De Algemene verordening gegevensbescherming (AVG) is een wet voor gegevensbescherming die de lat hoog legt voor wereldwijde privacyrechten en naleving. De AVG is waarschijnlijk op jou van toepassing als je bedrijf in de EU is gevestigd of als je klanten of contacten in de EU hebt.
Het doel van deze gids is om je details te geven over Lightspeeds benadering van AVG en om je een overzicht te geven van de vereisten om je te helpen bij je naleving.
Deze gids dient alleen ter informatie en mag niet worden beschouwd als juridisch advies. We raden je aan om samen te werken met juridische en andere professionele adviseurs om precies te bepalen hoe de AVG van toepassing kan zijn op jouw organisatie.
Ben je een Retail POS-winkelier in de EU of heb je klanten in de EU?
We hebben een Data Processing Addendum (DPA) opgesteld, waarmee je winkel voldoet aan de AVG.
Als je winkel is gevestigd in de EU, of als je klanten hebt die in de EU zijn gevestigd, moet je onze Verwerkersovereenkomst ondertekenen als je dat nog niet hebt gedaan. Hiermee kunnen persoonlijke gegevens uit de EU rechtmatig worden doorgegeven aan Retail POS, volgens de AVG-voorschriften.
Nadat je op de bovenstaande link hebt geklikt en je naam en e-mailadres hebt ingevoerd, verschijnen er instructies over hoe je dit addendum moet invullen. Je moet een kopie van de Verwerkersovereenkomst bewaren voor je persoonlijke administratie.
Wat heeft Retail POS gedaan om je te helpen voldoen aan AVG?
We ondersteunen de sterke principes voor gegevensprivacy en -beveiliging die de AVG benadrukt. We hebben veel werk verricht als onderdeel van ons AVG-klaarmakingsproject, waaronder:
- Beoordelen en bijwerken van onze interne gegevensprocessen, procedures, gegevenssystemen en documentatie.
- Blijven investeren in onze beveiligingsinfrastructuur.
- Evalueren en bijwerken van onze contracten met externe leveranciers.
We hebben onze gebruikersvoorwaarden en privacybeleid bijgewerkt
We weten dat het niet het soort nieuws is waar je 's ochtends je bed voor uitkomt, maar we hebben onze gebruikersvoorwaarden en privacybeleid bijgewerkt. Over het algemeen zorgen de wijzigingen ervoor dat we voldoen aan de hoge standaard van AVG op het gebied van gegevensprivacyprincipes en dat de omgang met gegevens door Retail POS en Retail POS-retailers duidelijker wordt.
Als je klanten hebt in de EU en hun gegevens verzamelt in Retail POS, word je onder de nieuwe AVG beschouwd als een 'gegevensbeheerder'. De AVG geeft mensen het recht om hun gegevens in te zien, te corrigeren, te verwijderen en het gebruik ervan te beperken, en als gegevensbeheerder ben je verplicht om mensen in staat te stellen deze rechten uit te oefenen. Deze omvatten:
-
Het 'recht van bezwaar' - Je klanten kunnen bezwaar maken tegen het gebruik van hun gegevens voor profilering of direct-marketingactiviteiten.
-
Het 'recht op beperking van de verwerking' - Klanten kunnen vragen om de verwerking van hun persoonlijke gegevens te beperken, wat betekent dat je de gegevens wel mag opslaan, maar niet mag gebruiken.
Hieronder vind je een overzicht van nieuwe en bestaande tools waarmee je deze gegevensverzoeken van je gebruikers of klanten in Retail POS kunt honoreren.
Hulpmiddelen om te voldoen aan de AVG:
We blijven tools ontwikkelen om onze retailers te helpen aan de AVG te voldoen. Deze pagina wordt bijgewerkt met nieuwe tools en functies zodra deze beschikbaar zijn.
Ondersteuning voor verwijderverzoeken voor gebruikers en klanten:
We zorgen ervoor dat verwijderen ook echt verwijderen betekent, zodat je verzoeken van gebruikers en klanten met betrekking tot het 'recht op vergetelheid' kunt honoreren. Dit zorgt ervoor dat persoonlijke gegevens met betrekking tot de identificatie van een gebruiker of klant op verzoek volledig worden verwijderd uit Retail POS. Voor alle inhoud (d.w.z. verkopen, rapporten, enz.) die eerder was gekoppeld aan de identificatiecode van een verwijderde gebruiker, wordt in plaats daarvan "Anonieme gebruiker" of "Anonieme klant" weergegeven.
Automatische onderdrukking:
Om je te helpen voldoen aan het 'recht op bezwaar' of het 'recht op beperking' gerelateerde verzoeken, wordt elke gebruikers-ID die gekoppeld is aan een Verwijder-actie automatisch op een suppressielijst geplaatst. Voor elke gebruikersidentificatie op de suppressielijst zorgen we dat alle inkomende persoonlijke gegevens met betrekking tot die gebruikers-ID niet gevolgd worden door Retail POS en niet naar integraties verzonden worden.
