Met de aanstormende handhaving van de nieuwe privacy-wet (AVG of GDPR genoemd), komen er allerlei plugins op de markt die je helpen om jouw WordPress website voor te bereiden op de AVG (GDPR). In dit artikel bespreken we zes handige WordPress plugins die je helpen om je WordPress website AVG-proof te maken!

GDPR Consent (€ 39)

Met GDPR Consent plugin kun je voorkomen dat je website al persoonsgegevens verzamelt vóórdat je bezoeker hier toestemming voor heeft gegeven. De AVG vereist namelijk dat bezoekers van je website éérst toestemming moeten geven, maar ook dat je geen cookie-wall mag gebruiken om dit te implementeren. Je website moet standaard dus blijven werken, ook als er nog geen toestemming is gegeven. Dit betekent voor veel WordPress websites dat sommige WordPress plugins (bijvoorbeeld Google Tag Manager, Adwords, Facebook Pixels en Remarketing plugins) pas geactiveerd mogen worden nadat je bezoeker hiermee instemt.

Met de GDPR Consent plugin kun je ‘consents’ (toestemmingen) definiëren en daarbij aanvinken welke plugins er actief mogen worden nadat hierop akkoord gegeven is. Je bezoekers krijgen een smalle popup-balk onderin je website te zien waarbij ze hun toestemmingen kunnen geven (bijv. voor Remarketing, Statistieken en Advertenties). Afhankelijk van die toestemmingen worden de plugins aangezet voor die specifieke bezoeker. Deze plugin is uitgebracht door Sowmedia op WpUpgrader.com, ons Engelstalige platform.

Tip!

Is jouw WordPress website al klaar voor de AVG?
Bekijk wat Sowmedia voor je kan betekenen!

Delete Me (gratis)

De AVG schrijft het ‘recht om vergeten te worden’ voor. Als een individu je vraagt om zijn/haar persoonsgegevens te verwijderen, dan moet je dat redelijk snel doen. Uiteraard kan dat met de hand, maar met de WordPress plugin Delete Me biedt je je bezoekers de gelegenheid om dit zelf te regelen (althans, wat je website betreft). Denk daarbij aan het verwijderen van alle geplaatste berichten en links van één gebruiker, maar ook al hun reacties op artikelen.

Deze plugin is met name handig als je bijvoorbeeld een leden-website hebt, of een actieve gebruikersgroep die veel reageert op jouw artikelen. Let er wel op dat je misschien nog extra plugins op je WordPress website gebruikt die gebruikersgegevens op een andere manier (of elders) opslaan. Die worden door deze plugin niet verwijderd.

Wider Gravity Forms Stop Entries (gratis)

De plugin Gravity Forms is onze favoriete plugin om geavanceerde formulieren te bouwen voor je WordPress website. Formulier-inzendingen worden in je WordPress website opgeslagen, maar kunnen ook gemaild of doorgezet worden naar externe partijen, zoals je e-mailmarketing-software. Wanneer jouw inzendingen direct naar een ander systeem worden doorgezet, is het wellicht helemaal niet nodig om de inzendingen ook nog in je WordPress website te bewaren.

De AVG schrijft voor dat gebruikersgegevens niet onnodig bewaard moeten worden, en dan is de plugin Wider Gravity Forms Stop Entries erg handig. Deze plugin verwijdert de inzendingen gelijk uit je WordPress database zodat de formulier inzendingen enkel nog in je externe systemen (of je mailbox) te vinden zijn. Een nadeel is wel dat je hierdoor geen backup van inzendingen hebt, bijvoorbeeld wanneer je ontdekt dat de koppeling met een extern systeem niet meer werkt. Een alternatief lees je hieronder.

Gravity Forms Encrypted Fields ($ 27)

Bewaar je inzendingen van Gravity Forms in je website? Dan kun je deze gegevens extra beveiligen door ze te versleutelen. De WordPress plugin Gravity Forms Encrypted Fields ($ 27) doet dit voor je. Gebruikersgegevens worden door deze plugin versleuteld in de database opgeslagen. Vervolgens kun je instellen welke personen welke inzendingen wel mogen inzien. Dit kan vooral handig zijn als je bijvoorbeeld persoonsgegevens met verhoogd risico verzameld (denk aan BSN of medische gegevens), die niet door alle WordPress beheerders en redacteuren gezien hoeft te worden.

