7 tips om je WordPress website AVG proof te maken

Privacymanagers moeten eigenlijk duizendpoters zijn. Bij de intake van klanten moeten alle veiligheidsrisico’s in een bedrijf in kaart worden gebracht. Een van de aspecten die daarbij aan de orde komt is hoe het staat met de veiligheid van de website.

Veel bedrijven maken gebruik van het populaire contentmanagementsysteem (cms) WordPress. Net als veel privacymanagers hebben ze geen idee van de vele risico’s die WordPress met zich mee brengt als in het cms na de standaardinstallatie niet handmatig diverse instellingen worden gewijzigd.

WordPress is een van de meest gebruikte websitesystemen ter wereld. Daarom is het systeem ook bijzonder interessant voor cybercriminelen.

Op basis van de Algemene Verordening Gegevensbescherming (AVG) is iedere organisatie verplicht om aantoonbaar technische maatregelen te treffen om veiligheidsrisico’s af te schermen. Dat is bij WordPress zeker nodig.

Gelukkig is het niet zo moeilijk om je WordPress website te beschermen. In dit artikel laat ik je zien hoe je je dat kunt doen.

Inhoudsopgave

1 Update, Update, Update!
2 Veilige wachtwoorden en gebruikersrechten toewijzen
3 Zet in op goede hosting
4 Installeer alleen thema’s & plugins van veilige bronnen
5 Beveiliging van WordPress-admin
6 Veiligheidsplug-ins gebruiken
7 Maak back-ups!

Update, Update, Update!

Tip nummer 1: Houd WordPress altijd up-to-date. Standaard installeert WordPress zelf kleine updates. Bij grotere versie updates moet je het zelf doen.

Dit geldt niet alleen voor de WordPress core installatie. Plugins en thema’s van derden moeten ook regelmatig worden bijgewerkt.

Veilige wachtwoorden en gebruikersrechten toewijzen

De meeste hackpogingen zijn gebaseerd op gestolen wachtwoorden. Als je moeilijk te raden wachtwoorden verstrekt en ervoor zorgt dat ze niet in verkeerde handen vallen, is dat de helft van de strijd.

Op de website HandigeTools.nl  kun je veilige wachtwoorden genereren. Er is alleen een nadeel met de wachtwoorden die je zo creëert. Hoe onthoud je ze? Als je ze opslaat in een document of in een notitieblok ben je nog steeds niet bepaald veilig bezig.

Daarom kun je beter gebruik maken van de wachtwoordgenerator van wachtwoordmanagementsoftware zoals mijn favoriet Lastpass. Daarmee kun je veilige inlognamen en veilige wachtwoorden genereren. De tool is gratis beschikbaar. Er is voor weinig geld ook een betaalde update van Lastpass beschikbaar met meer functies.

Andere gratis aanbieders van passwordmanagers zijn KeePass voor Windows of MacPass voor Mac (de tool is ook beschikbaar voor iPhone, Android en andere besturingssystemen en apparaten) hebben een functie om veilige wachtwoorden te genereren.

In het algemeen raad ik u aan om alleen wachtwoorden op te slaan in programma’s of apps die versleutelde wachtwoorden opslaan en die kunnen worden beschermd met een master wachtwoord (hierbij uiteraard ook aandacht besteden aan wachtwoordbeveiliging).

De browsers Internet Explorer, Google Chrome, Firefox, Opera en Safari bieden ook een optie aan om wachtwoorden op te slaan. Deze optie raad ik echter niet aan. Iedereen die toegang weet te krijgen tot je computer kan dan gebruik maken van deze inloggegevens. En als je een keer bij familie, vrienden of kennissen, of onderweg, gebruik maakt van de computer van een ander met jouw account voor de browser loop je extra risico.

Noteer de wachtwoorden ook niet in platte tekst (bijv. in een vrij toegankelijk Word- of Excel-document of in een notitieboekje, dat u dan in de trein of in het vliegtuig achterlaat…)

Verstuur  alsjeblieft geen wachtwoorden in platte tekst per e-mail! Gebruik e-mailversleuteling of overdrachtswachtwoorden op een andere manier, via een ander medium. En zeker niet via Facebook of WhatsApp Messenger.

WordPress gebruikersrechten

Als er meerdere mensen zijn die artikelen publiceren op je blog is het raadzaam om alleen de rechten toe te kennen die dringend nodig zijn om artikelen te posten of te bewerken. Als je alleen artikelen publiceert, maar geen plugin updates of ict-onderhoud doet, heb je geen administratorrechten nodig.

