Wordpress en AVG (privacy-wet)

Vanaf 25 mei 2018 is de nieuwe privacy-wet (AVG) van toepassing. Vanaf dan gelden dezelfde privacy-regels voor heel Europa. De Nederlandse Wbp komt dan te vervallen en er gaan nieuwe regels gelden voor het verwerken en bewerken van persoonsgegevens. Dit is ook van toepassing op jouw WordPress website, bijvoorbeeld als je een contactformulier hebt, Google Analytics gebruikt, of als je een webshop hebt. In dit artikel leggen uit we hoe de nieuwe privacy-wet werkt en waar je op moet letten met betrekking tot jouw WordPress website.

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

Van bewerkersovereenkomst naar verwerkersovereenkomst

De oude privacy-wet vereiste al dat het bewerken van persoonsgegevens veilig moet gebeuren, door middel van een bewerkersovereenkomst. De nieuwe wet verplicht dat elke organisatie in Europa op verzoek moet kunnen verantwoorden dat persoonsgegevens die door de organisatie stromen goed beschermd zijn. Dat wordt geregeld in een verwerkersovereenkomst. Allereerst betekent dit dat je als organisatie intern een helder beeld moet hebben wat betreft de persoonsgegevens die je verzamelt.

Ten tweede moet je verantwoorden dat persoonsgegevens die je verstrekt aan andere partijen veilig zijn. Denk bijvoorbeeld aan persoonsgegevens die terechtkomen bij je boekhouder, in je CRM of in je e-mailmarketing software. Dit geldt ook voor software buiten Europa (bijv. software van Amerikaanse bedrijven); als Europese organisatie ben je verplicht om die afspraken te maken met al je leveranciers. In de praktijk betekent dit dus dat de AVG wereldwijd impact heeft op het privacy-beleid van organisaties.

En zo moet je ook voor je WordPress website afspraken maken met andere partijen die toegang hebben tot jouw website. Denk aan je hostingpartij, redactie-leden, beheerders en partijen die bijv. middels een plugin toegang hebben tot persoonsgegevens.

Tip!

Tip: Bij Sowmedia hebben we de verwerkersovereenkomst voor WordPress standaard opgenomen in onze dienstverlening.
Lees hoe we je WordPress website AVG-proof maken
.

Wat zijn persoonsgegevens?

Wanneer hebben we het eigenlijk over persoonsgegevens? En wanneer zijn deze privacy-gevoelig? Kortweg zijn persoonsgegevens alle gegevens waarmee personen individueel te identificeren zijn, bijvoorbeeld wanneer iemand een contactformulier invult op je WordPress website. Denk bijvoorbeeld aan gegevens zoals:

  • Naam
  • Postadres
  • E-mailadres
  • Locatie data (bijv. GPS coördinaten)
  • IP-adressen

Goed om te weten: Bedrijfsinformatie (bijv. organisatienaam, e-mailadres, postadres, etc.) valt niet onder persoonsgegevens.

Wanneer zijn persoonsgegevens extra privacy-gevoelig?

Bovenop deze ‘standaard’ persoonsgegevens is er ook nog de categorie ‘gevoelige’ persoonsgegevens. Wanneer je binnen je organisatie met deze categorie te maken krijgt, worden er extra eisen gesteld aan hoe je hiermee om moet gaan. Die extra eisen zijn ook van toepassing op je WordPress website, bijvoorbeeld wanneer je gegevens verzamelt zoals:

  • BSN
  • Ras
  • Medische informatie
  • Seksuele voorkeuren
  • Religie / politieke voorkeur

Welke rechten hebben consumenten?

Zoals gezegd is het doel van de nieuwe privacy-wetgeving (AVG) om de eindgebruiker (consument) te beschermen in zijn rechten. Dat zijn dus ook bezoekers van jouw WordPress website. Maar welke rechten hebben ze precies, en wat mogen ze vragen aan jou als organisatie?