WP GDPR Compliance (gratis) 

De AVG vereist een ‘expliciete instemming’ van je bezoekers om hun gegevens te mogen verwerken. Zo’n expliciete instemming uit zich bijvoorbeeld in het aanvinken van een checkbox. En die instemming heb je echt nodig, of het nu gaat om inschrijven op een nieuwsbrief, het invullen van een contactformulier, of het reageren op een bericht. Staat je checkbox standaard aangevinkt? Dan ga je in tegen het principe van ‘privacy by default’.

Het afdwingen van die expliciete instemming in je WordPress website is veelal handwerk. Zorg dat je checkboxen, waarmee gebruikers bijvoorbeeld akkoord gaan met je voorwaarden, standaard niet aangevinkt zijn. Voor de plugins Contact Form 7, WooCommerce en WordPress Comments is er gelukkig de plugin WP GDPR Compliance, die deze vinkjes voor jou plaatst. De maker van deze plugin meldt in de toekomst meer plugins te zullen ondersteunen.

Policy Genius (gratis)

Een belangrijk element om te voldoen aan de AVG, is het eenvoudig inzichtelijk maken van je privacy-beleid. Veelal zie je een link naar zo’n beleid in de footer van een website staan. Het opstellen van zo’n beleid kan heel wat voeten in de aarde hebben. Maar als je die compleet en helder hebt verwoord, kun je vanuit je hele website verwijzen naar dit beleid. Bijvoorbeeld op plekken waar je je bezoekers expliciet om toestemming vraagt.

De gratis WordPress plugin ‘Policy Genius‘ helpt je in een paar stappen op weg met het opstellen van dit privacy-beleid. Let wel dat dit geen garantie is dat je beleid ook echt op orde is, daarvoor kun je het beste een jurist in de arm nemen.

Steve ontwikkelt WordPress websites en houdt zich bezig met nieuwe technieken voor WordPress, online communicatie en website-optimalisatie.

  • Veronique schreef:

    Dit zocht ik inderdaad! Thanks!

  • koen schreef:

    Bedankt voor dit overzicht!

    Ik zou nog een 7de tip willen toevoegen:
    WP-GDPR (https://wp-gdpr.eu/) is een gratis plugin die je toegang geeft tot je persoonlijke data op de website.

    Bezoekers kunnen met WP-GDPR hun data opvragen, downloaden, aanpassen en aanvragen om te verwijderen.
    Met add-ons kan je ook de koppeling maken met je favoriete plugins (Bv. Contact Form DB 7 en Gravity Forms)

  • Steve Lock schreef:

    Goede tip Koen, bedankt!

  • Michael Kramer schreef:

    @ Steve, bedankt voor de handige lijst.

    Een vraag die betrekking heeft op de eerste (eigen) plugin:
    Ik zie dat deze vooral gefocused is een melding van de cookies (en het bijhorende privacy beleid). En geeft de bezoeker dus de mogelijkheid om hun cookies aan te passen.

    Iets wat grotere websites (als bijv. ABN-AMRO) als jaren doet. Maar kleine tot middengrote bedrijven “bijna nooit”.

    Op deze website zelf zie ik ook (nog) geen “melding” of bar in de footer of header. Alleen een privacy pagina (en een melding bij het inschrijven voor de tips – opt-in)

    En bij sites als bijvoorbeeld stanandstacy.com wordt wel een melding (via bar in footer) gegeven, maar niet de optie om de cookies via de site aan te passen. Maar deze partij verwijst in hun privacybeleid naar de optie om dit als bezoeker ZELF in de browser te doen

    Wat is wijsheid in dit geval?