Zet in op goede betrouwbare hosting

Beveiliging begint bij hosting. Hier moet je absoluut niet op besparen. Als je geen ervaring hebt met webserverbeheer, moet je kiezen voor een hostingprovider die Managed Hosting aanbiedt. Hier zorgt de hoster voor belangrijke updates van de serversoftware.

Installeer alleen thema’s & plugins van veilige bronnen

Installeer alleen plugins en thema’s van WordPress.org via het archief of vertrouwde bronnen. Zorg ervoor dat je een actuele versie downloadt.

Een kleine vuistregel: kijk altijd of de plugin onlangs werd bijgewerkt. Hoeveel downloads de plugin tot nu toe heeft gehad doet er niet toe. Als ik zie dat een plugin regelmatig wordt bijgewerkt kun je er relatief zeker van zijn dat de plugin ondersteund zal blijven worden en dat het geen “flash in the pan” is met veiligheidsrisico’s.

Het motto bij plugins is: minder is meer! Installeer alleen die plugins die dringend nodig zijn. Op die manier – verklein je het risico op datalekken. En er is nog een bijkomend voordeel: de site laadt sneller als er minder plugins worden gebruikt. Dat is weer goed voor de vindbaarheid op Google. Snelle sites krijgen een hogere ranking.

Beveiliging van WordPress-admin

Als eerste meteen de login-URL voor WordPress wijzigen.

De standaard login URL voor WordPress is /wp-admin. Dat is natuurlijk waar hackers als eerste naar op zoek zijn. Met plugins zoals WPS Hide Login en Loginizer kunt u de URL wijzigen.

Een back-up maken van het dashboard met .htaccess

Als u wordt gehost op een Apache-server, wordt het aanbevolen om a.htaccessbescherming te gebruiken. Dit zal het voor hackers nog moeilijker maken om toegang te krijgen tot uw site. Vraag uw webmaster hiervoor om ondersteuning.

Beveiligingsplugins gebruiken

Er zijn tal van plug-ins waarmee je WordPress kunt beveiligen. Zoals iTheme Security, Sucuri, WordFence, Ninja Firewall. Belangrijk om te weten: Beveiligingsplug-ins slaan gewoonlijk de IP-adressen van de gebruikers op, dus je moet ze in je privacyverklaring en verwerkingsregister vermelden.

Maak back-ups!

In geval van nood – niet alleen in termen van hackeraanvallen, maar ook in termen van eigen fouten bij het beheer van WordPress, is het raadzaam om altijd een back-up klaar te hebben. Zo kun je in noodgevallen je installatie herstellen. Goede back-up plug-ins zijn BackWPUp of UpdraftPlus.

Dit artikel geeft een summier overzicht geven hoe je WordPress veiliger kunt maken. Voor vragen en suggesties kun je contact opnemen met ons: info@privacyzone.nl of 06-31995740.

AVG risico’s van WordPress sites uitsluiten? Lijst met veilige en onveilige WP plugins

WordPress is wereldwijd het meest gebruikte content management systeem (csm) voor websites. En daarom zijn websites die gebouwd zijn met WordPress een populair doelwit van cybercriminelen die jagen op persoonsgegevens die via WordPress plug-ins worden verzameld.

Organisaties met een site die op WordPress is gebaseerd lopen kortom meer risico gehacked te worden.

Daarnaast zijn er diverse ‘handige’ plugins die op de achtergrond in strijd met de Europese privacyregels informatie verzamelen. De eigenaar van de website is daarvoor verantwoordelijk.

Kun je dan maar beter geen gebruik kunt maken van WordPress?

Nee, geen zorgen. Zolang je weet wat je doet is er geen probleem.

Omdat WordPress zo populair is worden hacks ook sneller ontdekt. Lekken worden sneller gedicht. Het systeem wordt voortdurend doorontwikkeld. Wereldwijd is er een team van specialisten bezig om WordPress steeds beter aan te laten sluiten op de AVG.

De WordPress community heeft inmiddels een lijst met veilige en onveilige WordPress plug-ins uitgebracht. PrivacyZone.nl zet deze plugins op een rij.

Er zijn drie soorten WordPress plugins:

  • Groen => AVG-proof, kunnen zonder meer gebruikt worden
  • Oranje => Onveilig, maar mogelijk om door aanpassen van instellingen veilig te maken
  • Rood => Onveilig, voldoet niet aan AVG

 

1. Social Plugins

Bij social plugins die gebruikt worden om berichten op WordPress sites te delen via social media is het oppassen geblazen. Veel van deze plugins leveren een risico op.

