Documentatie · Privacy, beveiliging en naleving

revDSG-opmerkingen

Dit document vat samen hoe de functies van de ADP Car Market Hub-plugin zich verhouden tot de herziene Zwitserse wet op de gegevensbescherming (revDSG / nFADP), die van toepassing is op veel websites van autodealers die in of gericht op Zwitserland actief zijn. Het is een aanvulling op de GDPR / DSGVO-opmerkingen, die het EU/EER-kader behandelen.

Dit document is geen juridisch advies en garandeert geen naleving. De uiteindelijke juridische beoordeling hangt af van de inrichting van de site, de geconfigureerde functies, de implementatie van toestemming of transparantie en uw specifieke verplichtingen onder de Zwitserse wetgeving. Site-exploitanten moeten hun positie beoordelen met hun eigen juridisch adviseur.

Wanneer u dit document moet gebruiken

Gebruik dit document wanneer u:

  • Een autodealersite in Zwitserland exploiteert (typische opzet met een .ch-domein en CHF als de standaardvaluta).
  • Een op Zwitserland gerichte privacyverklaring opstelt voor aanvragen, zoekopdrachten en ingebouwde analytics.
  • Gegevensverwerkingsactiviteiten documenteert voor een Zwitsers publiek.
  • Wilt bevestigen dat de privacycontroles van de plugin in lijn zijn met uw interne Zwitserse richtlijnen voor gegevensbescherming.

Overzicht

De privacyrelevante functies van de plugin zijn hetzelfde, ongeacht het rechtsgebied (zie Overzicht van gegevensopslag en GDPR / DSGVO-opmerkingen). De verschillen voor een Zwitserse site gaan voornamelijk over:

  • Naamgeving en labeling — de analytics-beheerdersmelding van de plugin kan een Zwitsers revDSG-label tonen.
  • De juridische basis voor verwerking — onder de revDSG is transparante informatieverschaffing plus een gerechtvaardigd doel vaak voldoende, maar specifieke gevallen kunnen nog steeds expliciete toestemming vereisen.
  • De manier waarop de privacyverklaring is opgesteld (verwerkingsverantwoordelijke, doeleinden, ontvangers, doorgifte naar het buitenland).

De plugin kan een Zwitserse installatie automatisch detecteren en het revDSG-label dienovereenkomstig weergeven.

Hoe de plugin een Zwitserse / revDSG-installatie detecteert

De analytics-module van de plugin bevat een detector voor rechtsgebieden met de volgende volgorde van afhandeling:

  1. De handmatige overschrijving opgeslagen in de as24ci_analytics_privacy_jurisdiction optie, wanneer deze niet auto is.
  2. De TLD van de geconfigureerde AutoScout24 API-basis-URL. Hosts die eindigen op .ch (of .autoscout24.ch) worden herleid naar revdsg.
  3. De standaardvaluta. CHF wordt herleid naar revdsg.
  4. Anders valt de waarde terug op andere rechtsgebieden (gdpr, dsgvo, uk_gdpr) of op generic.

Exploitanten kunnen de waarde altijd forceren door de optie **Privacy jurisdiction** op revdsg in te stellen in de analytics-instellingen. De instelling is informatief; het regelt het kaderlabel dat in de beheerdersmelding wordt getoond en verandert niets aan de gegevens die worden verzameld.

Hoe revDSG-onderwerpen zich verhouden tot plugin-functies

De onderstaande koppeling beschrijft hoe het gedrag van de plugin zich verhoudt tot veelvoorkomende revDSG-thema's. Dit is informatief en vervangt geen projectspecifieke beoordeling.

Informatieplicht (transparantie)

  • Het leadformulier ondersteunt een configureerbaar toestemmingslabel en een Privacy page URL, die kan linken naar de Zwitserse privacyverklaring van de site.
  • De bevestigingsmail voor de zoekopdracht en de notificatiemail bevatten beide links die de abonnee kan gebruiken (bevestigen, afmelden).
  • De analytics-beheerdersmelding van de plugin toont een revDSG-label wanneer een Zwitserse installatie wordt gedetecteerd.

