Hoe maak jij je WordPress website AVG-proof?

De ultieme gids over alles wat jij van WordPress plugins moet weten

Hoe maak jij je WordPress website AVG-proof? 1

door Remco Nieuwenhuizen

Eigenaar van WPsupporters

Het is al weer een aantal jaren verplicht dat je website moet voldoen aan de AVG (of GDPR) Europese privacy wetgeving. Weet je niet of jouw website ook voldoet of wil je een AVG-check voor je website, dan volgt hier in eenvoudige stappen hoe jouw website AVG-proof gemaakt kan worden. Je website AVG-ready maken komt er eigenlijk op neer dat je gegevensverwerking, zowel aan de achtkant als naar buiten toe, moet voldoen aan deze Europese wetgeving. We nemen je stap voor stap mee hoe je de AVG toepast voor je website.

Wat houdt de AVG in?

De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) is de volledige benaming van deze privacy wetgeving voor je website en organisatie. De privacy waarborgen van alle Europese burgers is het doel. Iedereen die zich niet houdt aan de regels rondom (verwerking van) persoonsgegevens kan een boete worden opgelegd. Nog steeds nemen organisaties en website-eigenaren het niet zo nauw met de privacyregels op hun websites. Maar hoe zorg je ervoor dat jouw website voldoet aan de wetgeving? Hoe maak jij je WordPress website AVG proof?

Ook het steeds toenemende aantal hacks om persoonsgegevens buit te maken, verhoogd de verantwoordelijkheid van website-eigenaren om de persoonsgegevens van bezoekers en gebruikers te beschermen.

“Besef welke persoonsgegevens je echt nodig hebt voor je bedrijfsvoering en vraag hier toestemming voor, al het overige moet je achterwege laten”

De 7 Stappen om te voldoen aan de AVG

1. Verzamel je persoonsgegevens, toestemming vereist?

Heb je een website dan is de kans groot dat je ook persoonsgegevens verzamelt. Het doel van je website is namelijk om in contact te komen met potentiële partners of klanten. Via een contactformulier of een cookie verzamel je persoonsgegevens over de websitebezoeker of zelfs nadat deze de website heeft verlaten met een trackingcookie. Wanneer je website persoonsgegevens verzamelt dient deze te voldoen aan de regels van de AVG en de Nederlandse wetgeving betreffende Telecommunicatie. Deze regelt dat toestemming vereist is van de eindgebruiker voor het plaatsen van een cookie. Deze wet is van toepassing op alle informatie en persoonsgegevens.

2. Uitzonderingen cookiewetgeving; doel en effect cookie

Toestemming is niet nodig wanneer de cookie noodzakelijk is voor het aanbieden van een dienst. Deze functionele cookies zijn nodig om een dienst of webshop te laten functioneren. Dit zijn bijvoorbeeld bestanden die bijhouden wat er in de winkelwagen zit. Er is ook geen toestemming nodig wanneer het doel is om op bepaalde delen van de website het aantal bezoekers te tellen. Wordt de cookie gebruikt om de kwaliteit of effectiviteit van de website te testen, mits dit geen of nauwelijks effect heeft voor de privacy van de eindgebruiker, dan is dit ook toegestaan zonder toestemming vooraf.

3. Vereisten toestemming

Het vragen van toestemming is onder de AVG strenger geworden. Wanneer je website persoonsgegevens verzamelt is alleen expliciete toestemming toegestaan en dien je goed invulling te geven aan de vereisten die daarvoor gelden. Een cookiebanner met de boodschap: “Door het gebruik van onze website gaat u akkoord met onze cookies” is niet voldoende. Ook de vooraf ingevulde vakjes zijn niet langer toegestaan. Toegang tot een website door het plaatsen van een zogenaamde cookie-wall is verboden, ook zonder toestemming moet het mogelijk zijn om de website te bezoeken. Voor het plaatsen van tracking cookies moet vooraf uitdrukkelijk toestemming gevraagd worden.

Cookies en privacy uitgelicht

Je dient transparant te zijn in wat je met de persoonsgegevens doet. In de privacy- en cookieverklaring omschrijf je dit. Deze dient eenvoudig te vinden zijn, bijvoorbeeld via een link in de footer van de website. Verwijs ook bij het bestelproces of bij het gebruik van een formulier hiernaar.

In de privacyverklaring beschrijf je in begrijpelijke taal welke persoonsgegevens je verzamelt, hoe lang en met welk doel en welke maatregelen je hebt genomen om ze te beveiligen. In deze verklaring wijs je de bezoekers op de rechten die ze hebben en hoe ze een verzoek tot inzage, correctie, dataportabiliteit of verwijdering kunnen indienen.

