WordPress

Checklist: Voldoet jouw WordPress website aan de AVG?

Vanaf 25 mei 2018 moet elke organisatie in Europa voldoen aan nieuwe wetgeving om persoonsgegevens te mogen verwerken en bewerken. Dat geldt dus ook persoonsgegevens op jouw WordPress website. We hebben al geschreven over de impact van de privacy-wet (AVG) op je WordPress website en in dit artikel vind je een handige checklist waarin we stapsgewijs bespreken hoe je na kunt gaan of jouw WordPress website voldoet aan de AVG.

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

Loop je liever samen door deze checklist heen? Schaf een WordPress strippenkaart aan en we lopen met jou de AVG-checklist voor je WordPress website door.

1. Inventariseren en documenteren

Beschrijf vooraf de doelgroep(en) die jouw website bezoeken en noteer in een spreadsheet voor elke doelgroep welke persoonsgegevens je WordPress website verzamelt (lees hier wat volgens de AVG onder persoonsgegevens valt). Door dit per doelgroep na te gaan, verklein je de kans dat je iets over het hoofd ziet. Breid je inventarisatie uit door onderstaande punten te doorlopen:

a. Hosting & beheer

Externe dienstverleners hebben ook toegang tot jouw website. Ga na hoe zij hun zaken hebben geregeld en of je de juiste afspraken met ze hebt gemaakt.

[av_notification title=’Tip!’ color=’silver’ border=’solid’ custom_bg=’#444444′ custom_font=’#ffffff’ size=’large’ icon_select=’no’ icon=’ue800′ font=’entypo-fontello’ custom_class=’sowbox hosting’ admin_preview_bg=” av_uid=’av-4bl2k0′]Tip: Bij Sowmedia is de verwerkersovereenkomst opgenomen in onze veilige dienst WordPress hosting & beheer.[/av_notification]

b. Plugins

Log in als beheerder op je WordPress website en beantwoord de volgende vragen om de bovenstaande lijst verder uit te breiden. Ga in WordPress naar ‘Plugins’ en bepaal per plugin welke gegevens er verzameld worden en of ze wel of niet opgeslagen worden:

c. Diensten buiten de EU

Controleer of je gebruikmaakt van diensten buiten de EU. Denk aan Amerikaanse dienstverleners die gegevens van jouw WordPress website kunnen verwerken. Ga na of ze voldoen aan de AVG (GDPR in het Engels).

d. Duur

Ga na hoelang de persoonsgegevens worden bewaard en of dit niet langer dan noodzakelijk is. In de volgende stap zul je namelijk moeten overwegen of deze duur te rechtvaardigen is.

e. Overig

2. Legitimeren

Voor alle gegevens die je verzamelt op je WordPress website, moet je kunnen legitimeren waarom je die verzameld. Verzeker jezelf er daarom van dat je binnen de kaders van de wet blijft met de gegevens die je verzamelt. Als je op je WordPress website gegevens verzamelt en bewaart, mag dat alleen als één van onderstaande redenen van toepassing is:

Doorloop de inventarisatie-lijst uit stap 1 en ga voor elke rij na of je de gegevens kunt legitimeren.

3. Beperken

Verwijder de persoonsgegevens waarvan je niet kan legitimeren dat jouw WordPress website ze verzamelt en opslaat. Schakel ook de plugins uit die dit doen, of ga op zoek naar alternatieve plugins die zich wel aan bovenstaande de regels houden.

4. Procedures opstellen

Leg protocollen vast voor de verschillende situaties waar je mee te maken kunt krijgen in de toekomst. Zorg dat je helder hebt welke informatie zich op welke plekken bevindt, zodat je dat niet later hoeft uit te zoeken. Leg in elk geval de volgende procedures vast:

[av_notification title=’Tip!’ color=’silver’ border=’solid’ custom_bg=’#444444′ custom_font=’#ffffff’ size=’large’ icon_select=’no’ icon=’ue800′ font=’entypo-fontello’ custom_class=’sowbox hosting’ admin_preview_bg=” av_uid=’av-j07ukw’]
Tip: Sowmedia biedt gecontroleerde updates en een complex wachtwoord-beleid voor jouw WordPress website. Zo dek je de ingewikkelde procedure voor veiligheid af. Lees meer over onze dienst voor WordPress hosting & onderhoud.[/av_notification]

5. Informeren en om toestemming vragen

Informeer de bezoekers van je WordPress website helder en transparant. Dit kan bijvoorbeeld in een privacyverklaring, waar je duidelijk naar verwijst, bijvoorbeeld in de footer van je website en in het cookie-statement. Vraag de bezoekers op je WordPress website bovendien ook expliciet om toestemming op de activiteiten die je hebt vastgelegd in je privacyverklaring. Zorg ervoor dat je toestemming vraagt op een manier die is beschreven in stap 2c.