Bestaande tools om je te helpen voldoen aan AVG
Hieronder vind je de tools die direct beschikbaar zijn in Retail POS om je te helpen de AVG na te leven en die betrekking hebben op het recht op inzage, gegevensportabiliteit, rectificatie en toestemming. Deze omvatten:
Tools voor het exporteren van gegevens:
Om het 'recht op toegang' (personen hebben het recht op toegang tot hun gegevens) en het 'recht op gegevensportabiliteit' (personen kunnen hun persoonlijke gegevens opvragen en hergebruiken) waar inwoners van de EU nu recht op hebben onder de nieuwe AVG te honoreren, kun je met Retail POS klantenlijsten en verkoopgrootboeken exporteren in CSV-formaat. Bekijk ons Helpcentrum voor de exportopties die beschikbaar zijn in Retail POS. Je kunt ook een persoonlijke token instellen die communiceert met de uitgebreide API van Retail POS (Zie: https://docs.vendhq.com/) om persoonlijke gegevens op te halen die zijn gekoppeld aan een betrokkene die de toegangs- en overdraagbaarheidsrechten ondersteunt.
Mogelijkheid tot rectificatie van gebruikers- of klantgegevens:
Onder de AVG hebben personen het 'recht op rectificatie', wat betekent dat alle persoonlijke gegevens die zij onnauwkeurig of onvolledig achten, personen het recht hebben om deze te corrigeren. Met Retail POS kun je alle gegevens van betrokkenen corrigeren. Je kunt dit doen in de app onder de navigatie-items 'Gebruikers' en 'Klanten'.
Toestemming van de klant om marketingmateriaal te ontvangen:
In Retail POS is het mogelijk om de toestemming van klanten vast te leggen om marketing- of promotiemateriaal van je te ontvangen. Voordat je een klant toevoegt aan je database, is er een keuzeschakelaar waarmee je de klant kunt aan- of afmelden voor marketingcommunicatie op basis van zijn voorkeur. Als je een klant toevoegt aan je loyaliteitsprogramma, moeten ze bovendien een selectievakje aanvinken wanneer ze hun aanmeldingsmail voor loyaliteit ontvangen, om hun toestemming vast te leggen.
Minder risico op gegevensvernietiging:
In het kader van het recht op herstel van een betrokkene, om het risico op onopzettelijke vernietiging van gegevens of kwaadwillige vernietiging van gegevens te verminderen, is het nu mogelijk om gebruikers tijdelijk uit te schakelen in plaats van ze permanent te verwijderen in Retail POS. Gebruikers kunnen niet inloggen in Retail POS als hun account is uitgeschakeld. Wanneer hun account weer is ingeschakeld, kunnen ze inloggen met hun oorspronkelijke accountgegevens en gewoon beginnen met verkopen.
Beveiliging met tweefactorauthenticatie:
Tweefactorauthenticatie voegt een extra beveiligingslaag toe aan je beheerdersaccounts in Retail POS. Het gebruik van tweefactorauthenticatie helpt het risico op ongeautoriseerde toegang tot gegevens te verkleinen. Raadpleeg voor meer informatie over tweefactorauthenticatie in Retail POS onze handleiding Tweefactorauthenticatie (2FA) in Retail POS (X-Series).
Overzicht van AVG
Wat is AVG?
In de kern is AVG een verzameling regels die zijn ontworpen om burgers meer controle over hun gegevens te geven. Het doel is om de regelgeving voor bedrijven te vereenvoudigen, zodat zowel burgers als bedrijven optimaal kunnen profiteren van de digitale economie.
Op wie is AVG van toepassing?
De "extraterritoriale" toepassing van AVG geldt voor alle organisaties die de persoonlijke gegevens van inwoners van de EU verwerken of het gedrag van individuen binnen de EU monitoren, ongeacht de locatie van de entiteit.
"Persoonlijke gegevens" wordt breed gedefinieerd en betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"). Persoonlijke gegevens kunnen een naam, adres, bankgegevens, e-mailadres, berichten op sociale media of zelfs een IP-adres of een cookie-ID zijn.
Gevoelige persoonlijke gegevens, zoals gezondheidsinformatie of informatie die iemands ras of etnische afkomst onthult, vereisen een nog grotere bescherming. Dergelijke gegevens mag je niet opslaan in je Retail POS-account.
Ongeacht of je wel of niet denkt dat AVG gevolgen zal hebben voor je bedrijf, AVG en de onderliggende principes kunnen toch belangrijk voor je zijn. Europese wetgeving heeft de neiging om de trend te zetten voor internationale privacyregelgeving, en een groter privacybewustzijn nu kan je concurrentievoordeel in de toekomst vergroten.