Rood

AddThis / Instagram Feed / jQuery Pin It Button for Images / MashShare / Monarch / Share Icons Share Buttons / ShareThis / Social Locker

Oranje (veilig als de juiste instellingen worden ingesteld)

PixelYourSite / Fuse Social Floating Sidebar

Groen

Arqam Social Counter / Better click to Tweet / Blog2Social / Meks Smart Social Widget / NextScripts: Social Networks Auto-Poster / Open Graph for Facebook, Google+ and Twitter Card Tags / Social Count Plus

2. Veiligheidsplug-ins

Hoe veilig zijn WordPress plugins die zeggen dat ze WordPress veiliger maken? Kort antwoord: veilig! Als tenminste de instellingen op de juiste manier worden ingesteld. Er staat momenteel slechts een plugin op de zwarte lijst.

Rood

Google Captcha by BestWebSoft

Oranje (veilig als de juiste instellingen worden ingesteld)

All In One WP Security & Firewall / iThemes Security / Limit Login Attempts / Limit Login Attemps Reloaded / Login LockDown / NinjaFirewall / SpyderSpanker / WP Limit Login Attempts

Groen

BBQ (Block Bad Queries) / Sucuri Security

 

3. Anti-Spam Plugins

Anti-Spam-Plugins helpen om SPAM reacties op WordPress sites te voorkomen. Daarvoor wordt onder meer gebruik gemaakt van IP-adressen. Dat zijn persoonsgegevens. De meest gebruikte Anti-Spam-plugins kunnen zonder meer veilig gebruikt worden, maar dan moeten er na het installeren wel instellingen veranderd worden.

Rood

Geen anti-spam-plugins beschikbaar

Oranje (veilig als de juiste instellingen worden ingesteld)

Askimet / Antispam Bee / WPBruiser / WP-SpamShield

Rood

Er zijn geen onveilige anti-spam-plugins

4. Statistische plugins

Alle plugins die webmasters en marketeers helpen bij het analyseren van statistische gegevens over het bezoekgedrag van bezoekers van websites verwerken persoonsgegevens. Dat hoeft geen probleem te zijn. Er staat slechts een statistische plugin op de rode lijst. De meeste statistische plugins moeten wel op de juiste manier worden ingesteld om aan de AVG te voldoen.

Rood

FeedStats

Oranje (veilig als de juiste instellingen worden ingesteld)

Count per Day / Google Analytics Dashboard for WP / Google Analytics for WordPress by MonsterInsights / WP Statistics

Groen

Statify

5. Contactformulieren

Contactformulieren verzamelen contactgegevens en verlangen daarom extra aandacht. Maar als de contsctplugins zo ingericht worden dat bezoekers alleen persoonsgegevens kunnen invoeren als ze expliciet aangeven akkoord te gaan met de veerwerking van hun gegevens is er geen vuiltje aan de lucht.

Oranje (veilig als de juiste instellingen worden ingesteld)

Contact Form 7 / Contact Form by WPForms / Gravity Forms / Ninja Forms / Super Forms – Drag & Drop Form Builder

6. Reactie-plugins

Bij plugins die het mogelijk te maken onder artikelen een reactie achter te laten lopen websites het risico dat de plugin persoonsgegevens als IP-adressen en E-mailadressen deelt met de ontwikkelaar van de plugin. Dat mag niet.

Rood

Disqus Comment System / wpDiscuz

7. Membership-, Community- und Forum-Plugins

Om gebruik te kunnen maken van online fora moeten vaak persoonsgegevens als e-mailadressen, IP-adressen of zelfs betaalgegevens worden ingevoerd. Dat mag alleen als daar toestemming voor gevraagd is.

Oranje (veilig als de juiste instellingen worden ingesteld)

BuddyPress / Digimember / OptimizePress / Simple Press / Ultimate Member

8. Laadtijd- en Performance-Plugins

Er zijn momenteel geen laadtijd- of performance plugins bekend die persoonsgegevens verwerken.

9. SEO-Plugins

Bij SEO-Plugins worden IP-Adressen gebruikt voor redirection doeleinden. Bij alle plugins kan deze redirectfunctievuitgeschakeld worden.

10. Foto-, video- en media-Plugins

Bij deze plugins moeten opgepast worden bij WordPress sites. Er worden regelmatig problemen met de AVG gemeld.