In de cookieverklaring zet je welke cookies je gebruikt, wat ze betekenen, voor welk doel je ze gebruikt en hoe ze in- en uitgeschakeld kunnen worden.

Een disclaimer is niet verplicht maar is in sommige gevallen wel raadzaam om op je website te plaatsen. Vraag eens aan de Kvk of ze je daarbij kunnen helpen.

De bezoeker heeft er recht op dat alle of een deel van de gegevens verwijderd worden als deze hierom vraagt. Een bezoeker moet zich net zo gemakkelijk af kunnen melden voor cookies of een nieuwsbrief als dat het aanmeldproces verliep, zo stelt de AVG. Het proces van uitschrijven moet transparant en begrijpelijk zijn. De knop voor de cookie-instellingen en het afmelden voor de nieuwsbrief moet goed zichtbaar zijn.

Let op met AVG bij YouTube video’s en Twitter widgets op je website

Nog voordat de bezoeker toestemming heeft gegeven, plaatsen ingesloten YouTube video’s cookies bij het inladen van de pagina. Hoe voorkom je dit? Dit doe je door de privacy modus in te schakelen voor opties voor insluiten en de embedcode te plaatsen op je website of de video pas te tonen wanneer de bezoeker de cookies heeft geaccepteerd. Toch zijn deze oplossingen niet waterdicht en is de enige juiste om een link naar de YouTube video te plaatsen.

Twitter slaat al informatie op van de bezoeker bij het gebruik van zijn widgets. Je voorkomt dat het niet AVG-proof is door een kleine aanpassing in de code op de pagina die een Twitter widget bevat. Of maak gebruik van een Cookiebot om de AVG-lek op te sporen en aan te pakken.

4. De beveiliging van je website

De via cookies of contactformulieren verzamelde persoonsgegevens moeten worden beveiligd. Het is namelijk alleen toegestaan om persoonsgegevens te verwerken op je website wanneer deze aan de beveiligingsverplichtingen uit de AVG voldoen.

Je zult daarom je website moeten beveiligen met een adequaat en veilig SSL- of TLS-certificaat, die up-to-date is. Je herkent een dergelijk certificaat aan het hangslot in de adresbalk en de URL’s die met “https:” beginnen. Controleer regelmatig of je beveiliging nog voldoet. Je CMS, plugins, widgets en extensies moeten regelmatig worden ge-update.

Beperk ook het aantal mensen wat toegang heeft tot het CRM en verwijder onnodige accounts. Iedereen die toegang heeft moet daar een geldige reden voor hebben en leg vast waarom iemand toegang heeft.

5. Vereisten verwerker

Het is wettelijk vereist om goede afspraken te maken met de verwerker van de gegevens, zoals een webhost of –beheerder. Dit kan bijvoorbeeld door een verwerkersovereenkomst te sluiten. Heeft je websitebeheerder zijn beveiliging niet goed op orde dan loop je daar een groot risico mee. Je bent verplicht om goede afspraken te maken over datalekken en beveiligingsmaatregelen. Het is aan te raden om je verwerker te controleren op het naleven van de contractuele afspraken, wanneer het om gevoelige gegevens gaat om zo problemen daarmee in de toekomst te voorkomen. Ernstige datalekken dienen binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens. Verderop lees je hoe je een overeenkomst afsluit met Google voor het gebruik van zijn Analytics.

6. Overbodige persoonsgegevens

Je dient zo privacy vriendelijk mogelijk persoonsgegevens te verzamelen. Daar dien je dus vooraf goed over na te denken. Zijn de gevraagde gegevens noodzakelijk voor het doel waarvoor ze worden verzameld. Dus zijn gegevens niet strikt noodzakelijk dan dien je ze niet te verwerken. Bij de aanmelding van een nieuwsbrief mag je alleen een telefoonnummer en e-mailadres vragen als je er ook bij vermeld wat je met beide gegevens gaat doen.

7. Google-Analytics en AVG

Het liefst val je de bezoeker niet lastig met een cookiebanner. Analytische cookies hebben weinig gevolgen voor de privacy. Gebruik je Analytics alleen voor statistieken zoals het tellen van bezoekers en niet het volgen daarvan, dan is alleen informeren voldoende. Wil je meer dan dat, dan dien je een verwerkersovereenkomst aan te gaan met Google.

