Wordpress en AVG (privacy-wet)

Vanaf 25 mei 2018 is de nieuwe privacy-wet (AVG) van toepassing. Vanaf dan gelden dezelfde privacy-regels voor heel Europa. De Nederlandse Wbp komt dan te vervallen en er gaan nieuwe regels gelden voor het verwerken en bewerken van persoonsgegevens. Dit is ook van toepassing op jouw WordPress website, bijvoorbeeld als je een contactformulier hebt, Google Analytics gebruikt, of als je een webshop hebt. In dit artikel leggen uit we hoe de nieuwe privacy-wet werkt en waar je op moet letten met betrekking tot jouw WordPress website.

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

Van bewerkersovereenkomst naar verwerkersovereenkomst

De oude privacy-wet vereiste al dat het bewerken van persoonsgegevens veilig moet gebeuren, door middel van een bewerkersovereenkomst. De nieuwe wet verplicht dat elke organisatie in Europa op verzoek moet kunnen verantwoorden dat persoonsgegevens die door de organisatie stromen goed beschermd zijn. Dat wordt geregeld in een verwerkersovereenkomst. Allereerst betekent dit dat je als organisatie intern een helder beeld moet hebben wat betreft de persoonsgegevens die je verzamelt.

Ten tweede moet je verantwoorden dat persoonsgegevens die je verstrekt aan andere partijen veilig zijn. Denk bijvoorbeeld aan persoonsgegevens die terechtkomen bij je boekhouder, in je CRM of in je e-mailmarketing software. Dit geldt ook voor software buiten Europa (bijv. software van Amerikaanse bedrijven); als Europese organisatie ben je verplicht om die afspraken te maken met al je leveranciers. In de praktijk betekent dit dus dat de AVG wereldwijd impact heeft op het privacy-beleid van organisaties.

En zo moet je ook voor je WordPress website afspraken maken met andere partijen die toegang hebben tot jouw website. Denk aan je hostingpartij, redactie-leden, beheerders en partijen die bijv. middels een plugin toegang hebben tot persoonsgegevens.

Tip!

Tip: Bij Sowmedia hebben we de verwerkersovereenkomst voor WordPress standaard opgenomen in onze dienstverlening.
Lees hoe we je WordPress website AVG-proof maken
.

Wat zijn persoonsgegevens?

Wanneer hebben we het eigenlijk over persoonsgegevens? En wanneer zijn deze privacy-gevoelig? Kortweg zijn persoonsgegevens alle gegevens waarmee personen individueel te identificeren zijn, bijvoorbeeld wanneer iemand een contactformulier invult op je WordPress website. Denk bijvoorbeeld aan gegevens zoals:

  • Naam
  • Postadres
  • E-mailadres
  • Locatie data (bijv. GPS coördinaten)
  • IP-adressen

Goed om te weten: Bedrijfsinformatie (bijv. organisatienaam, e-mailadres, postadres, etc.) valt niet onder persoonsgegevens.

Wanneer zijn persoonsgegevens extra privacy-gevoelig?

Bovenop deze ‘standaard’ persoonsgegevens is er ook nog de categorie ‘gevoelige’ persoonsgegevens. Wanneer je binnen je organisatie met deze categorie te maken krijgt, worden er extra eisen gesteld aan hoe je hiermee om moet gaan. Die extra eisen zijn ook van toepassing op je WordPress website, bijvoorbeeld wanneer je gegevens verzamelt zoals:

  • BSN
  • Ras
  • Medische informatie
  • Seksuele voorkeuren
  • Religie / politieke voorkeur

Welke rechten hebben consumenten?

Zoals gezegd is het doel van de nieuwe privacy-wetgeving (AVG) om de eindgebruiker (consument) te beschermen in zijn rechten. Dat zijn dus ook bezoekers van jouw WordPress website. Maar welke rechten hebben ze precies, en wat mogen ze vragen aan jou als organisatie?

Informeren, toestemmen en weigeren

Personen hebben het recht om geïnformeerd te worden voordat hun gegevens op je WordPress website verzameld, bewerkt en verwerkt worden. Bovendien moeten gebruikers hier ook expliciet toestemming voor hebben gegeven. Denk aan zaken zoals een akkoord op de cookie-melding onderin je website, of een extra vinkje om je aan te melden op de nieuwsbrief (dat standaard niet aan mag staan!). Tot slot moeten gebruikers het instemmen later ook weer kunnen weigeren, bijvoorbeeld door zich weer uit te kunnen schrijven, of door cookie-instellingen te kunnen herzien.

Eenvoudige toegang

Personen waarvan je WordPress website gegevens verzamelt, mogen deze gegevens bij je opvragen. Als organisatie moet je deze gegevens binnen een maand overhandigen. Hiervoor mag je in principe geen kosten rekenen. Bovendien geldt het recht op data-portabiliteit: de persoonsgegevens moeten op een redelijke manier ingezien kunnen worden. Een Excel-sheet of CSV-bestand zijn bijvoorbeeld vrij eenvoudig te openen, maar een directe database-dump niet.