Rood

Compress JPEG & PNG Images / EWWW Image Optimizer Cloud / Kraken.io Image Optimizer / ShortPixel Image Optimizer / WordPress File

Oranje (veilig als de juiste instellingen worden ingesteld)

NextGEN Gallery

Groen

Comet Cache / Enable Media Replace / EWWW Image Optimizer / Imsanity / Media Cleaner / Resize Image After Upload / Regenerate Thumbnails / Unite Gallery Lite

11. Design Plugins

Veel Design Plugins kunnen door het aanpassen van een paar instellingen AVG-proof gemaakt worden.

Groen

Genesis Columns Advanced / Mag Mega Menu / MaxButton / Popup Builder / Posts in Page / Shortcoder / WP-PageNavi

Oranje (veilig als de juiste instellingen worden ingesteld)

Elementor Page Builder / Page Builder by SiteOrigin / WP Bakery Page Bilder

Voldoet WordPress wel aan de GDPR? Hoe maakt u uw website privacyproof?

Wordpress is een van de meest gebruikte content management systemen (cms) ter wereld. Miljoenen websites en webshops zijn gebouwd met dit gratis open source systeem. Er zijn duizenden gratis en betaalde templates en plugins beschikbaar. Duizenden bronnen van potentiele privacy risico’s.

Voldoet WordPress eigenlijk wel aan de privacywet AVG / GDPR?

Hoe weet u of de templates of plugins die gebruikt worden in uw site geen potentieel datalek creeren? Hoe veilig zijn die WordPress templates en WordPress plugins eigenlijk?

WordPress zelf neemt GDPR zeer serieus en heeft een GDPR Compliance team opgezet. Dat team richt zich op verschillende belangrijke gebieden, waaronder:

  • Functionaliteit voor site-eigenaren om privacybeleid op hun sites te creëren
  • Richtlijnen die er voor moeten zorgen dat de WordPress plugins GDPR-conform zijn
  • Nieuwe administratiehulpmiddelen om naleving van de GDPR te vergemakkelijken
  • Documentatie om mensen op te voeden over privacy en de nieuwe tools die ze ter beschikking stellen.

GDPR Compliance Tools in WordPress

Het is verstandig om de GDPR compliancetag in WordPress in de gaten te houden. Die tag linkt naar actuele ontwikkelingen en discussies over tools voor het exporteren en verwijderen van persoonlijke gegevens, evenals documentatie voor ontwikkelaars en nog veel meer.

Belangrijkste aandachtspunten voor een website

Waar moet u als eigenaar van een WordPress website op letten om te achterhalen of uw site voldoet aan de eisen van de GDPR? We zetten de belangrijkste aandachtspunten op een rij:

  • Welke persoonsgegevens worden er door WordPress verzameld?
  • Welke persoonsgegevens worden er door afzonderlijke WordPress plugins verzameld? Waar worden die opgeslagen?
  • Worden er ook gegevens gedeeld met derden? Zijn daar verwerkingsovereenkomsten mee gesloten?
  • Wordt er consequent toestemming gevraagd voor verwerking van persoonsgegevens?
  • Wordt er bewust zorgvuldig omgegaan met persoonsgegevens?
  • Hoe worden de persoonsgegevens in WordPress bewaard?
  • Recht van toegang. Wie hebben er toegang tot de website? Waarvoor? Wat mogen zij zien?
  • Kunt u persoonsgegevens die zijn opgeslagen in WordPress desgewenst overdragen? Kunt u voldoen aan het recht op portabiliteit?
  • Hebt u een protocol om persoonsgegevens desgevraagd te kunnen verwijderen? En kunt u die gegevens ook eenvoudig verwijderen? Kunt u kortom voldoen aan het GDPR recht om te worden vergeten
  • Hoe is de bewaartermijn van persoonsgegevens geregeld? Is dat geautomtiseerd? Wie let er op dat persoonsgegevens niet langer dan strikt noodzakelijk worden opgeslagen in WordPress?
  • Hoe veilig is uw WordPress site? Wie is er verantwoordelijk voor beveiligingsupdates?
  • Is de provider waar u uw site gehost hebt wel betrouwbaar? Voldoet deze provider aan de eisen van de GDPR?
  • Bevindt de server waarop uw site wordt gehost zich in Europa?
  • Houdt u een rapportage bij over risicovolle situaties en overtredingen van de GDPR?

Laten we bovenstaande aandachtspunten een beetje verder uitsplitsen.

