EU introducerede sidste år et nyt direktiv sammen med GDPR, der skal gøre e-handel sikrere for forbrugere. Forvirringen er stor, og det varer ikke længe, før bøderne begynder at blive delt ud igen. Her er det, du skal vide.
GDPR er og bliver et problem for mange virksomheder - vi har alle modtaget uendelige mails og advarsler om det henover 2018, men der er ingen vej udenom det. I 2019 er de store bøder for misvedligeholdelse af persondata for alvor begyndt at blive delt ud, og det har været en dyr fornøjelse for over 200.000 EU virksomheder.
Sidste års nyhed om et andet EU-direktiv, PSD2, blev stort ignoreret på grund af alt virvarret omkring GDPR, men deadlinen for overholdelse er snart aktuel, og det skal derfor tages ligeså alvorligt, hvis din virksomhed arbejder med nogen som helst form for e-handel.
Kort sagt er målet med EUs reviderede Payment Services Directive (PSD2) at skabe et standardiseret marked for betalingsservices ved at afskaffe bankernes monopol over kundernes betalingsdata. Det betyder, at både B2B og B2C kunder nu kan give tilladelse til, at tredjeparter får adgang til bankernes kontoinformationer.
Ligesom GDPR vil dette medføre nye krav i forhold til sikkerhed og beskyttelse af personfølsomme data.
For det første vil overholdelse af PSD2 kræve SCA (Strong Customer Authentication) - stærkere bekræftelse af identitet, når en person gennemfører en betaling over nettet. Det betyder, at du ikke længere vil kunne nøjes med et statisk password, og du bliver nødt til at implementere f.eks. fler-faktor autentifikation via NemID, CAPTCHAs eller bekræftelse per SMS på alle betalinger over €30 eller 225,- kr.
Transaktioner under dette beløb og f.eks. løbende abonnementer skal ikke bekræftes hver gang.
Mange betalingssystemer, så som ePay, understøtter allerede denne funktion via 3D Secure, men den er for det meste ikke slået til som standard. Der er også mange andre tredjepartsystemer, hvor implementeringen måske er mere vanskelig og vil krævere yderligere udvikling.
Ifølge PSD2, som praktisk set blev implementeret i 2018, skal alle medlemslande i EU opretholde standarderne for betalingssystemer inden d. 14. september 2019.
Det vil sige, at PSD2 egentlig allerede er en del af den danske lovgivning, og efter september vil hammeren begynde at falde, hvis danske virksomheder ikke lever op til kravene.
Meningen med PSD2 er både at skabe større sikkerhedsniveauer for al e-handel, men også at skabe større grobund for konkurrence på finansmarkedet.
Dette munder sig bl.a. ud i, at virksomheder vil have muligheden for at kunne certificere sig i en af to grupper:
For de fleste webshops vil det være nok bare at tilføje en form for SCA - og formentlig vil de fleste betalingssystemer tilbyde denne funktion inden september, hvis ikke de allerede gør.
I henhold til normal e-handel vil der ikke være nogen grund til, at en webshop skal have direkte adgang til kundernes bankkonti udenom tredjeparts betalingssystemer, så her skal du bare være sikker på, at dit betalingssystem dækker PSD2 kravene inden september, f.eks. via 3D Secure.
Effekten er, at forbrugerne nu vil have mere kontrol over deres kontoinformation, ligesom de fik mere kontrol over deres persondata som følge af GDPR. Nu kræver det, at de skal tage mere aktiv stilling til betalinger på nettet.
Ligesom GDPR er der stadig mange uklare aspekter i PSD2, og derfor kan der opstå flere gnidninger i løbet af året. Hvis ikke din webshop lever op til kravene om SCA, vil banker o.l. retmæssigt kunne afvise alle betalinger, der foregår gennem din webshop.
PSD2 kan også komme til at skabe problemer i forhold til GDPR. Nemlig fordi data også er et vigtigt element i PSD2. Fordi banker nu skal give tilladelse til, at tredjeparter får adgang til bankinformation, åbner det op for flere risici, når det kommer til sikkerhed af persondata og compliance i forhold til GDPR.
GDPR omhandler beskyttelse af persondata, hvorimod PSD2 omhandler større frihed omkring betalingsdata. Da der vil være to acceptniveauer efter PSD2, kan dette komme til at skabe vidtrækkende konflikter, hvis en forbruger f.eks. beslutter sig for at trække deres accept tilbage, som de har ret til ifølge GDPR.
Du skal have udtrykkeligt samtykke fra dine kunder for, at de skal kunne handle fra dig, og med PSD2 skal din betalingsudbyder ligeså. Det vil kræve mange nye processer i forhold til databehandling og ikke mindst omkring kravene om, hvor lang tid disse data må beholdes, inden de skal slettes.
Mange virksomheder har stadig ikke fået implementeret disse foranstaltninger, eller har måske misforstået kravene, da EU ikke har været tydelige nok omkring dem. Men det er f.eks. ikke nok bare at advare kunder om cookies, du placerer, du må ganske enkelt ikke placere dem, før du har fået tilsagn.
Kort sagt - din virksomhed skal være compliant overfor både GDPR og PSD2, ellers risikerer du bøder.
Er du usikker på, om dit site er GDPR compliant ift. cookies, så tag endelig testen på https://cookieinformation.com/da.
Hvis du har brug for udvikling til at implementere nogle af de nævnte tiltag og funktioner på din webshop eller i dine systemer, så kontakt os nu. Vi tilbyder professionelle digitale løsninger, der sikrer, at din virksomhed er compliant med både GDPR og PSD2.
Vi arbejder dagligt med PSD2 og GDPR compliance for vores kunder, og derfor ved vi, hvad der skal til for at leve op til kravene.
Kontakt os, hvis du har brug for en professionel løsning på din website eller shop.
Modtag de seneste nyheder med tips og tricks omkring Joomla, markedsføring, søgemaskineoptimering og andre lækre godbidder til de webansvarlige.