  • Steve Lock schreef:

    Hoi Michael,

    De GDPR Consent Plugin is niet alleen op cookies gericht, maar op alle plugins in je website die persoonsgegevens verzamelen. De nieuwe regelgeving vereist dat dit niet mag vóórdat je bezoeker expliciet toestemming heeft gegeven. Dat is waar de GDPR Consent Plugin vooral opgericht is; je kunt aangeven welke plugins persoonsgegevens verzamelen, en wat voor soort gegevens dat zijn. Deze plugins worden pas actief op je WordPress website voor een gebruiker nádat deze hiervoor toestemming heeft gegeven. Standaard staan deze uit.

    De plugin draait niet op deze website omdat wij ervoor hebben gekozen standaard geen persoonsgegevens te verzamelen, maar enkel wanneer je bijvoorbeeld een contactformulier invult, of je inschrijft op onze nieuwsbrief. Op die momenten vragen we wel om je toestemming, voordat je je gegevens kunt versturen.

    Veel websites hebben echter wel plugins of scripts die direct persoonsgegevens verzamelen wanneer een bezoeker hun website benadert. Daarvoor is de GDPR Consent Plugin in het leven geroepen.

    Ik weet dat heel veel websites je simpelweg op de hoogte brengen dat jouw persoonsgegevens verzameld worden, maar volgens de wet is dit niet voldoende; voordat je er überhaupt voor hebt kunnen kiezen om dit niet te willen, zijn je persoonsgegevens al van je afgenomen. Je moet juist eerst de keuze hebben voordat je persoonsgegevens worden verwerkt.

  • Steve Lock schreef:

    Aanvullend: Lees ook ons nieuwe artikel voor meer uitleg over de GDPR Consent Plugin: https://www.sowmedia.nl/wordpress/gdpr-consent-plugin

  • Arvid Kuipers schreef:

    Geweldige tips Steve! Dank je!

  • Arvid Kuipers schreef:

    Ik had begrepen dat je voor google analytics en social-share buttons ook cookie-consents moet hebben. Is dat niet zo dan?

  • Manuela van Prooijen schreef:

    Ik heb de WP GDPR Compliance plugin gekocht maar ervaar fiks wat foutmeldingen op mijn site. Kan ik jullie inhuren om het goed in te regelen?

  • Janusz schreef:

    Nog steeds niet echt gevonden wat ik zoek, daar mijn websites geen reclames gebruiken, zijn er dus ook geen inkomsten. De vraag is echter in WP is er een mogelijkheid om IP’s te bannen, hoe zit het met de opslag van die IP’s zelfde met het gekoppelde Yabb forum, waar mailadressen en IP’s gebannen worden alsmede de forumnaam. De EU kan wel veel willen, maar enorme bedragen [bijvoorbeeld koste advocaat voor opzet] neer gaan leggen om alles draaiende te houden, kunnen die ook bij hen gedeclareerd worden ?? Denk het niet.

  • Janusz schreef:

    Is er ergens een lijst welke plugins persoonsgegevens verzamelen? Ik heb bijvoorbeeld een nieuws website zonder reactiemogelijkheid, in het contactformulier moet men aanvinken dat men akkoord gaat. Horendol wordt je er van.

  • Ron Linders | Noroads web-services schreef:

    Hoi Manuela, heb je een reactie gehad? Er worden hier vragen gesteld van kopers of potentiële kopers maar ik zie géén reacties van het bedrijf. Vreemde zaak…

  • Steve Lock schreef:

    Hoi Ron, Manuela heeft het over een plugin die wij niet hebben gebouwd. Overigens hebben we haar per e-mail verder geholpen. Kunnen we jou ergens bij helpen?

  • Steve Lock schreef:

    Hoi Arvid,

    Wat Google Analytics betreft: dat ligt eraan hoe je het instelt (verzamel je bijv. wel of niet IP-adressen?). Wat Social Share buttons betreft; dat is wel aan te raden, omdat veel social media via share-buttons bijhouden welke websites je zoal bezoekt.

  • Steve Lock schreef:

    Hoi Janusz,

    Die is er helaas niet.

  • Steve Lock schreef:

    Hoi Janusz,

    Je kunt zeker IP-adressen blokkeren met WordPress, bijvoorbeeld met de gratis plugin WordFence: https://www.wordfence.com/.

