Wat moet je doen om met je WordPress website aan de AVG te voldoen?

25 mei 2018 komt er in Nederland een nieuwe wet genaamd Algemene Verordening Gegevensbescherming (AVG) die grote impact gaat hebben op iedereen die een website en een eigen bedrijf heeft. Voldoe jij al aan de eisen van de AVG met je WordPress website? Hieronder alle informatie met een uitgebreid stappenplan.

Zie ook de algemene informatie AVG van de Autoriteit Persoonsgegevens.

WordPress en de AVG

Je hebt een WordPress website met 10 plugins, een nieuwsbrief, een contactformulier, een commentaar functie en analytics software. Misschien heb je zelfs wel een ledenwebsite, tientallen WordPress gebruikers, een forum, lange formulieren en een webshop.

Met een WordPress website verwerk je gegarandeerd persoonsgegevens.

Bij WordPress moet je inloggen met je naam, email of nickname, je IP-adres wordt bewaard door analytics en beveiligingssoftware, en als bedrijf stuur je facturen met daarop de gegevens van je klant. Dat zijn allemaal persoonsgegevens die je aan het verwerken bent en waarop de AVG van toepassing is.

Gelukkig staat WordPress niet stil en hebben ze het CMS klaargestoomd voor de AVG (in het Engels GDPR). Je kunt meelezen op de WordPress roadmap for GDPR compliance en https://make.wordpress.org/core/ wat ze allemaal aan het doen zijn. De eerste WordPress privacy update 4.9.6 is inmiddels al gelanceerd. Ook op jouw WordPress website is er nu  een standaardtekst voor een privacyverklaring, persoonlijke data export, en het anonimiseren van reacties. Dat helpt je om te voldoen aan de AVG. Zorg er dus voor dat je je WordPress site (automatisch) update naar de laatste versie.

Met een WordPress website bedoel ik een zelf-gehoste WordPress.org website, WordPress.com heeft andere plugins die meer en andere cookies serveren en data verzamelen.

Vertrouw niet op plugins en geautomatiseerde AVG hulpmiddelen. Je moet zelf bekijken wat nodig is voor de AVG in jouw situatie.

Stappenplan voor de AVG


1 Ga na welke persoonsgegevens je verzamelt, opslaat, doorstuurt en verwijdert en waarvoor je ze gebruikt

Maak een lijst met alle dingen die je doet met persoonsgegevens op je website en met je bedrijf. Denk aan persoonsgegevens van (potentiele) klanten, medewerkers, relaties, websitebezoekers (gegevens van bedrijven of organisaties zijn geen persoonsgegevens).

‘Verwerken’ betekent alle dingen die je met een persoonsgegeven doet, zoals het versturen van een email met daarin een naam, het maken van een backup met daarin IP-gegevens van websitebezoekers, het opslaan van een naam in een klantenbestand, het verwijderen van mensen uit een nieuwsbrieflijst. Het is elke handeling rondom een persoonsgegeven. Loop dus je website en je bedrijfsactiviteiten door en bedenk of je er persoonsgegevens verwerkt.

Welke persoonsgegevens verzamel je met een WordPress website?

Elke website verzamelt persoonsgegevens, maar zelfs als websitebouwer weet je niet altijd precies welke gegevens er door allerlei plugins en functies worden verzamelt. Het is veelal ondoorzichtig en geheimzinnig wat software achter de schermen doet. Hieronder dus mijn (niet 100% complete) lijst met plekken binnen WordPress waar je mogelijk persoonsgegevens verzamelt:

