GDPR er i ferd med å forårsake en enorm endring av personvernforskriftene i EU, fra og med 25. mai. Selv om mye har blitt sagt om GDPR, har lite blitt rettet mot Magento-butikkeiere og hvordan GDPR vil påvirke dem. Bare å installere en plugin kan fungere for noen butikker, men større Magento-nettsteder må gjøre mer.
Her skal vi se på noen av måtene GDPR vil bety endringer for Magento-butikkeiere som opererer i (og utenfor) EU, og hvordan du vil være i stand til å sørge for at butikken og utvidelsene dine forblir kompatible.
Hva er GDPR?
GDPR er en ny europeisk forordning som tar sikte på å forbedre personopplysningsbeskyttelsen for europeiske borgere. Den erstatter tidligere forskrifter implementert for over to tiår siden.
Mens regelverket er basert i Europa, vil enhver virksomhet som har nettkunder i Europa bli berørt og må gjøre endringer hvis de vil fortsette å overholde. Dette inkluderer dersom dine datalagrings- og behandlingsfasiliteter (datasenter) er plassert utenfor Europa. Magento selv har uttalt at du sannsynligvis bør forbli GDPR-kompatibel, selv om butikken din ikke er basert i EU.
Fristen for å sikre at organisasjonen din er i samsvar er 25. mai 2018.
Finn ut mer om GDPR
Vi har allerede snakket lenge om GDPR. Lær mer om GDPR, hvilke endringer som gjøres og hvorfor du må sørge for at organisasjonen din er klar, uavhengig av hvilken nettapplikasjon du bruker.
Hvordan GDPR vil påvirke Magento-butikken din
Manglende overholdelse av GDPR kan føre til bøter på opptil €20 millioner, eller 4 % av forrige års verdensomspennende årlige inntekt. Så det er viktig å ta hensyn til endringene som skjer. Her er noen av tingene du bør passe på når forskriften trer i kraft.
IP sporing og kontroll
IP-sporing og -kontroll er prosessen med å ta en besøkendes IP-adresse og bruke den til å motivere andre handlinger. Dette kan gjøres for å fastslå en besøkendes plassering, valuta eller geografiske preferanser. Med denne informasjonen er det mulig å lage skreddersydde butikkregler for spesifikke kunder, for eksempel alternerende CTAer (call to actions), endre tilgjengelige SKUer og endre priser.
Noen av favorittutvidelsene våre bruker IP-sporing for å hjelpe internasjonale Magento-butikker med enkelt å administrere deres mangfoldige kundebase. For eksempel, GeoIP Store og valutaveksling bruk IP-sporing og lagring for å endre butikkplassering, beholdning, valuta og mer. Tilsvarende utvidelser som Magento 2 Store Locator bruke IP-adresseinformasjon for å finne en besøkendes nærmeste fysiske butikk.
I henhold til de nye GDPR-retningslinjene, må du nå eksplisitt be om tillatelse for å gjøre disse tingene. Når en kunde fra EU besøker nettstedet ditt, må du sørge for at de blir spurt eksplisitt om IP-adressen deres kan samles inn og lagres. Dette betyr ikke bare på .co.de-siden din, men også for .com-en din. Enhver besøkende fra EU bør enten kunne akseptere eller avvise din bruk av deres IP-adresse.
Personlig tilpasset innhold
Å levere personlig tilpasset innhold til spesifikke målgrupper er en integrert del av å maksimere effektiviteten til ethvert nettsted. Dette gjelder spesielt for e-handelsbutikker. Du vil ikke vise en bruker som er interessert i en bestemt type kjole flere resultater for baseball.
Personlig tilpasset innhold kan føre til store kostnadsbesparelser og inntektsøkninger. Det er mer sannsynlig at forbrukere kjøper fra butikker som gir en personlig opplevelse ved å gjenkjenne dem og deres butikkpreferanser. Dette personaliserte innholdet krever bruk av informasjonskapsler for å lagre det GDPR anser som personlig informasjon.
For å forbli i samsvar med GDPR, må du sørge for at besøkende fra EU har et valg når det gjelder bruk av informasjonskapsler. Det er ikke nok å bare la brukerne få vite at informasjonskapsler brukes på nettstedet ditt med en erklæring som ligner på “Hvis du bruker denne siden, godtar du informasjonskapsler”. I stedet må du sørge for at den besøkende har gjort en klar, bekreftende handling for å godta informasjonskapsler, med et valg om å avvise dem også.
For Magento-utvidelser som f.eks Magento 2 egendefinert popup, vil dette ha vidtrekkende konsekvenser og kan bety fjerning av denne funksjonen fra EU-deler av nettstedet ditt. Dette skyldes hovedsakelig utvidelsens evne til å spore popup-indikatorer og angi visningstillatelser for ulike kundegrupper.
Disse trinnene involverer innsamling av data – noen av dem vil bli sett på som personlig identifiserbar informasjon under GDPR. Eksplisitt tillatelse og oppt-out vil være nødvendig.
Relevans og minimering
Du bør kun samle inn og lagre data som du vil bruke. Hvis dataene er irrelevante, bør de ikke samles inn. Dessuten bør det ikke eksistere flere kopier av disse dataene.
For noen Magento-butikkeiere kan dette bety å rydde opp i databasene deres. Den gode nyheten er at dette sannsynligvis vil føre til raskere lastetider – spesielt hvis du implementerer Varnish og Nginx på riktig måte. Den dårlige nyheten er at det kan være mye tidkrevende arbeid.
Disse begrensningene gjelder også for perioden du kan beholde disse dataene. Hvis du for eksempel kjører en konkurranse og flere hundre EU-borgere registrerer seg via et nettskjema, må du slette disse dataene når konkurransen er over. Det er med mindre disse oppføringene inkluderer spesifikk tillatelse for å registrere deg for et langsiktig program. Hvis ikke, må du slette dem når de blir irrelevante for formålet de opprinnelig var ment for.
For Magento-utvidelser som f.eks Flere bestillings-e-poster for Magento 2, kan dette bety endringer i måten du lagrer data angående bestillings-e-post på. Hvis bestillingsinformasjon er lagret på flere steder, kan det hende du må omdirigere til et enkelt, pseudonymisert sted, eller sørge for at e-postdata for bestilling slettes så snart det ikke lenger anses som relevant.
Magento Pseudonymisering
GDPR har notert seg noe som kalles pseudonymisering. Det er her alle lagrede personopplysninger må være “uforståelige” uten bruk av et sekundært sett med informasjon. I hovedsak er det ikke lenger ok å lagre personlig informasjon direkte i Magento-databasene dine når du har med EU-borgere å gjøre.
En foreslått metode for å sikre pseudonymisering er gjennom tokenisering. Magento har selv snakket om å bruke tokenisering for å lagre kundens betalingsdetaljer. Selskaper som Braintree kan hjelpe deg med dette, men bare for betalingsinformasjon. I henhold til GDPR må all personlig identifiserbar informasjon som samles inn, pseudonymiseres. Det inkluderer navn, lokasjoner, IP-adresser, rase, kjønn og mer.
En annen metode er å partisjonere plass på serveren din og deretter separere personlig identifiserbare data slik at ett enkelt sett ikke er forståelig uten det andre. Maskering er en annen løsning, med delvise e-postadresser og andre skjemadata som lagres i stedet for fullstendige verdier.
Hvordan du overholder pseudonymisering er opp til deg. Du må imidlertid sørge for at personopplysninger ikke kan tilskrives en enkelt person uten tilleggsdata.
Laster ned Magento 2 GDPR-utvidelsen
Hvis du ønsker å forbli i samsvar med GDPR, er GDPR Magento 2-modulen en enkel måte å gjøre endringer på. Denne utvidelsen gjør samsvar like enkelt som å klikke:
Konfigurasjon > Kunder > Kundekonfigurasjon > Personvern (GDPR).
Merk at personopplysninger som er lagret i andre utvidelser ikke påvirkes, så det anbefales at du enten venter på at Magento-utviklere begynner å implementere GDPR-endringer, slutter å bruke visse utvidelser eller gjør endringer i databasesystemet selv.
Forbereder Magento 2 Store for GDPR
Dette er på ingen måte en uttømmende liste over alt Magento 2-butikken din må vurdere når det gjelder GDPR. Det gir imidlertid et godt utgangspunkt for de som spesifikt retter seg mot EU-borgere.
Merk at denne veiledningen ikke utgjør juridisk rådgivning og snarere er en oversikt over regelendringene som vil tre i kraft. For en fullstendig oversikt over endringene som finner sted, vennligst se den avtalte teksten fra nettstedet EUGDPR.org.
Få GDPR-kompatibel Magento Hosting
Sjekk ut våre fullt administrerte Magento-vertsplaner for å komme i gang i dag.