Vanaf 25 mei 2018 moet elke organisatie in Europa voldoen aan nieuwe wetgeving om persoonsgegevens te mogen verwerken en bewerken. Dat geldt dus ook persoonsgegevens op jouw WordPress website. We hebben al geschreven over de impact van de privacy-wet (AVG) op je WordPress website en in dit artikel vind je een handige checklist waarin we stapsgewijs bespreken hoe je na kunt gaan of jouw WordPress website voldoet aan de AVG.

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

Hulp nodig?

Loop je liever samen door deze checklist heen? Schaf een WordPress strippenkaart aan en we lopen met jou de AVG-checklist voor je WordPress website door.

1. Inventariseren en documenteren

Beschrijf vooraf de doelgroep(en) die jouw website bezoeken en noteer in een spreadsheet voor elke doelgroep welke persoonsgegevens je WordPress website verzamelt (lees hier wat volgens de AVG onder persoonsgegevens valt). Door dit per doelgroep na te gaan, verklein je de kans dat je iets over het hoofd ziet. Breid je inventarisatie uit door onderstaande punten te doorlopen:

a. Hosting & beheer

Externe dienstverleners hebben ook toegang tot jouw website. Ga na hoe zij hun zaken hebben geregeld en of je de juiste afspraken met ze hebt gemaakt.

  • Hosting partij
    • Je hosting partij heeft in theorie toegang tot alle gegevens op jouw website. Daarom dien je een verwerkersovereenkomst af te sluiten met je WordPress hosting partij.
  • Managed hosting, externe ontwikkelaars en beheerders
    • Welke beheerders hebben toegang tot je WordPress website? Mogelijk huur je ook bureaus (of freelancers) in voor werk aan je WordPress website. Ook met hen dien je verwerkersovereenkomsten af te sluiten.
  • Backup locaties
    • Waar en hoe worden backups opgeslagen door je hosting-partij?
Tip!

Tip: Bij Sowmedia is de verwerkersovereenkomst opgenomen in onze veilige dienst WordPress hosting & beheer.

b. Plugins

Log in als beheerder op je WordPress website en beantwoord de volgende vragen om de bovenstaande lijst verder uit te breiden. Ga in WordPress naar ‘Plugins’ en bepaal per plugin welke gegevens er verzameld worden en of ze wel of niet opgeslagen worden:

  • Contactformulieren (bijv. Gravity Forms)
    • Welke informatie vraag je van je gebruikers op? En waar worden ze opgeslagen?
  • Ledennet plugins (bijv. Ultimate Member, BuddyPress, etc.)
    • Welke profielinformatie wordt er opgeslagen per lid? En zegt het lidmaatschap op jouw website verder nog iets over je leden? Denk bijvoorbeeld aan politieke activiteiten, religieuze voorkeur, financiële situatie, of seksuele voorkeur.
  • E-commerce (bijv. WooCommerce)
    • Denk aan NAW- en bankgegevens van je klanten, maar ook aan het soort bestelde producten. Verkoop je bijv. politiek gekleurde magazines?
  • E-mailmarketing widgets (bijv. inschrijven bij MailChimp of CreateSend)
    • Welke informatie vraag je op? Wat doe je vervolgens met die informatie? En naar welke diensten wordt die informatie verstuurd?
  • Koppelingen met externe diensten zoals boekhoudpakketten
    • Bijv. een koppeling tussen WooCommerce en Exact Online
  • WordPress reactie plugins
    • Bijv. Akismet, die de reacties, e-mailadressen en ip-adressen van je bezoekers gebruikt om spam te filteren. Of Disqus, die deze gegevens ook zelf opslaat.
  • Veiligheid
    • Veiligheidsplugins zoals Wordfence verwerken onder andere IP-adressen en locatie van je bezoekers.
  • Backup plugins
    • Complete kopieën van je website zijn privacy gevoelig als ze in verkeerde handen vallen. Waar worden backups opgeslagen en hoe worden ze beveiligd?
  • Statistieken
    • Denk aan Google Analytics of Google Tag Manager: heb je in kaart welke gegevens er opgeslagen worden van je gebruikers en bezoekers?
  • Logging
    • Denk aan activiteitsmonitors die gebruikersactiviteiten registreren.