Verwerkingsverantwoordelijke vs. verwerker
AVG schetst verschillende vereisten voor verwerkingsverantwoordelijken (entiteiten die het doel van en de middelen voor de verwerking van persoonlijke gegevens bepalen) en verwerkers (entiteiten die persoonlijke gegevens verwerken in opdracht van een verwerkingsverantwoordelijke).
Verwerkingsverantwoordelijken blijven primair verantwoordelijk voor gegevensbescherming (inclusief bijvoorbeeld de verplichting om gegevenslekken te melden aan gegevensbeschermingsautoriteiten); hoewel AVG ook een aantal directe verantwoordelijkheden bij de verwerker legt. Daarom is het belangrijk om uit te zoeken of je optreedt als verwerkingsverantwoordelijke of als verwerker, en als zodanig je verplichtingen te begrijpen.
In de meeste omstandigheden, in de context van Lightspeed-services, treden onze klanten op als de verwerkingsverantwoordelijke. Onze klanten beslissen bijvoorbeeld welke informatie wordt geüpload naar hun Retail POS-account. Lightspeed treedt op als verwerker door diensten uit te voeren voor onze klanten met behulp van Retail POS.
Enkele belangrijke punten met betrekking tot AVG:
Gegevensbescherming by design en default
Onder de "privacy by design"-eis van AVG, moet je nalevingsbeleid, procedures en systemen ontwerpen aan het begin van de productontwikkeling. Het "privacy by default"-principe vereist dat standaard alleen persoonlijke gegevens worden verwerkt die nodig zijn voor een specifiek doel.
Rechtmatigheid van verwerking
Je moet ervoor zorgen dat alle verwerking van gegevens is gebaseerd op een rechtmatige grond voor verwerking. Dit zijn toestemming, uitvoering van een overeenkomst, wettelijke verplichting, bescherming van vitale belangen, taken van algemeen belang of gerechtvaardigd belang afgewogen tegen de grondrechten van betrokkenen.
Toestemming van de klant
Onder AVG moet je misschien toestemming krijgen om de persoonlijke gegevens van je klanten te verwerken of moet je de manier waarop je die toestemming momenteel verkrijgt veranderen. AVG zegt met name dat toestemming "vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig" moet zijn. Je zult bestaande toestemmingsmechanismen moeten herzien om er zeker van te zijn dat ze een echte en fijnmazige keuze bieden.
Kinderen
AVG bevat specifieke vereisten voor ouderlijke toestemming bij het verwerken van persoonlijke gegevens van gebruikers jonger dan 16 jaar (of lager, afhankelijk van het land). Je moet overwegen of ouderlijke toestemming vereist is en of je de manier waarop je klantgegevens verwerkt moet aanpassen om ofwel ouderlijke toestemming te verkrijgen of te stoppen met het verwerken van de gegevens van klanten jonger dan 16 jaar.
Melding van inbreuk op persoonlijke gegevens
Gegevenslekken moeten zo snel mogelijk, en in ieder geval binnen 72 uur nadat de inbreuk is geconstateerd, worden gemeld aan de betreffende toezichthouder. AVG stelt dat inbreuken die waarschijnlijk niet zullen leiden tot risico's voor individuen niet hoeven te worden gemeld.
Functionaris voor gegevensbescherming
Verwerkers die een aanzienlijke hoeveelheid gegevens verwerken, of die 'gevoelige' gegevens verwerken, kunnen verplicht worden om een functionaris voor gegevensbescherming (DPO) aan te stellen. DPO's zullen verantwoordelijk zijn voor het toezicht op de gegevensverwerkingsactiviteiten van het bedrijf en voor de naleving van de AVG. Er wordt verwacht dat bepaalde bedrijven vrijwillig een DPO zullen aanstellen om aan te tonen dat ze best practice procedures toepassen en om zich beter te kunnen verdedigen tegen een regulerend onderzoek.
Verbeterde rechten voor betrokkenen
EU-burgers hebben verschillende belangrijke rechten onder AVG, waaronder het recht op vergetelheid, het recht om bezwaar te maken, het recht op rectificatie, het recht op toegang en het recht op portabiliteit.
Sancties
Niet-naleving van de AVG kan leiden tot zeer hoge financiële boetes. Organisaties die de AVG overtreden kunnen een boete krijgen die kan oplopen tot 4% van de wereldwijde jaaromzet of €20 miljoen (de hoogste van de twee).
Beveiliging
Winkeliers moeten stappen ondernemen om hun bedrijf te beschermen tegen hackers en fraudeurs. Klik hier voor actiestappen die je meteen in je bedrijf kunt implementeren.
Verder lezen over AVG
Meer informatie nodig? Hieronder vind je links naar nuttige informatie over AVG: