Vorige week is WordPress 4.9.6 uitgekomen, waarin een aantal nieuwe functies zijn uitgebracht, die het makkelijker maken om je website AVG-proof te maken (wat je vóór 25 mei 2018 moet doen). In dit artikel behandelen we deze nieuwe functies en leggen we uit waar je op moet letten bij het inrichten ervan.
Is mijn WordPress website nu standaard AVG-proof?
Het korte antwoord: Nee. De AVG (Algemene Verordening Gegevensbescherming, ook GDPR genoemd) geeft consumenten (dus ook bezoekers van je website) een hoop nieuwe rechten (lees over deze rechten in ons blog over de impact van de AVG op je WordPress website). Met de nieuwe WordPress versie kun je nu eenvoudiger aan een aantal rechten gaan voldoen, maar sommige zaken blijven je eigen verantwoordelijkheid (en zijn ook niet door WordPress als CMS af te dekken). We behandelen de ‘rechten’ die nu geregeld zijn in de nieuwe WordPress versie, maar benoemen ook wat nog handwerk van jouw kant vereist:
1. Het recht om geïnformeerd te worden
De AVG vereist dat je je bezoekers/consumenten in heldere taal informeert hoe je omgaat met hun persoonsgegevens. Dat betekent concreet dat je in elk geval een privacybeleid op je website moet plaatsen waarin je zonder omhaal van woorden uitlegt wat je zoal doet met persoonsgegevens. De nieuwe WordPress-versie biedt je een hulpmiddel om je privacy-beleid op te stellen en een pagina aan te wijzen waarop je privacy-beleid staat. WordPress plaatst dan voor jou een link naar je privacybeleid onder je registratie- en inlogformulieren.
Bovendien geeft WordPress je een voorbeeldtekst voor je privacybeleid. Een uitgebreidere versie kun je zelf ook eenvoudig opstellen via de Privacyverklaring Generator van veiliginternetten.nl. Dit kan voor een groot deel automatisch, maar het handwerk zit er met name in om bijvoorbeeld op te sommen welke persoonsgegevens jouw website zoal verzamelt en wat je ermee doet. Vergeet daarbij ook de koppelingen met externe diensten niet (bijv. een CRM, boekhoudpakket of e-mailmarketingsoftware zoals Mailchimp of CreateSend).
Heb ik het recht om geïnformeerd te worden hiermee afgedekt?
Nog niet helemaal. WordPress helpt je een privacybeleid op te stellen en plaatst een linkje naar die pagina onder je login- en registratie-scherm. Het is daarnaast in elk geval aan te raden om zelf ook een link naar je privacybeleid te plaatsen in bijv. de footer van je website. Zo is je privacybeleid altijd toegankelijk. Het recht om geïnformeerd te worden staat echter niet helemaal op zichzelf; bezoekers moeten ook instemmen met je privacybeleid. Daarover gaat hieronder het volgende recht.
2. Het recht om toestemming te geven (en standaard dus te weigeren)
Bezoekers informeren over wat je doet met hun gegevens is één ding. Ze hebben namelijk ook het recht om eerst toestemming te geven voordat je die gegevens mag verzamelen. Privacy by default noemen we dit. Dit betekent dat je sommige gegevens pas mag verzamelen nadat jouw bezoekers toestemming hebben gegeven. Je kunt dus wel een privacybeleid hebben en je bezoekers hierover informeren, maar het is net zo belangrijk dat je bezoekers akkoord zijn met dit beleid.
Dit los je voor een groot deel op door onder elk formulier op je website een vinkje te zetten met een tekst als ‘Ik heb het privacybeleid gelezen en ga hiermee akkoord’. Link daarbij naar je beleid en zorg ervoor dat je vinkje standaard uitstaat. Zorg er ook voor dat je formulier niet verzonden wordt als het vinkje niet is aangevinkt. Anders verwerk je alsnog persoonsgegevens zonder de toestemming van je bezoekers. Explicit consent wordt dit genoemd; bezoekers moeten expliciet toestemming geven.