c. Diensten buiten de EU

Controleer of je gebruikmaakt van diensten buiten de EU. Denk aan Amerikaanse dienstverleners die gegevens van jouw WordPress website kunnen verwerken. Ga na of ze voldoen aan de AVG (GDPR in het Engels).

d. Duur

Ga na hoelang de persoonsgegevens worden bewaard en of dit niet langer dan noodzakelijk is. In de volgende stap zul je namelijk moeten overwegen of deze duur te rechtvaardigen is.

e. Overig

  • Welke gebruikers hebben toegang tot jouw website, en hoe staat het met hun wachtwoorden?
  • Maak je gebruik marketing automation of A/B-testing? En zo ja, zijn proefpersonen op de hoogte?

 

2. Legitimeren

Voor alle gegevens die je verzamelt op je WordPress website, moet je kunnen legitimeren waarom je die verzameld. Verzeker jezelf er daarom van dat je binnen de kaders van de wet blijft met de gegevens die je verzamelt. Als je op je WordPress website gegevens verzamelt en bewaart, mag dat alleen als één van onderstaande redenen van toepassing is:

  • a. Omdat dit is afgesproken in een overeenkomst
    Denk bijvoorbeeld aan betaalde abonnementen op je WordPress website waarvoor je bankgegevens van personen nodig hebt.
  • b. Omdat de wet van je vereist om dit vast te leggen
    Denk aan facturen met klantgegevens in je WooCommerce-shop die je ook voor je boekhouding nodig hebt volgens de regels van de belastingdienst.
  • c. Omdat je expliciet toestemming hebt gekregen om dit te doen
    Denk aan een cookie melding op je WordPress website of een inschrijfformulier op je nieuwsbrief. Let erop dat:

    • De toestemming vrijwillig is gegeven (men kan niet misleid of gedwongen worden)
    • De toestemming expliciet is (geen vooraf aangevinkte checkbox dus!)
    • De toestemming per onderdeel gegeven moet worden (bijv. als men zich aanmeldt voor een evenement, én men zich tegelijk kan inschrijven op de nieuwsbrief)
    • De organisaties genoemd worden die de gegevens zullen verwerken
    • De toestemming weer ingetrokken moet kunnen worden
  • d. Omdat het verzamelen te rechtvaardigen is
    Denk aan het afvangen van de locatie van een inloggende gebruiker zodat je als extra veiligheidscontrole kan controleren of de gebruiker zich op een logische plek in de wereld bevindt. Het is natuurlijk wel een grijs gebied om te bepalen wat te ‘rechtvaardigen’ is. Schrijf daarom altijd uit waarom je van mening bent dat het te rechtvaardigen is. En schakel bij twijfel een jurist in.

Doorloop de inventarisatie-lijst uit stap 1 en ga voor elke rij na of je de gegevens kunt legitimeren.

3. Beperken

Verwijder de persoonsgegevens waarvan je niet kan legitimeren dat jouw WordPress website ze verzamelt en opslaat. Schakel ook de plugins uit die dit doen, of ga op zoek naar alternatieve plugins die zich wel aan bovenstaande de regels houden.

4. Procedures opstellen

Leg protocollen vast voor de verschillende situaties waar je mee te maken kunt krijgen in de toekomst. Zorg dat je helder hebt welke informatie zich op welke plekken bevindt, zodat je dat niet later hoeft uit te zoeken. Leg in elk geval de volgende procedures vast:

  • Verzoeken van personen
    Personen kunnen om toegang vragen tot hun persoonsgegevens in jouw WordPress website, maar ook om het bewerken of verwijderen ervan.
  • Veiligheid
    Leg vast hoe je ervoor zorgt dat gegevens veilig blijven, ook in de toekomst. Denk bijvoorbeeld aan een consequent update-beleid voor je WordPress website, plugins en thema, maar ook aan veilige opslag van backups en een complex wachtwoord-beleid voor elke nieuwe gebruiker die je toevoegt.
  • Datalekken
    In het geval van datalekken moet je volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren. Zorg er dus voor dat je vast hebt gelegd welke stappen je moet nemen, omdat tijd op zo’n moment kostbaar is.
Tip!

