WordPress en AVG/GDPR: Wat moet u weten?

Home » Algemeen » WordPress en AVG/GDPR: Wat moet u weten?
Algemeen, CMS, Handleidingen Geen reacties

In dit artikel leggen we aan u uit wat u moet weten over AVG/GDPR en WordPress. Later lichten we ook andere CMS toe, met de AVG/GDPR.

Op 25 mei van dit jaar, twee dagen vóór de vijftiende verjaardag van WordPress, is de nieuwe Europese wet van kracht gaan: de GDPR (General Data Protection Regulation). Dit is een nieuwe wet waarmee natuurlijke personen beschermd worden op het gebied van persoonsgegevens van EU-burgers.

Websites en de organisaties achter die websites moeten voldoen aan deze Algemene Verordering Gegevensbescherming (AVG), zoals de GDPR in het Nederlands heet.

Let op: Dit artikel is alleen informatief. Aan dit artikel kunnen geen rechten worden ontleend. Voor juridisch advies raden we je aan om een specialist in te huren.

Privacy & Maintenance Release (4.9.6) door WordPress.

WordPress heeft met update versie 4.9.6 aantal hulpmiddelen uitgebracht voor WordPress site-eigenaren om het proces rondom AVG/GDPR te voldoen en gemakkelijk te maken. In veel gevallen wordt deze update automatisch uitgevoerd. Indien u automatische updates heeft uitgeschakeld, dan is het aan te raden om te updaten naar de nieuwste versie naar 4.9.6. Maak van te voren een back-up van uw databases.

GDPR/AVG: Wat is het?

De algemene verordening gegevensbescherming (AVG) vervangt de inmiddels verouderde databeschermingsrichtlijn uit 1995. Die oude richtlijn sluit niet (meer) aan op het huidige landschap, waarin vrijwel alles digitaal geregeld wordt. De GDPR/AVG is in mei 2016 in werking getreden, maar websites en organisaties krijgen tot 25 mei 2018 de tijd om volledig “in lijn” te zijn met deze nieuwe wet. Vanaf 25 mei 2018 mag iedereen organisaties aanspreken op hun naleving van de GDPR (AVG).

Boetes

De maximale boete voor een overtreding van deze nieuwe richtlijn zal 20 miljoen euro óf 4 procent van de (wereldwijde) jaaromzet bedragen. Het hoogste bedrag is hierbij geldend. Als eigenaar van een website moet je de GDPR/AVG dan ook uiterst serieus nemen. U komt niet zomaar weg met een boete van 4 procent van uw omzet, een boete kan namelijk oplopen tot 20 miljoen euro.

Regulering AVG/GDPR

Hoever de GDPR/AVG zal worden nageleefd en hoe streng er – zeker in het begin – op zal worden gecontroleerd is nog niet helemaal duidelijk. Wij kiezen er zelf echter voor om er aan te voldoen en raden dit ook aan aan iedereen die een website heeft, óók als u geen bedrijf hebt.

De Principes: AVG/GDPR

De GDPR (AVG) bestaat uit een aantal principes die in dit artikel zal worden toegelicht.

Transparantie

Transparantie is hierbij één van de belangrijkste principes. Iedere persoon waarvan de gegevens verwerkt worden, dient hiervan op de hoogte te zijn en dient toestemming te hebben gegeven voor de verwerking van zijn/haar persoonsgegevens.

Voorbeeld situatie: Een bezoeker neemt contact met u op via uw contactformulier of een webshop of een invulformulier online. U dient de bezoeker dan duidelijk op de hoogte te brengen van de gegevens die worden verzameld en waarom u deze gegevens verzamelt.

Doelbeperking

Dit houdt in dat persoonsgegevens alléén verzameld mogen worden voor een welbepaald doel. U mag deze persoonsgegevens dus niet voor andere zaken gebruiken.

Voorbeeld situatie: Wanneer iemand een reactie plaatst onder een artikel op uw WordPress-website, mag u zijn/haar e-mailadres vervolgens niet zomaar aan uw mailinglijst toevoegen zonder hiervoor expliciet toestemming te hebben van deze bezoeker.

Gegevensbeperking

U mag als bedrijf of als website niet méér gegevens verzamelen dan strikt noodzakelijk voor het beoogde doel.

Voorbeeld situatie: Voor het achterlaten van een reactie op uw website hoeft een bezoeker niet zijn/haar telefoonnummer of NAW-gegevens achter te laten.