  • Nieuwsbrieven waarmee je naam en emailadres verzamelt, bijvoorbeeld MailChimp of CreateSend of JackMail.
  • Statistieken op je website, zoals Google analytics die IP-adressen opslaat in zijn database maar ook standaard statistieken die bij je hostingpakket horen zoals AWStats, Analog Stats, and Webalizer.
  • Google maps die de geolocatie van je bezoeker verzamelt.
  • Webshops zoals WooCommerce en koppelingen met boekhoudpakketten of software zoals Mollie die bank en creditcardgegevens en adressen verzamelen.
  • Leden plugins zoals Buddypress die namen en foto’s van leden opslaan.
  • Gravatar die een foto van degene die reageert laat zien.
  • Vimeo of YouTube filmpjes ge-embed op je website die tracking cookies plaatsen.
  • Facebook pixels die invasieve tracking cookies plaatst.
  • WordPress gebruikers waarvan de naam, nickname, emailadres en wachtwoord worden opgeslagen in je WordPress database.
  • Naam, nickname, IP-adres en e-mailadres van mensen die iets in de WP reacties schrijven.
  • (Contact)formulieren zoals Gravity forms die in de database worden opgeslagen. Mijn favoriete formulierenplugin Formcraft slaat bijvoorbeeld inzendingen en IP-adressen op van formulieren, maar dat kun je ook met een knop uitzetten zodat de email direct naar het emailadres wordt doorgestuurd. Contactform 7 slaat geen gegevens op in de database.
  • Beveiligingsplugins die logins en bepaalde activiteiten van gebruikers loggen zoals Loginizer. iThemes security verwerkt IP-adressen om veiligheid te waarborgen en bots te blokkeren en verkeerde inlogpogingen te loggen.
  • Backup plugins of services zoals ManageWP die alle data in je database opslaan op je server (denk na over hoe lang je die bewaard en waar die server staat).
  • Foto’s van mensen bijvoorbeeld op de “Over ons” pagina. Foto’s zijn persoonsgegevens, en moeten ook worden gedocumenteerd wanneer mensen ze zelf vrijwillig op een website hebben geplaatst.

Mis ik een plugin of andere functie die persoonsgegevens verwerkt? Laat het me weten!

2 Schrijf een document (verwerkingsregister) waarin je beschrijft wat je met de persoonsgegevens doet

Nu je alle persoonsgegevens die je verwerkt hebt geïnventariseerd kun je dit gaan documenteren. Dit is nodig omdat je moet kunnen aantonen dat je volgens de AVG werkt (verantwoordingsplicht). Dit document kun je intern bewaren en kan door de Autoriteit Persoonsgegevens worden opgevraagd, je hoeft dit niet te publiceren.

Het opschrijven hiervan kan gewoon in een (Word) document waarin je de volgende punten beschrijft in je eigen woorden (dus niet in moeilijk jargon).

Wat staat er in het verwerkingsregister?

  • Wat is het doel van de verwerking? Bijvoorbeeld een nieuwsbrief versturen, of het beveiligen van je website).
  • Welke persoonsgegevens verwerk je voor dat specifieke doel? Bijvoorbeeld naam en emailadres.
  • Wie is er verantwoordelijk is voor deze verwerking? Schrijf de naam op van de persoon en zijn/haar contactgegevens.
  • Wat is de grondslag voor het gebruik van deze gegevens? Onderbouw waarom het nodig is dat deze gegevens verzamelt (bijvoorbeeld voor de beveiliging van je site) en de grondslag (bijvoorbeeld verbetering bedrijfsvoering, of wettelijke plicht). Denk na of het überhaupt wel nodig is, volgens de AVG moet je zo min mogelijk informatie verzamelen.
  • Worden deze persoonsgegevens gepubliceerd ergens, en is deze informatie geanonimiseerd?
  • Noteer alle derde partijen die toegang tot de gegevens hebben en wellicht een deel van de verwerking doen zoals backup-software, Google Analytics en je hostingpartij. Als deze partijen buiten de EU zitten, voldoen ze dan wel aan de beveiligingseisen zoals het Privacy Shield met de VS?
  • Hoe lang bewaar je deze gegevens? Bijvoorbeeld tot 3 maanden nadat iemand de website heeft bezocht.
  • Wat doe je om deze gegevens te beveiligen? Bijvoorbeeld een SSL certificaat op je website, 2-factor authenticatie. Zie ook mijn blog over beveiliging van je WordPress website.
  • Zorg dat deze gegevens juist zijn, en controleer ze regelmatig.

3 Informeer je bezoekers en publiceer een privacyverklaring op jouw website

Een belangrijke eis van de AVG is dat je transparant bent over alles wat je doet tegenover je klanten en bezoekers van je site. Dat moet je wel in normale taal uitleggen, zodat iedereen het kan begrijpen. Dat informeren doe je niet alleen op het moment dat je persoonsgegevens verzamelt, zoals bijvoorbeeld een tekstje naast een nieuwsbrief inschrijflink met daarin precies wat je met de gegevens doet.

Je informeert alle bezoekers van je website ook in een algemene privacyverklaring. Deze publiceer je op je website, waar deze makkelijk te vinden moet zijn. Deze privacyverklaring is gebaseerd op de informatie die je hebt verzameld in het verwerkingsregister. Ik gebruik hiervoor de geautomatiseerde privacyverklaring van Juridox hiervoor, al is die nog steeds niet heel erg leesbaar.