Tip: Sowmedia biedt gecontroleerde updates en een complex wachtwoord-beleid voor jouw WordPress website. Zo dek je de ingewikkelde procedure voor veiligheid af. Lees meer over onze dienst voor WordPress hosting & onderhoud.

5. Informeren en om toestemming vragen

Informeer de bezoekers van je WordPress website helder en transparant. Dit kan bijvoorbeeld in een privacyverklaring, waar je duidelijk naar verwijst, bijvoorbeeld in de footer van je website en in het cookie-statement. Vraag de bezoekers op je WordPress website bovendien ook expliciet om toestemming op de activiteiten die je hebt vastgelegd in je privacyverklaring. Zorg ervoor dat je toestemming vraagt op een manier die is beschreven in stap 2c.

Steve ontwikkelt WordPress websites en houdt zich bezig met online communicatie en website-optimalisatie.

  • Kim Smith schreef:

    Hi,

    Goed artikel. Ik heb een vraag!
    Als iemand een contact formulier invult, moet daar dan ook niet een aanvinkbaar vakje komen voor het akkoord gaan van de verwerking van persoonsgegevens?

  • Steve Lock schreef:

    Hoi Kim,

    Als je die gegevens verwerkt (en waarschijnlijk doe je dat, want anders heb je niks aan een ingevuld formulier), dan moet je hiervoor inderdaad toestemming vragen. Dit kun je waarschijnlijk goed verwoorden in je privacy statement, maar gebruikers moeten die wel lezen. Een vinkje onder je formulier waarin men aangeeft akkoord te zijn met je privacty statement is dan een goede manier.

  • JK schreef:

    Hi,
    Zeker een zeer goed artikel, waarin een groot aantal belangrijke aspecten worden beschreven.

    Maar waar houd de verantwoordelijkheid op van bijvoorbeeld de webbouwer en de hoster? Met open-source systemen als WP en Joomla ligt een datalek altijd op de loer. Ook als je altijd de boel up-to-date zal houden is het niet uit te sluiten dat je website wordt gehackt…

    Gewoon nieuwsgierig. 😉

  • Steve Lock schreef:

    Hoi JK,

    Dat is een goede vraag, en die is evengoed relevant voor closed-source software; ook daar is de kans op datalekken en hacks altijd aanwezig, zeker software achterhaald begint te raken. De kans op lekken is bij populaire closed-source software soms zelfs groter omdat er geen actieve community bezig is om de software voortdurend te verbeteren (vgl. bijv. Linux en Windows).

    Wat betreft websites zie je vaak dat een hosting partij de verantwoordelijkheid afschuift door zijn dienstverlening expliciet aan te bieden op server-niveau, en niet op ‘applicatie-niveau’. Daarmee zeggen ze eigenlijk dat de applicatie op de server (dus de website zelf) de verantwoordelijkheid is van de klant. Bij webbouwers zie je vaak slechts ‘garantie tot aan de deur’: nadat de website live gaat, is het de verantwoordelijkheid van de klant om goed te updaten. Dat is natuurlijk ook een beetje afschuiven van risico’s, maar wel begrijpelijk.

    Voor organisaties met bedrijf-kritische websites is het dus van belang om na livegang van hun website een beheer- en/of onderhoudscontract af te sluiten waarin o.a. een update-beleid wordt afgesproken, maar ook extra veiligheidsmaatregelen om de mogelijke risico’s van de gebruikte software zoveel mogelijk te beperken. Wat betreft WordPress onderhoud en beheer zijn dat dan ook precies de aanvullende diensten voor onze klanten waarin we ons bij Sowmedia onderscheiden.

