Vanaf 25 mei 2018 moet elke organisatie in Europa voldoen aan nieuwe wetgeving om persoonsgegevens te mogen verwerken en bewerken. Dat geldt dus ook persoonsgegevens op jouw WordPress website. We hebben al geschreven over de impact van de privacy-wet (AVG) op je WordPress website en in dit artikel vind je een handige checklist waarin we stapsgewijs bespreken hoe je na kunt gaan of jouw WordPress website voldoet aan de AVG.
Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.
Loop je liever samen door deze checklist heen? Schaf een WordPress strippenkaart aan en we lopen met jou de AVG-checklist voor je WordPress website door.
1. Inventariseren en documenteren
Beschrijf vooraf de doelgroep(en) die jouw website bezoeken en noteer in een spreadsheet voor elke doelgroep welke persoonsgegevens je WordPress website verzamelt (lees hier wat volgens de AVG onder persoonsgegevens valt). Door dit per doelgroep na te gaan, verklein je de kans dat je iets over het hoofd ziet. Breid je inventarisatie uit door onderstaande punten te doorlopen:
a. Hosting & beheer
Externe dienstverleners hebben ook toegang tot jouw website. Ga na hoe zij hun zaken hebben geregeld en of je de juiste afspraken met ze hebt gemaakt.
- Hosting partij
- Je hosting partij heeft in theorie toegang tot alle gegevens op jouw website. Daarom dien je een verwerkersovereenkomst af te sluiten met je WordPress hosting partij.
- Managed hosting, externe ontwikkelaars en beheerders
- Welke beheerders hebben toegang tot je WordPress website? Mogelijk huur je ook bureaus (of freelancers) in voor werk aan je WordPress website. Ook met hen dien je verwerkersovereenkomsten af te sluiten.
- Backup locaties
- Waar en hoe worden backups opgeslagen door je hosting-partij?
[av_notification title=’Tip!’ color=’silver’ border=’solid’ custom_bg=’#444444′ custom_font=’#ffffff’ size=’large’ icon_select=’no’ icon=’ue800′ font=’entypo-fontello’ custom_class=’sowbox hosting’ admin_preview_bg=” av_uid=’av-4bl2k0′]Tip: Bij Sowmedia is de verwerkersovereenkomst opgenomen in onze veilige dienst WordPress hosting & beheer.[/av_notification]
b. Plugins
Log in als beheerder op je WordPress website en beantwoord de volgende vragen om de bovenstaande lijst verder uit te breiden. Ga in WordPress naar ‘Plugins’ en bepaal per plugin welke gegevens er verzameld worden en of ze wel of niet opgeslagen worden:
- Contactformulieren (bijv. Gravity Forms)
- Welke informatie vraag je van je gebruikers op? En waar worden ze opgeslagen?
- Ledennet plugins (bijv. Ultimate Member, BuddyPress, etc.)
- Welke profielinformatie wordt er opgeslagen per lid? En zegt het lidmaatschap op jouw website verder nog iets over je leden? Denk bijvoorbeeld aan politieke activiteiten, religieuze voorkeur, financiële situatie, of seksuele voorkeur.
- E-commerce (bijv. WooCommerce)
- Denk aan NAW- en bankgegevens van je klanten, maar ook aan het soort bestelde producten. Verkoop je bijv. politiek gekleurde magazines?
- E-mailmarketing widgets (bijv. inschrijven bij MailChimp of CreateSend)
- Welke informatie vraag je op? Wat doe je vervolgens met die informatie? En naar welke diensten wordt die informatie verstuurd?
- Koppelingen met externe diensten zoals boekhoudpakketten
- Bijv. een koppeling tussen WooCommerce en Exact Online
- WordPress reactie plugins
- Bijv. Akismet, die de reacties, e-mailadressen en ip-adressen van je bezoekers gebruikt om spam te filteren. Of Disqus, die deze gegevens ook zelf opslaat.
- Veiligheid
- Veiligheidsplugins zoals Wordfence verwerken onder andere IP-adressen en locatie van je bezoekers.
- Backup plugins
- Complete kopieën van je website zijn privacy gevoelig als ze in verkeerde handen vallen. Waar worden backups opgeslagen en hoe worden ze beveiligd?
- Statistieken
- Denk aan Google Analytics of Google Tag Manager: heb je in kaart welke gegevens er opgeslagen worden van je gebruikers en bezoekers?
- Logging
- Denk aan activiteitsmonitors die gebruikersactiviteiten registreren.
c. Diensten buiten de EU
Controleer of je gebruikmaakt van diensten buiten de EU. Denk aan Amerikaanse dienstverleners die gegevens van jouw WordPress website kunnen verwerken. Ga na of ze voldoen aan de AVG (GDPR in het Engels).
d. Duur
Ga na hoelang de persoonsgegevens worden bewaard en of dit niet langer dan noodzakelijk is. In de volgende stap zul je namelijk moeten overwegen of deze duur te rechtvaardigen is.
e. Overig
- Welke gebruikers hebben toegang tot jouw website, en hoe staat het met hun wachtwoorden?
- Maak je gebruik marketing automation of A/B-testing? En zo ja, zijn proefpersonen op de hoogte?
2. Legitimeren
Voor alle gegevens die je verzamelt op je WordPress website, moet je kunnen legitimeren waarom je die verzameld. Verzeker jezelf er daarom van dat je binnen de kaders van de wet blijft met de gegevens die je verzamelt. Als je op je WordPress website gegevens verzamelt en bewaart, mag dat alleen als één van onderstaande redenen van toepassing is:
- a. Omdat dit is afgesproken in een overeenkomst
Denk bijvoorbeeld aan betaalde abonnementen op je WordPress website waarvoor je bankgegevens van personen nodig hebt. - b. Omdat de wet van je vereist om dit vast te leggen
Denk aan facturen met klantgegevens in je WooCommerce-shop die je ook voor je boekhouding nodig hebt volgens de regels van de belastingdienst. - c. Omdat je expliciet toestemming hebt gekregen om dit te doen
Denk aan een cookie melding op je WordPress website of een inschrijfformulier op je nieuwsbrief. Let erop dat:- De toestemming vrijwillig is gegeven (men kan niet misleid of gedwongen worden)
- De toestemming expliciet is (geen vooraf aangevinkte checkbox dus!)
- De toestemming per onderdeel gegeven moet worden (bijv. als men zich aanmeldt voor een evenement, én men zich tegelijk kan inschrijven op de nieuwsbrief)
- De organisaties genoemd worden die de gegevens zullen verwerken
- De toestemming weer ingetrokken moet kunnen worden
- d. Omdat het verzamelen te rechtvaardigen is
Denk aan het afvangen van de locatie van een inloggende gebruiker zodat je als extra veiligheidscontrole kan controleren of de gebruiker zich op een logische plek in de wereld bevindt. Het is natuurlijk wel een grijs gebied om te bepalen wat te ‘rechtvaardigen’ is. Schrijf daarom altijd uit waarom je van mening bent dat het te rechtvaardigen is. En schakel bij twijfel een jurist in.
Doorloop de inventarisatie-lijst uit stap 1 en ga voor elke rij na of je de gegevens kunt legitimeren.
3. Beperken
Verwijder de persoonsgegevens waarvan je niet kan legitimeren dat jouw WordPress website ze verzamelt en opslaat. Schakel ook de plugins uit die dit doen, of ga op zoek naar alternatieve plugins die zich wel aan bovenstaande de regels houden.
4. Procedures opstellen
Leg protocollen vast voor de verschillende situaties waar je mee te maken kunt krijgen in de toekomst. Zorg dat je helder hebt welke informatie zich op welke plekken bevindt, zodat je dat niet later hoeft uit te zoeken. Leg in elk geval de volgende procedures vast:
- Verzoeken van personen
Personen kunnen om toegang vragen tot hun persoonsgegevens in jouw WordPress website, maar ook om het bewerken of verwijderen ervan. - Veiligheid
Leg vast hoe je ervoor zorgt dat gegevens veilig blijven, ook in de toekomst. Denk bijvoorbeeld aan een consequent update-beleid voor je WordPress website, plugins en thema, maar ook aan veilige opslag van backups en een complex wachtwoord-beleid voor elke nieuwe gebruiker die je toevoegt. - Datalekken
In het geval van datalekken moet je volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren. Zorg er dus voor dat je vast hebt gelegd welke stappen je moet nemen, omdat tijd op zo’n moment kostbaar is.
[av_notification title=’Tip!’ color=’silver’ border=’solid’ custom_bg=’#444444′ custom_font=’#ffffff’ size=’large’ icon_select=’no’ icon=’ue800′ font=’entypo-fontello’ custom_class=’sowbox hosting’ admin_preview_bg=” av_uid=’av-j07ukw’]
Tip: Sowmedia biedt gecontroleerde updates en een complex wachtwoord-beleid voor jouw WordPress website. Zo dek je de ingewikkelde procedure voor veiligheid af. Lees meer over onze dienst voor WordPress hosting & onderhoud.[/av_notification]
5. Informeren en om toestemming vragen
Informeer de bezoekers van je WordPress website helder en transparant. Dit kan bijvoorbeeld in een privacyverklaring, waar je duidelijk naar verwijst, bijvoorbeeld in de footer van je website en in het cookie-statement. Vraag de bezoekers op je WordPress website bovendien ook expliciet om toestemming op de activiteiten die je hebt vastgelegd in je privacyverklaring. Zorg ervoor dat je toestemming vraagt op een manier die is beschreven in stap 2c.
Hi,
Goed artikel. Ik heb een vraag!
Als iemand een contact formulier invult, moet daar dan ook niet een aanvinkbaar vakje komen voor het akkoord gaan van de verwerking van persoonsgegevens?
Hi,
Zeker een zeer goed artikel, waarin een groot aantal belangrijke aspecten worden beschreven.
Maar waar houd de verantwoordelijkheid op van bijvoorbeeld de webbouwer en de hoster? Met open-source systemen als WP en Joomla ligt een datalek altijd op de loer. Ook als je altijd de boel up-to-date zal houden is het niet uit te sluiten dat je website wordt gehackt…
Gewoon nieuwsgierig. 😉
Hi Steve,
Goed om te lezen dit!
Ik heb zojuist een klant gehad over de mail, zij (werkende bij een IT bedrijf) gaf aan niet online te willen bestellen omdat onze website niet beveiligd is. Hier was ik niet van bewust. Is hiervoor een plug-in of moet ik alle stappen volgen van jouw artikel? Hoe los ik dit op?
Onze website: http://www.mayli-jewels.com
Hopelijk kan je mij helpen 🙂
Ik heb een prive website waarop ik blog over mijn leven en mijn foto´s plaats.
Gebruik WordPress met Slimstat; Aksimet, Wordfence en dat soort “gewone” plugins, Moet ik nu ook aan de hele wetgeving voldoen ?
Dat is voor een prive persoon met de door jou bovengenoemde punten toch vrijwel of helemaal onmogelijk.
Hi Steve,
Ik neem aan dat je met WordPress zelf ook een verwerkersovereenkomst moet sluiten? Zij verwerken immers gegevens die klanten eventueel invoeren? Of is alleen de hostingpartij interessant? Hebben ze deze overeenkomst standaard ergens staan, zodat je daar mee akkoord kunt gaan?
En waar moet je die gegevens dan aangeven? Moet je die insturen of wat?
Stom trouwens dat kvk niet standaard een brief met uitleg stuurt naar alle ingeschrevenen.
Hoi Steve,
Eindelijk heb ik een artikel gevonden waar dit nou eens in normale en vooral duidelijke taal wordt uitgelegd. Alle anderen blijven zo vaag, dat eigenlijk nog niet goed weet hoe of wat.
Mijn vraag is simpel.
Ik verzamel pas gegevens nadat een contactformulier of bestelling door de bezoeker is verstuurd. Daarvoor heb ik net niet-aangevinkte vinkjes. 🙂
Maar hoe zit het met Google Analytics en Wordfence? Zij checken al direct bij binnenkomst, namelijk. Hoe voorkom ik dat zij al actief zijn voordat de bezoeker op een knopje heeft kunnen klikken?
Of, om nóg een stapje verder te gaan:
Mág ik nog wel IP-adressen blokkeren vanuit bijvoorbeeld .htaccess? Ik doe namelijk an al “iets” met gegevens waar (nog) geen toestemming voor is verleend.
Hoi Steve,
Bedankt voor je snelle reactie! 🙂
Ik heb meteen Wordfence gelezen en snap het helemaal. Ook fijn dat zij al standaard een overeenkomst hebben met de website -houder.
Google Analytics mag inderdaad anoniem van mij. Ik wil eigenlijk alleen maar weten welke zoektermen men gebruikt heeft om me te vinden. Ik heb weinig terugkerende klanten (logisch, gezien het soort bedrijf) en een redelijk hoge bounce rate, omdat de informatie nou eenmaal heel snel te vinden is.
Dus:
Met anonieme Google Analytics, Wordfence, geen reacties op de site, geen Facebook pixels, etc. Volsta ik dan dus met een vinkje op de contact- en bestelformulieren en een goede privacyverklaring? Volgens mij heb ik dan niet eens een (irritante) pop-up nodig, toch? Aangezien men er elke keer en per formulier op gewezen worden.