Juistheid

De persoonsgegevens moeten juist zijn en blijven.

Voorbeeld situatie: U mag het e-mailadres dat iemand gebruikt voor zijn/haar account op uw website niet zomaar aanpassen.

Bewaarbeperking

De persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het beoogde doel.

Voorbeeld situatie: U mag de verzamelde gegevens niet voor altijd bewaren als dit niet noodzakelijk is.

Integriteit en vertrouwelijkheid

De verzamelde persoonsgegevens moeten voldoende beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.

Voorbeeld situatie: Uw e-mailaccounts, maar ook bijvoorbeeld de uw MySQL-database moeten voldoende beveiligd zijn tegen hackers of inbrekers.

Verantwoording: u bent verantwoordelijk als website-eigenaar

De “verantwoordelijke” (het bedrijf of organisatie) moet kunnen aantonen dat men aan deze regels voldoet. Daarnaast ben je verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als het lek ook risico’s meebrengt voor de rechten en vrijheid van de betrokkenen, dien u die ook direct op de hoogte te brengen.

Voorbeeld situatie: Een bezoeker vraagt hoe u als website-eigenaar met zijn/haar gegevens omgaat. U dient dan te kunnen aantonen dat je aan de regels van de AVG voldoet.

Handige praktische tips en informatie voor uw WordPress-site

Omdat u waarschijnlijk wilt weten wat deze wet inhoudt voor jou als website-eigenaar, hebben we een aantal praktische tips op een rijtje gezet.

1) Wat zijn persoonsgegevens: dit moet u weten wát hieronder valt van persoonsgegevens

Om persoonsgegevens goed te kunnen beschermen, moet u natuurlijk weten welke gegevens volgens de nieuwe wet als “privacy-gevoelig” gelden. Persoonsgegevens zijn eigenlijk alle gegevens waarmee je een persoon kunt “herkennen”. Voorbeeld:

  1. Adresgegevens
  2. E-mailadres
  3. Naam
  4. Locatie-gegevens
  5. IP-adressen

Dit zijn gegevens die u vanaf 25 mei 2018 niet meer zomaar mag verzamelen zonder toestemming. Bedrijfsinformatie (naam, e-mail of postadres) valt niet onder persoonsgegevens. De bovenstaande persoonsgegevens zijn de standaard persoonsgegevens waaraan iemand herkend kan worden.

1.2) Gevoelige persoonsgegevens

Daarnaast is er nog een categorie voor extra gevoelige persoonsgegevens, zoals BSN, ras, medische informatie, seksuele, religieuze en politieke voorkeur. Gegevens uit deze categorie moeten extra goed beveiligd worden.

2) Welke rechten hebben uw gebruikers?

Dankzij de GDPR/AVG hebben internet-gebruikers straks een stuk meer rechten dan voorheen:

2.1 Informeren, toestemming en/of weigering

Personen dienen geïnformeerd te worden voordat hun gegevens verzameld worden en moeten hier expliciet toestemming voor hebben gegeven. Laat een bezoeker een reactie achter en hebt u een extra “checkbox” toegevoegd waarmee de bezoeker zich voor je nieuwsbrief kan aanmelden? Deze checkbox mag niet standaard aangevinkt zijn. Gebruikers hebben bovendien het recht om ten alle tijden hun toestemming voor het verzamelen van gegevens in te trekken, bijvoorbeeld door zich af te melden of door cookie-instellingen (cookie notice) aan te passen.

2.2 Verzoek tot toegang: gegevens van gebruikers

Gebruikers mogen de gegevens die u verzamelt bij u opvragen. Binnen één maand na deze aanvraag dient u de gegevens te kunnen overhandigen. U mag hiervoor geen kosten in rekening brengen. Ook moeten de gegevens op een manier verschaft worden die het makkelijk maakt om de gegevens van gebruiker(s) in te zien, zoal bijvoorbeeld een Excel-sheet of Word-bestand.

2.3 Gegevens: Verwijderen of aanpassen

Uw gebruikers hebben het recht om foutieve informatie te laten aanpassen of om u te vragen om hun gegevens niet meer aan te passen. Ook heeft iedere persoon het recht om zijn of haar gegevens volledig te laten verwijderen (het ‘recht om vergeten te worden’).