  • Nhi Pham schreef:

    Hi Steve,

    Goed om te lezen dit!
    Ik heb zojuist een klant gehad over de mail, zij (werkende bij een IT bedrijf) gaf aan niet online te willen bestellen omdat onze website niet beveiligd is. Hier was ik niet van bewust. Is hiervoor een plug-in of moet ik alle stappen volgen van jouw artikel? Hoe los ik dit op?
    Onze website: http://www.mayli-jewels.com

    Hopelijk kan je mij helpen 🙂

  • Steve Lock schreef:

    Hoi Nhi,

    Bedankt voor je reactie. Ik denk dat je klant graag wil dat je een SSL-certificaat op je website plaatst, zodat de verbinding tussen je website en je klant wordt versleuteld. Dit is iets wat je bij je hosting-partij moet aanvragen. Meer informatie over hoe wij dit doen lees je op: https://www.sowmedia.nl/wordpress/https-ssl

  • Nhi schreef:

    Hi Steve, bedankt! Ik ga me hierin verdiepen.

  • Albert schreef:

    Ik heb een prive website waarop ik blog over mijn leven en mijn foto´s plaats.
    Gebruik WordPress met Slimstat; Aksimet, Wordfence en dat soort “gewone” plugins, Moet ik nu ook aan de hele wetgeving voldoen ?
    Dat is voor een prive persoon met de door jou bovengenoemde punten toch vrijwel of helemaal onmogelijk.

  • Sytze schreef:

    Waarom hebben jullie dit zelf dan niet?

  • Niels schreef:

    Ik zet onder mijn formulieren de melding ‘Ik heb kennis genomen van de privacyverklaring en ga hiermee akkoord ‘ met een link naar de privacyverklaring. Dat zou al voldoende moeten zijn.

  • Steve Lock schreef:

    Hoi Niels,

    Zeker, maar let er wel op dat je bezoekers dit wel aan moeten vinken, dus dat dat vinkje niet standaard aan staat.

  • Steve Lock schreef:

    Hoi Albert,

    Ik heb de wet niet geschreven, maar officieel moet ook jij hier inderdaad aan voldoen; als jij persoonsgegevens verzamelt van anderen, dan gelden er nou eenmaal regels met hoe we daarmee om moeten gaan.

  • Steve Lock schreef:

    Hoi Sytze,

    Goed gezien, nog niet onder elk formulier staat inderdaad zo’n vinkje. Ook wij hebben nog tot 25 mei om onze zaakjes op orde te krijgen 🙂

  • Kim schreef:

    Hi Steve,

    Ik neem aan dat je met WordPress zelf ook een verwerkersovereenkomst moet sluiten? Zij verwerken immers gegevens die klanten eventueel invoeren? Of is alleen de hostingpartij interessant? Hebben ze deze overeenkomst standaard ergens staan, zodat je daar mee akkoord kunt gaan?

  • Albert schreef:

    Ik kijk jou er ook niet op aan 🙂
    Het is voor een burger met een simpele website vrijwel onmogelijk om aan de nieuwe wetgeving te voldoen.
    Op vrijwel elke (simpele) website worden minimaal IP adressen gezien en ergens opgeslagen/gebruikt, kan bij een reactie zijn maar ook al op de voorpagina als bv Wordfence actief is of als spamblock.
    En dan sla ik nog niet eens e-mailadressen op voor bv nieuwsbrieven.

  • Steve Lock schreef:

    Hoi Kim,

    De organisatie achter WordPress (Automattic) heeft geen toegang tot jouw gegevens, tenzij je je website hebt gehost via WordPress.com. Je hebt dus inderdaad vooral met je hostingpartij te maken. Een goed model verwerkersovereenkomst is opgesteld door SURF en open-source beschikbaar via https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2017/model-verwerkersovereenkomst-surf-oktober-2017.pdf.

  • Danny schreef:

    Geldt dit ook voor de organisaties achter bijvoorbeeld WooCommerce en Contact Form 7?

  • Anna schreef:

    Fijn dit artiekel het helpt weer een stukje opweg.! Helaas is dit mij ook nog niet helemaal duidelijk. Ik wil door de avg wet niet te veel papier werk krijgen en zoveel mogelijk digitaal gaan doen. Nu was mijn idee om dit te doen door een intakeformulier op mijn website te maken met contact form 7 waar ik klanten die een afspraak hebben gemaakt naar toe stuur via een link. Vervolgens kan ik met de plugin ‘advanced contact form 7 db’ een mooi overzicht van de ingevulde gegevens krijgen. Maar met wie moet ik dan een verwerkingsovereenkomst opstellen? Ook met de plug-ins ‘contact form 7’ en ‘advanced contact form 7’? En waar moet ik op letten en kan ik nog meer doen behalve alles up to date te houden en een ssl certificaat. Tevens heb ik de gegevens nodig die ik via mijn intake formulier wil vragen, dus op grondslag overeenkomst. Dan hoef ik geen toestemming te vragen lijkt mij? Deze kan namelijk weer ingetrokken worden en het is niet op basis van toestemming dat de gegevens worden gevraagd. Maar hoe moet ik het dan verwoorden en benoemen? Uiteraard zal ik wel toestemming vragen als dit voor een nieuwsbrief is, waarvoor ik apart toestemming moet vragen dat ik weet 🙂

  • Kim schreef:

    En waar moet je die gegevens dan aangeven? Moet je die insturen of wat?
    Stom trouwens dat kvk niet standaard een brief met uitleg stuurt naar alle ingeschrevenen.

  • Steve Lock schreef:

    Hoi Anna,

    De inzendingen van Contact Form 7 gaan niet ‘door de vingers’ van de makers van die plugin, maar komen wel op de server van je hosting partij te staan. Het is dus in elk geval goed om met je WordPress hosting een verwerkersovereenkomst af te sluiten (en zeker te weten dat je niet een plugin op je website gebruikt die ‘per ongeluk’ toegang tot je website geeft aan andere derde partijen)

  • Steve Lock schreef:

    Hoi Kim,

    Je hoeft de gegevens niet zelf aan te geven, maar je hoeft enkel met je hosting partij vast te leggen dat ze gegevens van jouw website veilig verwerken.

  • Anna schreef:

    Daar had ik nog niet over na gedacht. Hoe kan je zien dat er een plugin is die dat doet? 🙁 Via mijn intakeformulier zal ik ook wat bijzondere persoonsgegevens vragen zoals allergieën. Ik vind het wel net zo netjes om de klant ook een email te laten ontvangen, zodat ze terug kan zien welke gegevens ze heeft ingevuld. Maar gezien de inhoud, is er een manier om dit veilig genoeg te versturen volgens de AVG? Ik heb nu hard de twijfels hoe veilig de email is en zou niet willen dat hij perrongelijk in de verkeerde handen zou komen.

  • Kim schreef:

    Oh super, Dank je!
    Je moet het dus geregeld hebben ivm plotselinge controle?

  • Steve Lock schreef:

    Hoi Anna,

    Dat is ook lastig 🙂 Belangrijk is in elk geval dat je in je privacy-beleid vermeldt wat je met deze gegevens doen (dat je ze opslaat in je database en per e-mail verstuurd naar je bezoeker), zodat ze daarmee akkoord kunnen gaan (middels een vinkje onder je formulier).

    Je kan dan ook opnemen in het beleid dat het de verantwoordelijkheid van de gebruiker zelf is om zijn eigen mailbox veilig te houden. Daar heb jij natuurlijk geen controle over. Vergelijk het met de huisarts; als die jou een kopie van je patiëntendossier geeft, en jij laat het vervolgens in de trein liggen, dan is dat niet de schuld van de huisarts.