  • Ron Linders schreef:

    Hoi Steve, ze heeft het toch over de GDPR compliance plugin? Die is toch van jullie?

  • Steve Lock schreef:

    Hoi Ron,

    Nee, dat is de GDPR Consent plugin.

  • Ron Linders | Noroads web-services schreef:

    Helder Steve. Dankjewel

  • Arvid Kuipers schreef:

    Dank je Steve 🙂

  • georget schreef:

    als ik google analystic gebruik zorgen die zelf voor veilig of moet ik ook nog iets doen op mijn site

  • Steve Lock schreef:

    Hoi georget,

    Ze zorgen wel voor veiligheid, maar het gaat bij de AVG om meer dan veiligheid. Het gaat ook om het maken van afspraken voor áls er iets verkeerd gaat. Google Analytics slaat namelijk wel gegevens op van je bezoekers.

    Bekijk anders ook eens deze AVG-checklist voor je WordPress website: https://www.sowmedia.nl/wordpress/checklist-wordpress-avg

  • georget kramer schreef:

    dankjewel ik ga het door lezen

  • David schreef:

    Er zit wel één groot lek. AVG stelt dat een IP adres ook een persoonsgegeven is. En onze servers hebben die al opgeslagen in het server log voordat we de klant kunnen vragen om toestemming.

    Het voelt tegenstrijdig om functionele cookies (zoals bijv taalkeuze) pas te doen na goedkeuring terwijl het IP adres (en middels geo2ip de locatie) al bekend is.

  • Daan van WP Pro schreef:

    De add-ons zijn wel prijzig met €50 p/m voor een professional abonnement. Verder goeie plugin!

  • Koen Huybrechts schreef:

    Dag Daan,

    Bedankt voor je input.
    We zijn aan het denken om een oplossing te bieden tussen de Single license en het abonnement voor 50 websites.

    Als je hierover input wenst te geven, graag! (Dit lijkt me echter niet helemaal de juiste plaats 😉 )
    Mail je me even? info@wp-gdpr.eu

  • jurgen van tilburg schreef:

    Nog een tip: https://codecanyon.net/item/ultimate-gdpr-compliance-toolkit-for-wordpress/21704224.

    ik heb de genoemde plugins allemaal geprobeerd, maar uiteindelijk eindig je met 3,4 of 5 plugins om je wesiteje met 2 contactformulieren AVG compliant te maken c’mon!. Ultimate-gdpr kost dan wel 39, maar heeft eigenlijk alles aan boord en zelfs: on the fly anonimisering van persoonlijke gegevens….say what? (nog niet getest overigens). plugin is nog volledig in ontwikkeling (maar dat is de AVG/GDPR zelf ook nog geloof ik, en zeg nu zelf, wat is al wel helemaal 100% ready?)

    Dat wat ik tot nu toe heb gezien steekt met kop en schouders uit boven alle anderen

    Aanrader!

    btw sowmedia…. jullie hebben geen concent checkbox bij de reactieformulieren!

  • Koen+Huybrechts schreef:

    Allen,

    Ondertussen hebben we onze pricing wat aangepast, zodat we iedereen een passende oplossing kunnen aanbieden.
    Meer info: https://wp-gdpr.eu/pricing/

    Mvg,

    Koen

  • Steve Lock schreef:

    Hoi David,

    Functionele persoongegevens (dus een cookie voor taalkeuze, of een IP-adres voor beveiliging) mag je zonder toestemming verwerken, maar het is wel belangrijk dat je je bezoekers hierover informeert (bijv. in een privacy-beleid), en dat je echt kunt verantwoorden dat het functioneel is.

  • Steve Lock schreef:

    Bedankt voor de tip Jurgen! En goed gezien, we hebben nog tot 25 mei om ook onze zaakjes op orde te krijgen 😉

  • David Stomph schreef:

    Hoi Steve,

    Ik denk ook dat de soep niet zo heet gegeten zal worden. AP geeft ook aan dat boetes vooral het naleven van de AVG moeten stimuleren en in proportie zullen zijn. Laten we elkaar niet gek gaan maken en met gezond verstand nadenken over privacy.

    Bedankt voor het artikel, erg nuttig.