3) Google Analytics

Gebruikt u – net als bijna iedereen – Google Analytics op u WordPress-website? Om te voorkomen dat dit wordt aangemerkt als het verzamelen van persoonsgegevens moet u IP-adressen anonimiseren. Lees daar meer over: stuur geen IP-adressen mee. Wanneer u met Google Analytics geen IP-adressen verzamelt hoeft u in principe geen toestemming te vragen voor het “tracken” van uw bezoekers. Wel is het netjes om ze op de hoogte te brengen van het feit dat u Google Analytics gebruikt, bijvoorbeeld in uw privacy verklaring/statement/beleid.

4) Contactformulieren en reacties

Bij een contactformulier op uw WordPress-website is het belangrijk dat je alléén de strikt noodzakelijke informatie van uw gebruikers verzamelt. Daarnaast moet het voor uw bezoeker 100 procent duidelijk zijn welke informatie u verzamelt (vermeld een link naar uw privacy beleid). Ook mag u geen checkboxes standaard “aanvinken” (bijvoorbeeld voor het aanmelden voor uw nieuwsbrief).

Voor het achteralten van reacties op uw WordPress-website geldt hetzelfde. Bovendien moeten gebruikers ten alle tijden hun eigen reacties kunnen verwijderen of een verzoek kunnen plaatsen om hun reacties te (laten) verwijderen. Om dit te automatiseren kunt u een plugin gebruiken zoals Delete Me.

5) Zorg dat u een beveiligde verbinding. Vraag een SSL certificaat aan.

Zorg dat uw website en CMS (WordPress) alléén bereikbaar zijn via HTTPS. Een SSL-certificaat voegt encryptie toe aan de gegevens die op jouw website worden verzameld en beveiligt gegevens beter dan HTTP. Een bijkomend voordeel is dat Google websites met een SSL-certificaat beloont met hogere posities in Google en u wekt vertrouwen voor uw bezoekers. Een SSL certificaat is ook verplicht bij webwinkels en contact-of invulformulieren.

6) Met deze plugins maakt uw website AVG/GDPR (gedeeltelijk) proof

Hieronder staan handige plugins voor uw WordPress website.

Let op: de onderstaande genoemde plugins zijn puur een hulpmiddel/aanvulling om uw WordPress-website GDPR/AVG-compliant te maken. We kunnen op geen enkele manier garanderen dat je website na het activeren van deze plugin(s) ook daadwerkelijk aan de GDPR/AVG voldoet. Voor juridisch advies raden we u aan om een specialist in te huren. 

GDPR Consent (€39)

De GDPR Consent plug-in is gemaakt door Nederlandse WordPress-agency Sowmedia. Uw gebruikers kunnen per categorie toestemming geven voor het verzamelen van persoonsgegevens. Op basis van hun selectie kunt u bepaalde plug-ins en/of scripts op uw WordPress website activeren of deactiveren. Erg handige plug-in dus!

Delete Me (gratis)

We noemden de plugin Delete Me eerder in dit artikel. Met deze plug-in geeft u gebruikers makkelijk de kans om zichzelf volledig van uw website te verwijderen. Alle content van een gebruiker wordt dan verwijderd (reacties, berichten en andere content).

WP GDPR (gratis)

De plugin WP GDPR is een open source plug-in die u helpt bij het toegankelijk maken van persoonlijke data voor uw bezoekers. Uw bezoekers hebben bij deze plug-in géén account nodig om hun data te kunnen inzien. Alles werkt met unieke links en op basis van e-mailadressen. WP GDPR heeft integratie met allerlei veel gebruikte plug-ins zoals Gravity Forms, Contact Form DB7 en WooCommerce. Hier wordt binnenkort ook MailChimp aan toegevoegd. Ook erg handige plug-in!

WP GDPR Compliance (gratis)

Het Nederlandse WordPress-bureau Van Ons heeft ook een GDPR-plugin ontwikkeld. Handige makkelijke plug-in om in te stellen.

7) Hoe maakt u een complete, transparante en duidelijke privacy verklaring voor uw website?

U kunt een privacy verklaring maken op https://veiliginternetten.nl/privacyverklaring-generator/start/ voor uw website. Laat uw privacy verklaring en wat u verzamelt op uw website controleren door een specialist.

Handige tips over AVG wet

Nederlandse AVG wettekst op europa.eu (PDF) of Nederlandse AVG wettekst op Europa.eu (HTML)