Verzameling van gegevens

Via onze websites verzamelen wij op allerlei manieren gegevens. Bijvoorbeeld door:

  • Call to action links en buttons
  • Affiliate leads
  • Cookies
  • Widgets
  • E-commerce
  • Enquêtes
  • Analytics
  • En meer…

Uit de lijst blijkt al dat we jarenlang waarschijnlijk zonder het bewust te beseffen persoonsgegevens aan het verzamelen en het verwerken zijn met WordPress.

Het is voor de GDPR absoluut noodzakelijk dat we duidelijke informatie geven over wat er wordt verzameld, en ervoor zorgen dat we toestemming hebben van de gebruiker om die gegevens te verzamelen.

Als we informatie verzamelen door middel van cookies, dan moet er in een Privacyverklaring op de site een duidelijke kennisgeving worden gedaan, en een uitsplitsing van wat er wordt verzameld moet worden verstrekt samen met duidelijke informatie over ons Privacybeleid.

Voorbeeld 1: affiliate leads

Stel dat u op uw site in blogartikelen affiliate links hebt staan waarmee u geld verdient? Uw verhalen inspireren bezoekers van uw websites tot het doen van een aankoop. Zij veronderstellen dat u geheel belangenloos tips geeft. Maar het is niet belangenloos. U moet dat dan duidelijk maken.

Hoe pakt u dat aan?Bijvoorbeeld door het verstrekken van een duidelijk opt in mededeling met duidelijke informatie of links naar uw privacybeleid waarin helder wordt geinformeerd welke persoonsgegevens van de bezoeker worden opgeslagen, waarom en hoe deze gegevens worden gedeeld met de affiliatedienst waarmee u zaken doet.

Hetzelfde geldt voor andere gegevens via formulieren en andere inputs. U moet duidelijk zijn hoe gegevens worden gebruikt en opgeslagen.

Voorbeeld 2: Cookies

Cookies kunnen persoonlijk identificeerbare informatie verzamelen. Het lijkt redelijk om te denken dat we goed te werk kunnen gaan zolang de naam van de persoon niet wordt verzameld, maar laten we eens kijken naar wat overweging 30 van de EU-GDPR-verordening hierover zegt:

(30) Natuurlijke personen kunnen worden geassocieerd met online-identificatiemiddelen die hun apparaten, toepassingen, instrumenten en protocollen, zoals internetprotocoladressen, cookie-identificatiemiddelen of andere identificatiemiddelen, zoals radiofrequentie-identificatietags, verschaffen.

Het is belangrijk dat u begrijpt wat elke cookie doet en opslaat, zodat u kunt:

  • Vaststellen of deze een PII (persoonlijk identificeerbare informatie) bevat
  • Duidelijke informatie aan de bezoeker van de WordPress website kunt geven
  • De cookie indien nodig kunt verwijderen of veranderen

Neem bijvoorbeeld de cookie van Google Analytics (GA) waarmee u het gedrag van bezoekers op uw website kunt analyseren. In zijn absolute basisinstelling is er geen identificeerbare informatie die linkt naar de bezoeker van de site. U dient er echter voor te zorgen dat u geen persoonlijke informatie doorgeeft via URL’s zoals deze zullen verschijnen in GA, en dat u geen persoonlijke informatie doorgeeft.

Verder moet u uw GA-configuratie bekijken. Legt u identificeerbare informatie vast over voltooide acties van bezoekers op uw website of gebruikt u een ID van uw website of e-mail als identificatiemiddel in uw rapporten, enz.

Laat een professionele audit doen

Wij raden u aan een volledige websiteaudit van uw website uit te voeren. Het is essentieel dat uw bedrijf begrijpt hoe uw website werkt, hoe het gegevens opslaat, enz.

Voer vervolgens met deze informatie de nodige compliance-acties uit en pas uw beleid aan om volledige GDPR transparantie te kunnen garanderen.

PrivacyZone biedt een GDPR website audit aan. PrivacyZone werkt daarvoor samen met WordPress en hostingspecialisten.

GDPR awareness

Zodra u hebt vastgesteld hoe uw site werkt, welke informatie wordt verzameld en hoe, is het van essentieel belang dat u een duidelijk beleid en redelijke gelegenheid voor individuen om te zien en toegang tot die documentatie voor hen om een weloverwogen beslissing te nemen.

Deze beleidsdocumenten moeten actueel worden gehouden. Als u nieuwe code, plugins of diensten op uw website introduceert, moet dit in uw documentatie tot uiting komen.