Deze verwerkersovereenkomst is de overeenkomst die je kunt aangaan voor het AVG-proof gebruik van Google-Analytics. Dit doe je door geüpdatet amendement aan te klikken nadat je bij beheer en accountinstellingen kiest voor aanpassing van de gegevensverwerking.

Op de site van de Autoriteit Persoonsgegevens kun je nog een aantal stappen volgen om je Analytics privacy-vriendelijk in te stellen zodat je AVG-proof Analytics kunt toepassen zonder vooraf toestemming te vragen aan de bezoeker en alleen te informeren. In elk geval dien je de IP-adressen te anonimiseren en verzamelde gegevens niet te delen met Google en/of andere derde partij en te zorgen dat je website SSL/TLS veilig is.

TOP 6 WORDPRESS AVG PLUGINS

WordPress plugins kunnen je helpen om te voldoen aan de AVG-regelgeving voor je website. Alleen het gebruik van de plugin is niet 100% dekkend. Je zult soms toch nog handmatig wat in moeten stellen. Wil je niets aan het toeval over laten schakel dan een jurist in of een WordPress specialist met AVG-kennis. De plugins vangen in elk geval een groot deel van de vereisten af.

Onderstaande plugins kun je kiezen voor het cookiebeleid van je website of om in elk geval te checken of deze AVG-proof is. Sommige zijn gratis of te upgraden naar een betaalde versie met meer mogelijkheden. Er zijn plugins die je gebruikt wanneer toestemming vooraf niet nodig is, zoals de eerste plugin in onderstaand lijstje. Als je één van deze plugins gebruikt en bovenstaande tips toepast ben je op de goede weg om te voldoen aan de AVG-wetgeving en dat je ervoor zorgt dat je bezoekers op een juiste en veilige manier gebruik kunnen maken van je website.

Over plugins gesproken, let in zijn algemeenheid ook goed op plugins en of ze (nog) voldoen aan de AVG. Verzamel met je plugins geen onnodige gegevens en deel niet zonder verwerkersovereenkomst gegevens met derden. Ga per plugin na of deze voldoet aan de GDPR, bijvoorbeeld via WordPress.org en zoek onder de tab support op GDPR. Bij twijfel benader je de maker of je kiest voor een alternatief.

Cookie Consent

Deze valt wel onder de plugins die je kunt gebruiken voor websites waarbij vooraf geen toestemming vereist is voor het gebruik van je cookies.

Complianz GDPR

Door middel van een gemakkelijk te volgen stap voor stap proces van deze plugin kom je tot een mooi eindresultaat om je site AVG-proof te maken. Deze plugin controleert met regelmaat je website op cookies. Met de gratis versie krijg je een gevalideerd cookiebeleid. Wil je dit zonder gedoe geautomatiseerd hebben, datalekken opsporen en verwerkingsovereenkomsten laten verzamelen dan is een betaalde versie nodig.

Cookiebot

Ook Cookiebot speurt je website na op cookies die moeten voldoen aan de wetgeving. Zorg dat je regelmatig je website checkt met deze plugin voor je cookie-instellingen. Gemak dient de mens.

Cookie checker

Ook Cookie checker controleert of je voldoet aan de cookiewetgeving en geeft je een mooi inzicht in je eigen cookies en wat de third-partycookies en third-partyrequests zijn en of ze voldoen aan de AVG.

WP GDPR Compliance

Deze plugin is een aanrader onder de gratis tools qua mogelijkheden. Nadeel bij een gratis plugin kan zijn dat er minder vaak updates zijn ten opzichte van de betaalde en dat een dergelijke tool niet up to date is met de laatste wijzigingen in de wetgeving.

GDPR Cookie Consent

Dit is de laatste aanrader uit de top 6 voor AVG-plugins. Deze plugin kent veel mogelijkheden en heeft in elk geval een gratis versie, zodat je kunt kijken of deze je bevalt om daarna eventueel over te stappen op de betaalde versie.

Tot Slot

Van organisaties en website-eigenaren wordt inmiddels verwacht dat ze weten wat hun verantwoordelijkheden en verplichtingen zijn vanuit de AVG. Zorg dat je voldoet aan de vereisten en voorkom zo dat je op je vingers wordt getikt, een boete krijgt of je beveiliging te kort schiet. Is er nog iets waar je vragen over hebt, neem dan contact op met het team van WPsupporters.

Geef ons een beetje support, en deel met belangstellenden.

Facebook
Google+
Twitter
LinkedIn
WhatsApp

Lees ook:

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *