De Algemene verordening gegevensbescherming (AVG) is een wet voor gegevensbescherming die de lat hoog legt voor wereldwijde privacyrechten en naleving. De AVG is waarschijnlijk op jou van toepassing als je bedrijf in de EU is gevestigd of als je klanten of contacten in de EU hebt.
Retail POS-tools die je helpen bij de naleving van de AVG
Ondersteuning voor verwijderverzoeken voor gebruikers en klanten
We zorgen ervoor dat verwijderen ook echt verwijderen betekent, zodat je verzoeken van gebruikers en klanten met betrekking tot het 'recht op vergetelheid' kunt honoreren. Dit zorgt ervoor dat persoonlijke gegevens met betrekking tot de identificatie van een gebruiker of klant op verzoek volledig worden verwijderd uit Retail POS. Voor alle inhoud (d.w.z. verkopen, rapporten, enz.) die eerder was gekoppeld aan de identificatiecode van een verwijderde gebruiker, wordt in plaats daarvan "Anonieme gebruiker" of "Anonieme klant" weergegeven.
Automatische onderdrukking
Om je te helpen voldoen aan het 'recht op bezwaar' of het 'recht op beperking' gerelateerde verzoeken, wordt elke gebruikers-ID die gekoppeld is aan een Verwijder-actie automatisch op een suppressielijst geplaatst. Voor elke gebruikersidentificatie op de suppressielijst zorgen we dat alle inkomende persoonlijke gegevens met betrekking tot die gebruikers-ID niet gevolgd worden door Retail POS en niet naar integraties verzonden worden.
Tools voor het exporteren van gegevens
Om het 'recht op toegang' (personen hebben het recht op toegang tot hun gegevens) en het 'recht op gegevensportabiliteit' (personen kunnen hun persoonlijke gegevens opvragen en hergebruiken) waar inwoners van de EU nu recht op hebben onder de nieuwe AVG te honoreren, kun je met Retail POS klantenlijsten en verkoopgrootboeken exporteren in CSV-formaat. Bekijk ons Helpcentrum voor de exportopties die beschikbaar zijn in Retail POS. Je kunt ook een persoonlijke token instellen die communiceert met de uitgebreide API van Retail POS om persoonlijke gegevens op te halen die zijn gekoppeld aan een betrokkene die de toegangs- en overdraagbaarheidsrechten ondersteunt.
Mogelijkheid tot rectificatie van gebruikers- of klantgegevens
Onder de AVG hebben personen het 'recht op rectificatie', wat betekent dat alle persoonlijke gegevens die zij onnauwkeurig of onvolledig achten, personen het recht hebben om deze te corrigeren. Met Retail POS kun je alle gegevens van betrokkenen corrigeren. Je kunt dit doen in de app onder de navigatie-items 'Gebruikers' en 'Klanten'.
Toestemming van de klant om marketingmateriaal te ontvangen
In Retail POS is het mogelijk om de toestemming van klanten vast te leggen om marketing- of promotiemateriaal van je te ontvangen. Voordat je een klant toevoegt aan je database, is er een keuzeschakelaar waarmee je de klant kunt aan- of afmelden voor marketingcommunicatie op basis van zijn voorkeur. Als je een klant toevoegt aan je loyaliteitsprogramma, moeten ze bovendien een selectievakje aanvinken wanneer ze hun aanmeldingsmail voor loyaliteit ontvangen, om hun toestemming vast te leggen.
Minder risico op gegevensvernietiging
In het kader van het recht op herstel van een betrokkene, om het risico op onopzettelijke vernietiging van gegevens of kwaadwillige vernietiging van gegevens te verminderen, is het nu mogelijk om gebruikers tijdelijk uit te schakelen in plaats van ze permanent te verwijderen in Retail POS. Gebruikers kunnen niet inloggen in Retail POS als hun account is uitgeschakeld. Wanneer hun account weer is ingeschakeld, kunnen ze inloggen met hun oorspronkelijke accountgegevens en gewoon beginnen met verkopen.
Beveiliging met multifactorauthenticatie
Multifactorauthenticatie voegt een extra beveiligingslaag toe aan je beheerdersaccounts in Retail POS. Het gebruik van multifactorauthenticatie helpt het risico op ongeautoriseerde toegang tot gegevens te verkleinen. Raadpleeg voor meer informatie over multifactorauthenticatie in Retail POS onze handleiding Multifactorauthenticatie (MFA) in Retail POS (X-Series).
Overzicht van AVG
Wat is de AVG?
In de kern is AVG een verzameling regels die zijn ontworpen om burgers meer controle over hun gegevens te geven. Het doel is om de regelgeving voor bedrijven te vereenvoudigen, zodat zowel burgers als bedrijven optimaal kunnen profiteren van de digitale economie.
Op wie is de AVG van toepassing?
De "extraterritoriale" toepassing van AVG geldt voor alle organisaties die de persoonlijke gegevens van inwoners van de EU verwerken of het gedrag van individuen binnen de EU monitoren, ongeacht de locatie van de entiteit.
"Persoonlijke gegevens" wordt breed gedefinieerd en betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"). Persoonlijke gegevens kunnen een naam, adres, bankgegevens, e-mailadres, berichten op sociale media of zelfs een IP-adres of een cookie-ID zijn.