  • Steve Lock schreef:

    Je moet het vooral geregeld hebben voor het afdekken van je aansprakelijkheid; jij bent verantwoordelijk voor de veilige opslag van de gegevens van je bezoekers in jouw website. Als je geen veiligheidsgarantie van je hosting partij hebt, en je hosting partij lekt een keer data, dan kun jij hun niet verantwoordelijk houden, en ben je dus zelf de pineut.

  • Patrick schreef:

    Hoi Steve,
    Eindelijk heb ik een artikel gevonden waar dit nou eens in normale en vooral duidelijke taal wordt uitgelegd. Alle anderen blijven zo vaag, dat eigenlijk nog niet goed weet hoe of wat.

    Mijn vraag is simpel.
    Ik verzamel pas gegevens nadat een contactformulier of bestelling door de bezoeker is verstuurd. Daarvoor heb ik net niet-aangevinkte vinkjes. 🙂
    Maar hoe zit het met Google Analytics en Wordfence? Zij checken al direct bij binnenkomst, namelijk. Hoe voorkom ik dat zij al actief zijn voordat de bezoeker op een knopje heeft kunnen klikken?

    Of, om nóg een stapje verder te gaan:
    Mág ik nog wel IP-adressen blokkeren vanuit bijvoorbeeld .htaccess? Ik doe namelijk an al “iets” met gegevens waar (nog) geen toestemming voor is verleend.

  • Steve Lock schreef:

    Hoi Patrick,

    Bedankt voor je compliment!

    Wordfence biedt op zich functionele dataverzameling; het opslaan van IP-adressen is voor de beveiliging van je website en op zich is dat goed te verklaren. Wordfence heeft trouwens ook onlangs ook enkele updates uitgebracht waarmee zij helemaal aan de AVG proberen te voldoen (check ook https://www.wordfence.com/blog/2018/05/wordfence-is-gdpr-compliant/).

    Google Analytics kun je ook instellen om aan de AVG te laten voldoen, namelijk door geen ip-adressen te verzamelen en alle data te anonimiseren. In dat geval worden het namelijk puur functionele statistiek en kun je geen personen ermee identificeren. Wil je liever wel wat meer persoonlijke via Google Analytics blijven bewaren, dan raadt ik aan om de GDPR Consent Plugin te gebruiken, daarmee kun je eerst toestemming vragen, en daarna pas de tracking code activeren. (check ook de FAQ ‘How can I add/exclude custom scripts based on consents?’ op https://www.wpupgrader.com/help-centre/faq/).

  • Patrick schreef:

    Hoi Steve,

    Bedankt voor je snelle reactie! 🙂

    Ik heb meteen Wordfence gelezen en snap het helemaal. Ook fijn dat zij al standaard een overeenkomst hebben met de website -houder.

    Google Analytics mag inderdaad anoniem van mij. Ik wil eigenlijk alleen maar weten welke zoektermen men gebruikt heeft om me te vinden. Ik heb weinig terugkerende klanten (logisch, gezien het soort bedrijf) en een redelijk hoge bounce rate, omdat de informatie nou eenmaal heel snel te vinden is.

    Dus:
    Met anonieme Google Analytics, Wordfence, geen reacties op de site, geen Facebook pixels, etc. Volsta ik dan dus met een vinkje op de contact- en bestelformulieren en een goede privacyverklaring? Volgens mij heb ik dan niet eens een (irritante) pop-up nodig, toch? Aangezien men er elke keer en per formulier op gewezen worden.

  • Steve Lock schreef:

    Klopt helemaal! Als jouw website gewoon privacy-by-default is, en je ook geen extra info nodig hebt, dan hoef je je bezoekers ook niet met een popup te storen 🙂 Uiteraard is een transparant privacybeleid wel goed om makkelijk toegankelijk te houden, bijv. middels een link in je footer. Het pleit ook alleen maar voor je want je hebt een prachtig beleid te vertellen als je eigenlijk niks tracked 🙂