Vraag toestemming voor het verwerken van persoonsgegevens als ze niet per se nodig zijn of de privacy van een persoon kunnen schaden.

Heb je geen goede reden (grondslag) om persoonsgegevens te verwerken? Wil je bijvoorbeeld persoonsgegevens verzamelen voor een nog onbekend doel, zoals het versturen van een nieuwsbrief in de toekomst, of verzamel je gegevens die een grote impact hebben op de privacy van je websitebezoekers, zoals Facebook tracking cookies? Dan heb je toestemming nodig van de personen van wie je de gegevens verwerkt. Voordat je die data gaat verzamelen moeten zij vrijwillig en expliciet toestemming geven. Lees hier meer over in het kader over nieuwsbrieven hieronder.

Standaard privacyverklaring van WordPress

WordPress maakt je het makkelijker om een privacyverklaring te schrijven en publiceren. Ze hebben een template ontwikkeld voor een privacyverklaring (ook in het Nederlands) die je op je website kunt zetten via het menu: Instellingen > Privacy. Bekijk het template voor de privacyverklaring op je eigen website via deze link: JOUWDOMEINNAAM.NL/wp-admin/tools.php?wp-privacy-policy-guide

Let op: standaarddocumenten kun je niet zomaar gebruiken, wellicht komt het niet overeen met jouw situatie. Loop onderstaande gegevens dus nogmaals goed door en vul de verklaring aan met je eigen teksten.

Cookies

Gebruik je cookies op je website? Zorg er dan voor dat je altijd expliciet toestemming hebt voordat je persoonsgegevens zoals IP-adressen gaat verzamelen of invasieve cookies plaatst. Een standaard cookiebanner waarop je meld dat als iemand je website bezoekt impliciet toestemming geeft voor het opslaan van cookies voldoet straks niet meer. Meer weten over of je cookies serveert, hoe je er vanaf komt en hoe je bezoekers informeert? Zie mijn blog over cookies, de cookiewet en de AVG.

Sommige cookies vallen ook onder de AVG, vraag dus vooraf toestemming.

4 Zorg ervoor dat personen hun data kunnen inzien, corrigeren en verwijderen

Naast het informeren over hun rechten van inzage, correctie en verwijdering, moet je vervolgens ook op zo’n verzoek in kunnen spelen. Houd hier rekening mee wanneer op je website mensen zich kunnen inschrijven, comments geven of gebruiker zijn. Je moet ze een mogelijkheid geven om al hun persoonlijke gegevens die worden opgeslagen (zoals IP-adres, comments, loginggegevens, emailadres, voorkeuren) te kunnen inzien, corrigeren, downloaden of opsturen en verwijderen.

Inzage en export van WordPress gebruikers

In de laatste 4.9.6 update van WordPress kun je nu persoonlijke data van een gebruiker exporteren en wissen via het nieuwe menu-item genaamd ‘Hulpmiddelen’. Mensen hebben ook recht op dataportabiliteit: ze moeten hun data gemakkelijk kunnen doorgeven naar een andere organisatie. Hoe dat eruit zou zien voor een (WordPress) website is niet duidelijk. Er zijn hier ook al wat externe plugins voor WordPress voor ontwikkeld (al heb ik ze niet getest): WP GDPR compliance en de GDPR plugin. Er is ook een betaalde plugin WP upgrader die veelbelovend lijkt.

5 Maak je beveiliging op orde

De beveiliging van deze persoonsgegevens moet goed geregeld zijn en je moet dit (intern) documenteren. Maak een beveiligingsplan voor het beschermen van je (gevoelige) data, en schijf dat op in een rapport waarin je uitlegt in normale taal welke stappen je hebt uitgevoerd om persoonsgegevens te beveiligen. Zie mijn voorbeeld op: www.liesbethsmit.com/privacy/. Neem daarin ook een beleid op voor datalekken.