Bewerken, beperken en verwijderen

De consument mag je vragen om eventuele foutieve informatie te rectificeren, én mag je verzoeken om persoonsgegevens verder niet meer te bewerken (maar nog wel op te slaan). Daarnaast heeft elke persoon ‘het recht om vergeten te worden’. Met andere woorden: op verzoek moet je de gegevens van een persoon ook volledig kunnen verwijderen.

De AVG en marketing automation

Mogelijk maak je in je WordPress website ook gebruik van marketing automation. Denk bijvoorbeeld aan e-mailmarketingsoftware die je eraan herinnert als je nog niet hebt gereageerd, of juist een tweede e-mail stuurt als de eerste is bekeken. Of denk aan advertenties die getoond worden op basis van bezoekersgedrag.

Personen hebben het recht om van je te eisen dat software geen geautomatiseerd besluit mag nemen op basis van hun gegevens en/of gedrag, tenzij je hier vooraf expliciet om toestemming hebt gevraagd. Zorg er – zeker in het geval van marketing automation – daarom voor dat je op je WordPress website altijd expliciet toestemming hebt gevraagd aan je bezoekers, én dat ze weten dat op basis van hun persoonsgegevens geautomatiseerd beslissingen worden gemaakt.

Hoe serieus moet ik de AVG nemen?

De boetes die onder de nieuwe wet opgelegd kunnen worden zijn zeer fors. Er kunnen boetes opgelegd worden tot € 20 miljoen of tot 4% van de jaarlijkse omzet. De verwachting dat de AVG serieus nageleefd gaat worden, wordt mede aangescherpt doordat er tot mei 2018 een ‘grace period’ geldt om de nieuwe regels te implementeren. Bovendien geldt de AVG voor élke organisatie binnen Europa; niet alleen grote organisaties of multinationals. Zie de website van de Autoriteit Persoonsgegevens voor meer informatie.

Zorg dat je WordPress website voldoet aan de AVG

Om ervoor te zorgen dat je WordPress website voldoet aan de nieuwe richtlijnen uit de AVG, zijn er heel veel aspecten waar je rekening mee moet houden. Doe daarom de Checklist: Voldoet jouw WordPress website aan de AVG?

Steve ontwikkelt WordPress websites en houdt zich bezig met online communicatie en website-optimalisatie.

  • Lidwien schreef:

    Hoi Steve,
    Dank voor al je informatie over de nieuwe AVG. Er is veel te doen.
    Een vraag….weet jij toevallig waar ik een verwerkingsovereenkomst kan vinden, die ik naar de webhost kan sturen? Is hiervan een bestaand document beschikbaar? Zo ja, waar kan ik dat vinden?
    Voor ons leken, is dit allemaal nog niet zo gemakkelijk. Zeker als ik lees dat dergelijke bedrijven vaak de verantwoordelijkheid afschuiven.

    Dank voor je reactie.

  • Steve Lock schreef:

    Hoi Lidwien,

    Die is er zeker. De organisatie SURF heeft een Model Verwerkersovereenkomst n.a.v. de AVG opgesteld. Deze is onder de Creative Commons-licentie beschikbaar gemaakt, dus zolang je de bron vermeldt, mag je deze hergebruiken en naar eigen wensen aanpassen. Je vind de model-overeenkomst hier: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2017/model-verwerkersovereenkomst-surf-oktober-2017.pdf

    In principe is dit dus een overeenkomst die je naar je webhost kunt sturen met de vraag om dit te tekenen. Waarschijnlijk doen ze dat niet, maar dan krijg je wellicht wel reactie over eventuele afspraken die ze met je kunnen maken.

  • Michael schreef:

    Hi Steve,

    Hoe zit het met klanten van mij die een website laten maken en daarna zelf onderhouden. Ik host deze sites wel via reseller hosting. Ik kan mij niet voorstellen dat ik verantwoordelijk ben voor hun policy, echter wil wel ondersteunen.

    Moeten zij ook contact hebben met mijn hosting via overeenkomst? Wat als men geen actie onderneemt? Wie stelt men verantwoordelijk? Mijn klant of mijn bedrijf?

    Hopelijk kan je mijn vragen beantwoorden.

  • Steve Lock schreef:

    Hoi Michael,

    Het ‘zwarte schaap’ is het makkelijkste te zien vanuit de eindconsument (de bezoekers van de website in dit geval): zij hebben het recht om te checken bij een organisatie of die hun zaakjes goed op orde hebben. Een consument kan dus vragen aan jouw klant of hun gegevens veilig zijn ondergebracht. Je klant kan geen verwerkersovereenkomst tonen, en is dus in dit geval verantwoordelijk. Als hij wel een verwerkersovereenkomst met jou heeft, maar jij vervolgens niet met je hosting partij, dan zit het probleem dus bij jou. Heb jij vervolgens je verwerkersovereenkomst met je hosting partij geregeld, maar zij niet met (bijv.) het beveiligingsbedrijf dat in hun datacenter rondloopt, dan zijn zij de pineut. Enzovoorts.

    Om je klanten zo goed mogelijk te helpen adviseer ik om een verwerkersovereenkomst met je hostingpartij af te sluiten, en vervolgens ook eentje met je klanten.