Informeren, toestemmen en weigeren

Personen hebben het recht om geïnformeerd te worden voordat hun gegevens op je WordPress website verzameld, bewerkt en verwerkt worden. Bovendien moeten gebruikers hier ook expliciet toestemming voor hebben gegeven. Denk aan zaken zoals een akkoord op de cookie-melding onderin je website, of een extra vinkje om je aan te melden op de nieuwsbrief (dat standaard niet aan mag staan!). Tot slot moeten gebruikers het instemmen later ook weer kunnen weigeren, bijvoorbeeld door zich weer uit te kunnen schrijven, of door cookie-instellingen te kunnen herzien.

Eenvoudige toegang

Personen waarvan je WordPress website gegevens verzamelt, mogen deze gegevens bij je opvragen. Als organisatie moet je deze gegevens binnen een maand overhandigen. Hiervoor mag je in principe geen kosten rekenen. Bovendien geldt het recht op data-portabiliteit: de persoonsgegevens moeten op een redelijke manier ingezien kunnen worden. Een Excel-sheet of CSV-bestand zijn bijvoorbeeld vrij eenvoudig te openen, maar een directe database-dump niet.

Bewerken, beperken en verwijderen

De consument mag je vragen om eventuele foutieve informatie te rectificeren, én mag je verzoeken om persoonsgegevens verder niet meer te bewerken (maar nog wel op te slaan). Daarnaast heeft elke persoon ‘het recht om vergeten te worden’. Met andere woorden: op verzoek moet je de gegevens van een persoon ook volledig kunnen verwijderen.

De AVG en marketing automation

Mogelijk maak je in je WordPress website ook gebruik van marketing automation. Denk bijvoorbeeld aan e-mailmarketingsoftware die je eraan herinnert als je nog niet hebt gereageerd, of juist een tweede e-mail stuurt als de eerste is bekeken. Of denk aan advertenties die getoond worden op basis van bezoekersgedrag.

Personen hebben het recht om van je te eisen dat software geen geautomatiseerd besluit mag nemen op basis van hun gegevens en/of gedrag, tenzij je hier vooraf expliciet om toestemming hebt gevraagd. Zorg er – zeker in het geval van marketing automation – daarom voor dat je op je WordPress website altijd expliciet toestemming hebt gevraagd aan je bezoekers, én dat ze weten dat op basis van hun persoonsgegevens geautomatiseerd beslissingen worden gemaakt.

Hoe serieus moet ik de AVG nemen?

De boetes die onder de nieuwe wet opgelegd kunnen worden zijn zeer fors. Er kunnen boetes opgelegd worden tot € 20 miljoen of tot 4% van de jaarlijkse omzet. De verwachting dat de AVG serieus nageleefd gaat worden, wordt mede aangescherpt doordat er tot mei 2018 een ‘grace period’ geldt om de nieuwe regels te implementeren. Bovendien geldt de AVG voor élke organisatie binnen Europa; niet alleen grote organisaties of multinationals. Zie de website van de Autoriteit Persoonsgegevens voor meer informatie.

Zorg dat je WordPress website voldoet aan de AVG

Om ervoor te zorgen dat je WordPress website voldoet aan de nieuwe richtlijnen uit de AVG, zijn er heel veel aspecten waar je rekening mee moet houden. Doe daarom de Checklist: Voldoet jouw WordPress website aan de AVG?

Steve ontwikkelt WordPress websites en houdt zich bezig met online communicatie en website-optimalisatie.

  • Lidwien schreef:

    Hoi Steve,
    Dank voor al je informatie over de nieuwe AVG. Er is veel te doen.
    Een vraag….weet jij toevallig waar ik een verwerkingsovereenkomst kan vinden, die ik naar de webhost kan sturen? Is hiervan een bestaand document beschikbaar? Zo ja, waar kan ik dat vinden?
    Voor ons leken, is dit allemaal nog niet zo gemakkelijk. Zeker als ik lees dat dergelijke bedrijven vaak de verantwoordelijkheid afschuiven.

    Dank voor je reactie.