Beveiliging van je WordPress website

Neem maatregelen om je website beter te beveiligen, bijvoorbeeld door een SSL-certificaat aan je website te koppelen. Denk aan encryptie van je laptop (b.v. met Bitlocker of VeraCrypt), two-factor authentication voor WordPress en andere services die je gebruikt zoals Mailchimp, je hostingprovider, en DropBox.  Zie voor alle beveiligingsmaatregelen ook mijn blog over beveiliging van je WordPress website:

Het is ook een goed idee om de toegang tot je website te monitoren, je moet immers wel weten wanneer er zich een datalek voordoet. Je kunt met beveiligingsplugins zoals iThemes Security en Wordfence bijvoorbeeld de logins monitoren en automatisch een email laten versturen als er zich problemen voordoen, zoals iemand die probeert in te loggen met een verkeerd wachtwoord. Verzamel je veel (gevoelige) persoonsgegevens van heel veel mensen, dan kun je ook een beveiligingspakket bij Sucuri aanschaffen voor extra bescherming en monitoring (kost wel $200 per jaar).

Beveiliging betekent ook het niet onbeheerd achterlaten van papieren of computers.

Je kunt niet achterover hangen wanneer je eenmalig je website hebt geoptimaliseerd. Beveiliging is meer dan een plugin. Zorg bijvoorbeeld ook dat je computer of andere apparaten die toegang hebben tot je website of bestanden een sterk wachtwoord hebben. Veilige data betekend ook dat beheerders van je websites niet weglopen van hun ingelogde computer in een coffeeshop, dat kan ook leiden tot een datalek en is soms een groter risico dan hackers.

6 Sluit verwerkersovereenkomsten af met partijen die je gebruikt om data te verwerken

Zijn er andere partijen die persoonsgegevens voor je verwerken of opslaan? Denk aan je webmaster, hostingbedrijf, cloud-opslag, backup services, Google suite (email), MailChimp Amazon, Dropbox, Trello, en Cloudflare maar ook een online boekhoud- of administratiesysteem, of een accountantbureau. Neem deze dan ook op in je privacyverklaring en verwijs naar hun privacyregelement.

Met al deze bedrijven moet je verwerkersovereenkomsten sluiten. De grote bedrijven doen dit grotendeels automatisch, je hoeft meestal alleen een vinkje te zetten ergens, zie bijvoorbeeld de Handleiding voor Google Analytics en de informatie van Cloudflare over GDPR.

Zorg voor goede afspraken buiten Europa

Vaak gebruik je op het internet Amerikaanse diensten zoals Google voor je e-mail, Amazon en Dropbox voor backups, Trello of Slack met je collega’s. In de Verenigde Staten houd de overheid wat minder van privacy, dus officieel mag je met landen buiten Europa geen persoonsgegevens delen tenzij je expliciet toestemming hiervoor hebt.

Een backup van een factuur op Dropbox zetten zou dus niet mogen. Gelukkig voldoen al die grote bedrijven inmiddels aan de Privacy Shield overeenkomst met Europa, en kun je gewoon zaken met ze doen. Zorg dat je een verwerkersovereenkomst met ze aangaat, dat ze zorgvuldig met je data omgaan en breng je klanten en bezoekers hiervan op de hoogte in je privacyverklaring.

7 Blijf alert en meld datalekken aan de Autoriteit Persoonsgegevens

Nu je bovenstaande stappen bent doorgelopen en je helemaal AVG-proof bent kun je nog niet helemaal achterover leunen. Je moet telkens blijven controleren of je niet nieuwe persoonsgegevens bent gaan verzamelen en je verwerkingsregister bijwerken.

Ben je een USB stick kwijt met je klantenbestand of is je website met klantenprofielen gehacked? Dan moet je dat datalek melden aan de Autoriteit PersoonsgegevensBij ICTrecht lees je in hun datalek factsheet meer over de eisen binnen deze wet.

Onderneem vandaag nog actie!

Iedereen moet zich aan de wet houden, en vanaf 25 mei kunnen er boetes gaan vallen die kunnen oplopen tot 20 miljoen euro (paniek!). Denk dus na over persoonsgegevens, documenteer alles, informeer je klanten en plaats een privacyverklaring en voer alle beveiligingsstappen uit. Dan voldoe je straks volledig aan deze nieuwe wet en kun je weer rustig slapen.

Wil je weten of je aan de AVG voldoet? Doe dan de AVG check van pluform.

Er is ook een checklist WordPress AVG.

Nogmaals: dit is geen juridisch advies en ik ben geen advocaat. Deze blog is ontstaan omdat ik mijn eigen klanten wilde informeren over deze wet. Hiervoor heb ik heb zelf juridisch advies gevraagd, het boek over de AVG gelezen en privacy documenten opgesteld, maar ik kan absoluut geen advies uitbrengen over wat jij met je bedrijf moet doen om te voldoen aan de nieuwe eisen.

Meer lezen over de AVG: