegevens wil verwijderen, moeten namelijk niet alleen zijn gebruikersgegevens verwijderd worden. Ook bijvoorbeeld – voor zover wettelijk toegestaan- de gegevens met betrekking tot zijn bestellingen, deelname aan en toegang tot cursussen en posts in fora.
Het is aan de plugin zelf om hiervoor te zorgen. Het zou echter fijn zijn, wanneer je dit slechts op één punt hoeft aan te geven. En dat is precies wat WordPress doet.
Je kan in de nieuwste versie van WordPress onder ‘Hulpmiddelen’ (heette in de vorige versie nog ‘Extra’) een verwijderingsverzoek invoeren. In de toekomst zullen er ongetwijfeld plugins komen die dit voor jou op de frontend regelen. Voorlopig moet je dit zelf hier doen.
Je geeft het email adres of de gebruikersnaam van een gebruiker in en vanuit WordPress zal er een verzoek om de verwijdering te bevestigen naar die gebruiker gestuurd worden.
Plugins kunnen ‘registeren’ dat ze bericht willen ontvangen wanneer op deze wijze een gebruiker wordt verwijderd.
Klikt iemand op die link, dan zullen al zijn gegevens verwijderd worden. Bovendien zal iedere plugin die geregistreerd is als ‘luisteraar’ naar een verwijderingsverzoek op zijn eigen manier hierop reageren. WooCommerce zal bijvoorbeeld de klantgegevens verwijderen. Je kan je voorstellen dat in de toekomst, wanneer meer plugins GDPR compliant zijn, een forum alle forum posts van die gebruiker zal wijzigen of anonimiseren.
Samenvatting
Zoals je ziet, is er ‘last minute’ nog heel wat toegevoegd aan WordPress en WooCommerce. Dit om jou te helpen beter te voldoen aan de GDPR. Het is nu aan de plugin makers om er voor te zorgen, dat dit ook gebruikt gaat worden in hun plugins. Zelf heb ik al de makers van een aantal plugins die ik zelf voor klanten inzet gevraagd op wat voor termijn hier ondersteuning verwacht kan worden.
Besproken plugins in deze blog zullen in de toekomst ook bekeken worden op de mate van GDPR compliancy. Wil je op de hoogte blijven welke plugins je veilig kan gebruiken, schrijf je dan in op de nieuwsbrief en krijg hierbij gratis één van de e-boeken.