Doelbinding en evenredigheid

  • Aanvraaggegevens worden verzameld met als doel het beantwoorden van een voertuigaanvraag of een proefritverzoek.
  • Zoekopdrachtgegevens worden verzameld met als doel het verzenden van notificatiemails over nieuw geïmporteerde overeenkomende voertuigen.
  • Analytics-gebeurtenissen zijn, indien ingeschakeld, geaggregeerde records die worden gebruikt voor interne site-analytics.

Dataminimalisatie

  • Optionele leadvelden (Telefoon, Bericht) kunnen worden verborgen, zodat alleen Naam en E-mailadres verplicht zijn.
  • Het IP-adres van de verzender wordt niet opgeslagen bij leads. Een gezouten SHA-256 hash van het IP-adres wordt alleen gebruikt voor kortstondige snelheidsbeperking via een WordPress transient (5 inzendingen per IP per 5 minuten).
  • De analytics-tabel slaat alleen het type gebeurtenis, optionele geminimaliseerde payload, voertuig-ID en tijdstempel op. Er worden geen IP-adressen, gebruikersidentificaties of cookies opgeslagen aan de serverzijde.
  • De optie Filter data minimization verwijdert vrije-tekst-zoektermen (s, search, q) uit de analytics filter-search payload.
  • Criteria voor zoekopdrachten zijn beperkt tot een vaste whitelist van sleutels.

Beveiliging van de verwerking

  • Beheerdersacties worden beveiligd door de manage_as24_imports capability van de plugin en WordPress nonces.
  • Het contactformulier vereist een nonce en bevat een verborgen honeypot-veld.
  • De logger maskeert fragmenten van token=…, client_secret=… en Authorization: Bearer … voordat deze worden weggeschreven.
  • Zie Beveiligingsaanbevelingen voor de aanbevolen stappen voor hardening.

Grensoverschrijdende gegevensdoorgifte

  • De plugin maakt verbinding met de AutoScout24 Hub API om voertuiggegevens te importeren. De gegevens die naar die API stromen zijn operationele dealergegevens (inloggegevens, advertentiereferenties), geen persoonlijke gegevens van websitebezoekers.
  • E-mail wordt verzonden via wp_mail. Het daadwerkelijke bezorgpad hangt af van het e-mailtransport van de site (bijvoorbeeld een SMTP-dienst of hostingprovider). Als dat transport zich buiten Zwitserland bevindt, moet de bijbehorende doorgifte worden beoordeeld in uw privacyverklaring.
  • De optionele AI Assistant-functie stuurt, indien ingeschakeld, prompts naar het beheerde Google Gemini-eindpunt dat is geconfigureerd in ADP Car Market Hub. Er is geen providerselectie, modelselectie of API-sleutelinvoer vereist in de WordPress-backend; de klantspecifieke AI-inrichting wordt na installatie voltooid door AD Promotion. Het Gemini-eindpunt wordt meestal buiten Zwitserland gehost, dus de bijbehorende doorgifte moet worden beoordeeld in uw privacyverklaring. Schakel de functie uit als dergelijke doorgiften niet gewenst zijn. Controleer de toepasselijke gegevensverwerking en contractuele voorwaarden voor de beheerde AI-opzet voordat u AI-functies inschakelt in productie.

Rechten van betrokkenen

  • Het tabblad Leads in het beheerdersmenu van de plugin ondersteunt zoeken, statusfiltering, CSV-export en het verwijderen van individuele leads.
  • Het tabblad Search Alerts in het beheerdersmenu van de plugin ondersteunt bewerken, statuswijziging (active, inactive, paused) en het verwijderen van abonnementen.
  • De plugin registreert geen WordPress exporteur of verwijderaar-hook voor persoonlijke gegevens; verzoeken om rechten worden handmatig afgehandeld met de bovenstaande tools. Controleer dit gedrag in de huidige plugin-versie voordat u procesdocumentatie publiceert die hiervan afhankelijk is.

Verwerkingsregister

  • Zie Overzicht van gegevensopslag voor een inventarisatie van opgeslagen gegevenscategorieën die de interne registers van de autodealer kunnen voeden.