Gevoelige persoonlijke gegevens, zoals gezondheidsinformatie of informatie die iemands ras of etnische afkomst onthult, vereisen een nog grotere bescherming. Dergelijke gegevens mag je niet opslaan in je Retail POS-account.
Ongeacht of je wel of niet denkt dat AVG gevolgen zal hebben voor je bedrijf, AVG en de onderliggende principes kunnen toch belangrijk voor je zijn. Europese wetgeving heeft de neiging om de trend te zetten voor internationale privacyregelgeving, en een groter privacybewustzijn nu kan je concurrentievoordeel in de toekomst vergroten.
Verwerkingsverantwoordelijke vs. verwerker
AVG schetst verschillende vereisten voor verwerkingsverantwoordelijken (entiteiten die het doel van en de middelen voor de verwerking van persoonlijke gegevens bepalen) en verwerkers (entiteiten die persoonlijke gegevens verwerken in opdracht van een verwerkingsverantwoordelijke).
Verwerkingsverantwoordelijken blijven primair verantwoordelijk voor gegevensbescherming (inclusief bijvoorbeeld de verplichting om gegevenslekken te melden aan gegevensbeschermingsautoriteiten); hoewel AVG ook een aantal directe verantwoordelijkheden bij de verwerker legt. Daarom is het belangrijk om uit te zoeken of je optreedt als verwerkingsverantwoordelijke of als verwerker, en als zodanig je verplichtingen te begrijpen.
In de meeste omstandigheden, in de context van Lightspeed-services, treden onze klanten op als de verwerkingsverantwoordelijke. Onze klanten beslissen bijvoorbeeld welke informatie wordt geüpload naar hun Retail POS-account. Lightspeed treedt op als verwerker door diensten uit te voeren voor onze klanten met behulp van Retail POS.
Gegevensbescherming by design en default
Onder de "privacy by design"-eis van AVG, moet je nalevingsbeleid, procedures en systemen ontwerpen aan het begin van de productontwikkeling. Het "privacy by default"-principe vereist dat standaard alleen persoonlijke gegevens worden verwerkt die nodig zijn voor een specifiek doel.
Rechtmatigheid van verwerking
Je moet ervoor zorgen dat alle verwerking van gegevens is gebaseerd op een rechtmatige grond voor verwerking. Dit zijn toestemming, uitvoering van een overeenkomst, wettelijke verplichting, bescherming van vitale belangen, taken van algemeen belang of gerechtvaardigd belang afgewogen tegen de grondrechten van betrokkenen.
Toestemming van de klant
Onder AVG moet je misschien toestemming krijgen om de persoonlijke gegevens van je klanten te verwerken of moet je de manier waarop je die toestemming momenteel verkrijgt veranderen. AVG zegt met name dat toestemming "vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig" moet zijn. Je zult bestaande toestemmingsmechanismen moeten herzien om er zeker van te zijn dat ze een echte en fijnmazige keuze bieden.
Kinderen
AVG bevat specifieke vereisten voor ouderlijke toestemming bij het verwerken van persoonlijke gegevens van gebruikers jonger dan 16 jaar (of lager, afhankelijk van het land). Je moet overwegen of ouderlijke toestemming vereist is en of je de manier waarop je klantgegevens verwerkt moet aanpassen om ofwel ouderlijke toestemming te verkrijgen of te stoppen met het verwerken van de gegevens van klanten jonger dan 16 jaar.
Melding van inbreuk op persoonlijke gegevens
Gegevenslekken moeten zo snel mogelijk, en in ieder geval binnen 72 uur nadat de inbreuk is geconstateerd, worden gemeld aan de betreffende toezichthouder. AVG stelt dat inbreuken die waarschijnlijk niet zullen leiden tot risico's voor individuen niet hoeven te worden gemeld.
Functionaris voor gegevensbescherming
Verwerkers die een aanzienlijke hoeveelheid gegevens verwerken, of die 'gevoelige' gegevens verwerken, kunnen verplicht worden om een functionaris voor gegevensbescherming (DPO) aan te stellen. DPO's zullen verantwoordelijk zijn voor het toezicht op de gegevensverwerkingsactiviteiten van het bedrijf en voor de naleving van de AVG. Er wordt verwacht dat bepaalde bedrijven vrijwillig een DPO zullen aanstellen om aan te tonen dat ze best practice procedures toepassen en om zich beter te kunnen verdedigen tegen een regulerend onderzoek.
Verbeterde rechten voor betrokkenen
EU-burgers hebben verschillende belangrijke rechten onder AVG, waaronder het recht op vergetelheid, het recht om bezwaar te maken, het recht op rectificatie, het recht op toegang en het recht op portabiliteit.
Sancties
Niet-naleving van de AVG kan leiden tot zeer hoge financiële boetes. Organisaties die de AVG overtreden kunnen een boete krijgen die kan oplopen tot 4% van de wereldwijde jaaromzet of €20 miljoen (de hoogste van de twee).
Beveiliging
Winkeliers moeten stappen ondernemen om hun bedrijf te beschermen tegen hackers en fraudeurs. Klik hier voor actiestappen die je meteen in je bedrijf kunt implementeren.
Ga naar het Lightspeed Trust Center voor informatie over hoe Lightspeed voldoet aan onze verplichtingen inzake gegevensbescherming onder de AVG