29 reacties op “Checklist: Voldoet jouw WordPress website aan de AVG?”

  1. Hi,

    Goed artikel. Ik heb een vraag!
    Als iemand een contact formulier invult, moet daar dan ook niet een aanvinkbaar vakje komen voor het akkoord gaan van de verwerking van persoonsgegevens?

  2. Hi,
    Zeker een zeer goed artikel, waarin een groot aantal belangrijke aspecten worden beschreven.

    Maar waar houd de verantwoordelijkheid op van bijvoorbeeld de webbouwer en de hoster? Met open-source systemen als WP en Joomla ligt een datalek altijd op de loer. Ook als je altijd de boel up-to-date zal houden is het niet uit te sluiten dat je website wordt gehackt…

    Gewoon nieuwsgierig. 😉

  3. Hi Steve,

    Goed om te lezen dit!
    Ik heb zojuist een klant gehad over de mail, zij (werkende bij een IT bedrijf) gaf aan niet online te willen bestellen omdat onze website niet beveiligd is. Hier was ik niet van bewust. Is hiervoor een plug-in of moet ik alle stappen volgen van jouw artikel? Hoe los ik dit op?
    Onze website: http://www.mayli-jewels.com

    Hopelijk kan je mij helpen 🙂

  4. Ik heb een prive website waarop ik blog over mijn leven en mijn foto´s plaats.
    Gebruik WordPress met Slimstat; Aksimet, Wordfence en dat soort “gewone” plugins, Moet ik nu ook aan de hele wetgeving voldoen ?
    Dat is voor een prive persoon met de door jou bovengenoemde punten toch vrijwel of helemaal onmogelijk.

  5. Hi Steve,

    Ik neem aan dat je met WordPress zelf ook een verwerkersovereenkomst moet sluiten? Zij verwerken immers gegevens die klanten eventueel invoeren? Of is alleen de hostingpartij interessant? Hebben ze deze overeenkomst standaard ergens staan, zodat je daar mee akkoord kunt gaan?

  6. En waar moet je die gegevens dan aangeven? Moet je die insturen of wat?
    Stom trouwens dat kvk niet standaard een brief met uitleg stuurt naar alle ingeschrevenen.

  7. Hoi Steve,
    Eindelijk heb ik een artikel gevonden waar dit nou eens in normale en vooral duidelijke taal wordt uitgelegd. Alle anderen blijven zo vaag, dat eigenlijk nog niet goed weet hoe of wat.

    Mijn vraag is simpel.
    Ik verzamel pas gegevens nadat een contactformulier of bestelling door de bezoeker is verstuurd. Daarvoor heb ik net niet-aangevinkte vinkjes. 🙂
    Maar hoe zit het met Google Analytics en Wordfence? Zij checken al direct bij binnenkomst, namelijk. Hoe voorkom ik dat zij al actief zijn voordat de bezoeker op een knopje heeft kunnen klikken?

    Of, om nóg een stapje verder te gaan:
    Mág ik nog wel IP-adressen blokkeren vanuit bijvoorbeeld .htaccess? Ik doe namelijk an al “iets” met gegevens waar (nog) geen toestemming voor is verleend.

  8. Hoi Steve,

    Bedankt voor je snelle reactie! 🙂

    Ik heb meteen Wordfence gelezen en snap het helemaal. Ook fijn dat zij al standaard een overeenkomst hebben met de website -houder.

    Google Analytics mag inderdaad anoniem van mij. Ik wil eigenlijk alleen maar weten welke zoektermen men gebruikt heeft om me te vinden. Ik heb weinig terugkerende klanten (logisch, gezien het soort bedrijf) en een redelijk hoge bounce rate, omdat de informatie nou eenmaal heel snel te vinden is.

    Dus:
    Met anonieme Google Analytics, Wordfence, geen reacties op de site, geen Facebook pixels, etc. Volsta ik dan dus met een vinkje op de contact- en bestelformulieren en een goede privacyverklaring? Volgens mij heb ik dan niet eens een (irritante) pop-up nodig, toch? Aangezien men er elke keer en per formulier op gewezen worden.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Gerelateerde artikelen

  • Matomo, een AVG-proof alternatief voor Google Analytics

    Wil je een AVG-proof alternatief voor Google Analytics, dan is Matomo aan te bevelen. Data ownership, AVG proof en 100% nauwkeurig.

  • werken aan een website

    Waarom WordPress geschikt is voor (grote) bedrijven: 10 redenen

    Veilig, stabiel, toekomstbestendig en héél prettig om in te werken! WordPress is voor bedrijven van iedere omvang een heel geschikt CMS.

  • WordPress website beveiligen tegen ongenode gasten

    WordPress website beveiligen: 10 tips en tricks

    Je WordPress website beveiligen is één van de belangrijkste dingen die er is. Toch zijn er veel WordPress websites niet goed beveiligd.