Naast je contactformulieren zijn er wellicht nog andere plugins (of scripts) die persoonsgegevens verzamelen. Eigenlijk zouden deze plugins uit moeten staan zolang je geen toestemming hebt gehad van je bezoekers. Een oplossing hiervoor hebben we bedacht in de vorm van onze GDPR Consent Plugin voor WordPress. Daarmee geef je aan welke plugins standaard uit moeten staan, en welke toestemming je bezoekers moeten geven voordat die plugins geactiveerd mogen worden.
Heb ik het recht om toestemming te geven hiermee afgedekt?
Dit is een hele lastige vraag en hangt af van de complexiteit op jouw website. Je moet heel goed alle activiteiten van plugins, scripts en functionaliteiten op je website in het vizier hebben om hier antwoord op te kunnen geven. Gebruik onze AVG-checklist voor WordPress om systematisch je website te doorlopen op alle facetten die persoonsgegevens kunnen verzamelen.
Tot slot is het goed om te weten dat in de nieuwe versie van WordPress onder reactie-formulieren een extra checkbox wordt getoond. Daarbij wordt gevraagd of de ingevulde persoonsgegevens in een cookie opgeslagen mogen worden. Dit is echter nog geen volledige afdekking van het recht om toestemming te geven, want je dient ook toestemming te vragen of je de persoonsgegevens op je website opslaat en toont.
3. Het recht om vergeten te worden en op eenvoudige toegang
Gebruikers hebben het recht op inzage in de persoonsgegevens die jij van ze bezit. Ze mogen bovendien vragen of deze gegevens aangepast of verwijderd kunnen worden (het recht om vergeten te worden). WordPress biedt je de mogelijkheid om de gegevens van een persoon te exporteren en/of te verwijderen. Daarbij wordt een verificatie gedaan door een e-mail te sturen naar de persoon in kwestie.
Heb ik het recht om vergeten te worden en eenvoudige toegang hiermee afgedekt?
Waarschijnlijk gebruik je naast WordPres zelf ook nog plugins die persoonsgegevens verzamelen. Denk aan contactformulieren, webshop-modules, forum/ledennetwerk-functionaliteit, etc. Deze plugins dienen in te haken op deze nieuwe functionaliteit van WordPress, zodat ze ‘meewerken’ in het exporteren en/of verwijderen van data van de specifieke gebruiker. Je dient per plugin na te gaan of ze hier klaar voor zijn. Anders heb je naast een verzoek om inzage/verwijdering nog wat handwerk te doen.
Vergeet daarnaast externe diensten van derden niet; wellicht heeft iemand op je website zich aangemeld voor je nieuwsbrief, maar zitten de persoonsgegevens nu in een externe dienst zoals Mailchimp. Dan moet je niet vergeten die data ook te exporteren/verwijderen. En hetzelfde geldt wellicht voor andere tools die je gebruikt.
4. Het recht op bewerking en beperking
Bezoekers hebben het recht om te verzoeken dat hun eigen persoonsgegevens bewerkt of beperkt worden. Dit betekent aanpassingen aan bijv. persoonsgegevens van je bezoeker, zoals een e-mailadres, of bijv. het verwijderen van de adresgegevens. Hier heeft WordPress geen nieuwe functionaliteit voor uitgerold, omdat dit in principe al mogelijk is voor je bezoekers (indien ze een account hebben op je website). Als ze geen account hebben, dien je dit zelf met de hand te doen.
Heb ik het recht op bewerking en beperking hiermee afgedekt?
In principe gaat dit recht alleen gelden op verzoek van je bezoekers. Als je bezoekers een account hebben in je website, kun je ze uitleggen hoe ze zelf hun gegevens kunnen bewerken en/of verwijderen. Maak je geen gebruik van accounts, dan zul je dit met de hand moeten doen. Zorg wel voor een eenvoudige contactmogelijkheid op je website zodat bezoekers een dergelijk verzoek bij je kunnen indienen.
Waar moet ik verder op letten wat betreft de AVG?
In dit artikel behandelen we puur de AVG-rechten in relatie tot je WordPress website. Denk er echter aan dat je ook nog te maken hebt met je hosting partij, diensten van derden, ontwikkelaars met toegang tot je website, marketing tools, etc. Ook daar zul je iets mee moeten. Neem daarvoor eens de AVG-checklist voor je WordPress website door.
