AVG proof, is jouw (WordPress) site al klaar?
Vanaf 25 mei 2018 moet elk bedrijf, stichting of organisatie in Europa voldoen aan de nieuwe privacy wetgeving om persoonsgegevens te mogen verwerken en bewerken. Deze centrale privacywet voor de verwerking van persoonsgegevens in de EU, genaamd GDPR (General Data Protection Regulation), of in het Nederlands kortweg AVG (Algemene verordening gegevensbescherming) heeft grote impact op alle Europese bedrijven, dus ook die van jou, ook al ben je een ZZP-er. Dat geldt dus ook voor persoonsgegevens op jouw WordPress website. In deze blog vind je een handige checklist waarin we stapsgewijs bespreken hoe je na kunt gaan of jouw WordPress website voldoet aan de AVG.
AVG, wat is dat?
Per 25 mei 2018 gaat de nieuwe (AVG) van kracht en is de Wet bescherming persoonsgegevens (Wbp) niet langer actief. Deze nieuwe privacywetgeving, geldt voor alle lidstaten van de EU en zorgt daardoor voor een beleid op het gebied van gegevensbescherming wat voor alle Europese landen gelijk is. Het doel van deze wet is om de privacy van burgers te waarborgen en ze te beschermen tegen ongewenste en onrechtmatige inbreuk hierop.
De AVG is onder andere bedoeld voor:
– Versterking en uitbreiding van privacyrechten
– Meer verantwoordelijkheden voor organisaties
– Uniforme bevoegdheden voor alle Europese privacytoezichthouders
Welke gevolgen heeft de AVG voor bedrijven en organisaties?
Welke gevolgen heeft de AVG voor bedrijven en organisaties?Als bedrijf of organisatie merk je op verschillende manieren de impact van de AVG. Een van de belangrijkste hierbij is de verantwoordingsplicht. Dit houdt in dat je met documenten moet kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de privacywetgeving te voldoen. Tegelijkertijd worden echter wel instrumenten geboden om de wet eenvoudiger na te leven, waaronder modelbepalingen voor doorgifte van persoonsgegevens.
Waar het vooral op neerkomt, is dat het voor de bezoeker duidelijk moet zijn wat er aan gegevens verzameld wordt. Bezoek je een website waar je je in kan schrijven op een nieuwsbrief, een contactformulier in kan vullen, pagina’s kan bekijken met bijvoorbeeld een YouTube filmpje of waar een koppeling is naar social media, bij elk van deze onderdelen worden er persoonsgegevens verzameld waar de bezoeker verder geen controle meer over heeft. Er moet duidelijkheid komen in waar de gegevens voor verzameld worden (voor het functioneren van de website, voor marketing doeleinden, voor het verzamelen van gegevens tbv statistieken etc). De bezoeker moet zelf aan kunnen geven welke gegevens wel en niet verzameld mogen worden. Als een bezoeker dan aangeeft dat hij geen gegevens wil delen, dan kan het zo zijn dat die bezoeker bijvoorbeeld geen YouTube filmpje kan zien zonder eerst akkoord te gaan met de overeenkomst.
Een voordeel van de wet is dat nu voor alle bedrijven in de EU dezelfde wet geldt en er dus geen scheve situaties rondom gegevensverwerking ontstaan. Vooral ook handig als jouw organisatie in meerdere landen actief is.
Hoe mag je dan wel persoonsgegevens verzamelen?
Zodra de AVG van kracht is wordt de verzameling van persoonsgegevens dus aan banden gelegd. Toch betekent dit niet dat je niets meer met de gegevens van (potentiële) klanten mag of kunt. In de basis mag je in de volgende situaties persoonsgegevens verzamelen en verwerken:
- Met toestemming van de gebruiker
- Bij vitale belangen
- Bij wettelijke verplichting
- Bij een overeenkomst
- Als dit voor het algemeen belang dient
- Bij gerechtvaardigd belang
Uiteraard geldt bij elk van deze situaties dat de gegevensverwerking veilig en volgens de AVG moet gebeuren. Daarbij hebben betrokkenen het recht om in te zien, te wijzigen, vergeten te worden, gegevens over te dragen en het recht op informatie.
Start: Inventariseren en documenteren
Start: Inventariseren en documenterenBeschrijf vooraf de doelgroep(en) die jouw website bezoeken en noteer in een spreadsheet voor elke doelgroep welke persoonsgegevens je WordPress website verzamelt. Door dit per doelgroep na te gaan, verklein je de kans dat je iets over het hoofd ziet. Breid je inventarisatie uit door onderstaande punten te doorlopen:
Externe partijen
Externe dienstverleners (freelancers, designers, programmeurs, tekstschrijvers) hebben ook toegang tot jouw website. Ga na hoe zij hun zaken hebben geregeld en of je de juiste afspraken met ze hebt gemaakt. Bekijk hier de verwerkersovereenkomst van ditisABC.
Hosting partij
Je hosting partij heeft in theorie toegang tot alle gegevens op jouw website. Daarom dien je een verwerkersovereenkomst af te sluiten met je WordPress hosting partij. Bekijk hier de verwerkersovereenkomst van ditisABC.
Managed hosting, externe ontwikkelaars en beheerders
Welke beheerders hebben toegang tot je WordPress website? Mogelijk huur je ook bureaus (of freelancers) in voor werk aan je WordPress website. Ook met hen dien je verwerkersovereenkomsten af te sluiten.
Backup locaties
Waar en hoe worden backups opgeslagen door je hosting-partij?
Plugins
Log in als beheerder op je WordPress website en beantwoord de volgende vragen om de bovenstaande lijst verder uit te breiden. Ga in WordPress naar ‘Plugins’ en bepaal per plugin welke gegevens er verzameld worden en of ze wel of niet opgeslagen worden:
Contactformulieren
Welke informatie vraag je van je gebruikers op? Waar worden ze opgeslagen?
E-commerce (bijv. WooCommerce)
Denk aan NAW- en bankgegevens van je klanten, maar ook aan het soort bestelde producten. Verkoop je bijv. politiek gekleurde magazines?
E-mailmarketing widgets (bijv. inschrijven bij MailChimp)
Welke informatie vraag je op? Wat doe je vervolgens met die informatie? En naar welke diensten wordt die informatie verstuurd?
Koppelingen met externe diensten zoals boekhoudpakketten
Bijv. een koppeling tussen WooCommerce en Exact Online
WordPress reactie plugins
Bijv. Akismet, die de reacties, e-mailadressen en ip-adressen van je bezoekers gebruikt om spam te filteren. Of Disqus, die deze gegevens ook zelf opslaat.
Veiligheid
Veiligheidsplugins zoals Wordfence verwerken onder andere IP-adressen en locatie van je bezoekers.
Backup plugins
Complete kopieën van je website zijn privacy gevoelig als ze in verkeerde handen vallen. Waar worden backups opgeslagen en hoe worden ze beveiligd?
Statistieken
Denk aan Google Analytics of Google Tag Manager: heb je in kaart welke gegevens er opgeslagen worden van je gebruikers en bezoekers?
Logging
Denk aan activiteitsmonitors die gebruikersactiviteiten registreren.
Diensten buiten de EU
Controleer of je gebruikmaakt van diensten buiten de EU. Denk aan Amerikaanse dienstverleners die gegevens van jouw WordPress website kunnen verwerken. Ga na of ze voldoen aan de AVG (GDPR in het Engels).
Duur
Ga na hoelang de persoonsgegevens worden bewaard en of dit niet langer dan noodzakelijk is. In de volgende stap zul je namelijk moeten overwegen of deze termijn te rechtvaardigen is.
Overig
Welke gebruikers hebben toegang tot jouw website, en hoe staat het met hun wachtwoorden?