Configuratiereferentie

De instellingen die het meest relevant zijn voor een Zwitserse installatie zijn:

InstellingWaardeEffect
Privacy jurisdictionrevdsg (of auto met een Zwitserse configuratie)Toont het revDSG-label in de analytics-beheerdersmelding.
Consent checkbox enabledAan / UitToon of verberg het toestemmingsvakje op het aanvraagformulier.
Consent checkbox labelVrije tekstDoor de exploitant geschreven label, idealiter verwijzend naar de Zwitserse privacyverklaring.
Privacy page URLURLLink naar de Zwitserse privacyverklaring.
Analytics enabledAan / UitHoofdschakelaar voor ingebouwde analytics; standaard uitgeschakeld.
Require consentAan / UitIndien ingeschakeld, wordt analytics gereguleerd via het as24ci_analytics_consent_check-filter.
Analytics retention (days)Geheel getal (standaard 180, minimaal 7)Bewaartermijn voor analytics-gebeurtenissen.
Filter data minimizationAan (standaard)Verwijdert vrije-tekst-zoektermen uit de analytics-payload.

Operationele opmerkingen

  • Het revDSG-kader ondersteunt een andere mix van juridische grondslagen dan de GDPR. Of uw specifieke tracking- of marketingtoepassing expliciete toestemming, een opt-out of een benadering op basis van uitsluitend transparantie vereist, moet worden beoordeeld met uw juridisch adviseur.
  • Als u de website aanbiedt aan bezoekers in zowel Zwitserland als de EU, kan de GDPR ook van toepassing zijn. In de praktijk stemmen exploitanten hun verklaring en toestemmings-UI vaak af op het strengere kader.
  • De selectieknop voor het privacy-rechtsgebied is alleen een label. Overschakelen naar revdsg verandert niets aan de gegevens die worden verzameld. Operationele controles (analytics aan/uit, bewaartermijn, toestemming) blijven de relevante knoppen.

Stappenplan: de plugin afstemmen op een Zwitserse / revDSG-installatie

  1. Stel vast of de site bedoeld is voor Zwitserland (typisch: .ch-domein, CHF-valuta).
  2. Laat in de analytics-instellingen Privacy jurisdiction op auto staan (dit zal herleiden naar revdsg) of stel dit expliciet in op revdsg.
  3. Werk de privacyverklaring van de site bij om de verwerking van aanvragen, zoekopdrachten en (indien ingeschakeld) analytics in voor Zwitserland geschikte terminologie te beschrijven.
  4. Stel in de instellingen van het leadformulier de Privacy page URL in op de Zwitserse privacyverklaring en configureer het toestemmingslabel dienovereenkomstig.
  5. Beslis of u analytics wilt inschakelen. Indien ingeschakeld, kies uit: - Werking op basis van uitsluitend transparantie (analytics aan, toestemmingsvereiste uit, gedocumenteerd in de privacyverklaring), of - Werking op basis van toestemming (analytics aan, Require consent aan, gekoppeld aan een plugin voor toestemmingsbeheer via het as24ci_analytics_consent_check-filter).
  6. Stel de bewaartermijn voor analytics in volgens uw privacybeoordeling.
  7. Documenteer een handmatige werkstroom voor het afhandelen van inzage- en verwijderingsverzoeken met behulp van de tabbladen Leads en Search Alerts in het beheerdersmenu.

Probleemoplossing

  • Gedetecteerd rechtsgebied is onjuist — wijzig Privacy jurisdiction van auto naar revdsg in de analytics-instellingen.
  • Bezoeker in Zwitserland vraagt om verwijdering — zoek de lead op in het tabblad Leads in het beheerdersmenu en verwijder deze; instrueer de bezoeker om de afmeldlink te gebruiken voor notificaties van zoekopdrachten, of verwijder hun abonnement via het tabblad Search Alerts in het beheerdersmenu.
  • E-mailtransport bevindt sich buiten Zwitserland — werk de privacyverklaring bij om het doorgiftepad te vermelden; overweeg lokale SMTP-alternatieven als uw privacybeoordeling dit vereist.

Gerelateerde documenten