Maak je gebruik marketing automation of A/B-testing? En zo ja, zijn proefpersonen op de hoogte?
Legitimeren
Voor alle gegevens die je verzamelt op je WordPress website, moet je kunnen legitimeren waarom je die verzameld. Verzeker jezelf er daarom van dat je binnen de kaders van de wet blijft met de gegevens die je verzamelt. Als je op je WordPress website gegevens verzamelt en bewaart, mag dat alleen als één van onderstaande redenen van toepassing is:
Omdat dit is afgesproken in een overeenkomst
Denk bijvoorbeeld aan betaalde abonnementen op je WordPress website waarvoor je bankgegevens van personen nodig hebt.
Omdat de wet van je vereist om dit vast te leggen
Denk aan facturen met klantgegevens in je WooCommerce-shop die je ook voor je boekhouding nodig hebt volgens de regels van de belastingdienst.
Omdat je expliciet toestemming hebt gekregen om dit te doen
Denk aan een cookie melding op je WordPress website of een inschrijfformulier op je nieuwsbrief.
Let erop dat:
– Toestemming rijwillig is gegeven (men kan niet misleid of gedwongen worden)De toestemming expliciet is (geen vooraf aangevinkte checkbox dus!)
– Het ook per onderdeel gegeven moet worden (bijv. als men zich aanmeldt voor een evenement, én men zich tegelijk kan inschrijven op de nieuwsbrief)
– Alle organisaties genoemd worden die de gegevens zullen verwerken
– De toestemming weer ingetrokken moet kunnen worden
Omdat het verzamelen te rechtvaardigen is
Denk aan het afvangen van de locatie van een inloggende gebruiker zodat je als extra veiligheidscontrole kan controleren of de gebruiker zich op een logische plek in de wereld bevindt. Het is natuurlijk wel een grijs gebied om te bepalen wat te ‘rechtvaardigen’ is. Schrijf daarom altijd uit waarom je van mening bent dat het te rechtvaardigen is. En schakel bij twijfel een jurist in.
Doorloop de inventarisatie-lijst uit stap 1 en ga voor elke rij na of je de gegevens kunt legitimeren.
Beperken
Verwijder de persoonsgegevens waarvan je niet kan legitimeren dat jouw WordPress website ze verzamelt en opslaat. Schakel ook de plugins uit die dit doen, of ga op zoek naar alternatieve plugins die zich wel aan bovenstaande de regels houden.
Procedures opstellen
Leg protocollen vast voor de verschillende situaties waar je mee te maken kunt krijgen in de toekomst. Zorg dat je helder hebt welke informatie zich op welke plekken bevindt, zodat je dat niet later hoeft uit te zoeken. Leg in elk geval de volgende procedures vast:
Verzoeken van personen
Personen kunnen om toegang vragen tot hun persoonsgegevens in jouw WordPress website, maar ook om het bewerken of verwijderen ervan.
Veiligheid
Leg vast hoe je ervoor zorgt dat gegevens veilig blijven, ook in de toekomst. Denk bijvoorbeeld aan een consequent update-beleid voor je WordPress website, plugins en thema, maar ook aan veilige opslag van backups en een complex wachtwoord-beleid voor elke nieuwe gebruiker die je toevoegt.
Datalekken
In het geval van datalekken moet je volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren. Zorg er dus voor dat je vast hebt gelegd welke stappen je moet nemen, omdat tijd op zo’n moment kostbaar is.
Informeren en om toestemming vragen
Informeer de bezoekers van je WordPress website helder en transparant. Dit kan bijvoorbeeld in een privacyverklaring, waar je duidelijk naar verwijst, bijvoorbeeld in de footer van je website en in het cookie-statement. Vraag de bezoekers op je WordPress website bovendien ook expliciet om toestemming op de activiteiten die je hebt vastgelegd in je privacyverklaring.