GDPR WordPress plugins

Volgens de privacywet GDPR mogen gegevens niet langer worden bewaard dan nodig is. Persoonsgegevens moeten veilig worden opgeslagen. De verzamelde informatie moet relevant zijn en alleen dienen voor het doel waarvoor zij is bestemd.

Positief is dat dit natuurlijk kan leiden tot betere conversies op formulieren, omdat het u dwingt serieus na te denken over welke informatie u vraagt.

Maar hoe zit dat met de WordPress plugins die u gebruikt? Voldoen die ook aan de GDPR eisen?

Recht van toegang / portabiliteit

Mensen hebben recht op toegang tot persoonlijke en andere aan hen gerelateerde informatie die u op opslaat. Dit geeft hen ook transparantie en stelt hen in staat de rechtmatigheid van de verwerking te controleren.

U dient op uw website bezoekers op hun rechten te wijzen. En u moet een protocol hebben waarin is beschreven hoe u bezoekers gaat helpen als zij om inzage van hun gegevens vragen.

In standaard gevallen mag u geen kosten in rekening brengen voor toegang tot deze informatie.

De gegevens die u verstrekt moeten overdraagbaar zijn, zodat de webbezoeker deze zelf kan gebruiken en eventueel kan importeren in zijn eigen systeem of dat van een andere derde. Daarom moet het in een “machineleesbaar” formaat worden geleverd. Bijvoorbeeld een CSV-bestand.

Recht om te worden vergeten

Op grond van artikel 17 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen het “recht om te worden vergeten”. Er zijn voorbehouden. Zoals altijd hebben justitie en de belastingdienst bijvoorbeeld meer rechten. De bewaartermijn voor administratieve gegevens uit uw webshop is in verband met eisen van de fiscus bijvoorbeeld 7 jaar.

Maar dat geldt niet voor de volgende gegevens:

  • Gegevens gebruikt voor marketing
  • Gegevens waarvoor hun toestemming vereist was
  • Gegevens die u onrechtmatig hebt verzameld
  • Gegevens die niet langer nodig zijn

Termijn van bewaring van gegevens

Hoe zit het dan, de uitzonderingen daargelaten, met de bewaartermijn van gegevens? De GDPR stelt geen tijdslimieten aan het bewaren van persoonsgegevens. De privacywet bepaalt echter wel dat persoonsgegevens niet mogen worden bewaard voor andere dan de vereiste doeleinden.

De gegevens moeten regelmatig opnieuw worden bekeken en informatie die niet langer relevant wordt geacht, moet veilig worden verwijderd of geactualiseerd.

Dit kan door middel van een intern beleid dat u regelmatig naleeft, of kan worden geautomatiseerd als er duidelijk gedefinieerde parameters zijn over hoe lang bepaalde informatie nodig is.

Veilige hosting

De GDPR stelt dat iedere organisatie moet kunnen aantonen op een zorgvuldige en veilige manier met persoonsgegevens om te gaan. De hosting van uw website is daarbij van groot belang.

Uw WordPress website moet voldoen aan de industrienormen voor veiligheid. Dit omvat (maar is niet beperkt tot):

  • SSL-certificaat (beveiligde verbindingen), herkenbaar aan https-webadres
  • Geactualiseerde en onderhouden website code
  • Geactualiseerde server
  • Bescherming tegen firewall
  • Corrigeer de instellingen voor bestandsmachtiging
  • Wachtwoordbeleid
  • Versleuteling van gegevens
  • Audit logs
  • Versleutelde back-ups

In de wereld van WordPress zijn er geweldige plugins om aan veel van de GDPR-eisen te voldoen. Evenals de steun van het WordPress-team dat GDPR zeer serieus neemt.

De meeste gerenommeerde website hostingproviders nemen ook maatregelen om websites te helpen beschermen en GDPR-compliant te zijn.

Stel u op de hoogte of uw provider ook betrouwbaar is. Vraag naar het privacybeleid. En naar een verwerkingsovereenkomst.

Rapportage van overtredingen

In geval van een datalek eist GDPR dat u de betrokken toezichthouder binnen de 72 uur nadat u van een dergelijke datalek op de hoogte bent gebracht, op de hoogte brengt.

Er zijn enkele gedetailleerde richtlijnen op de website van de Autoriteit Persoonsgegevens (AP) die meer informatie geven over wanneer u mensen die getroffen worden door een datalek op uw website moet informeren. Op de website van de AP staat een duidelijke checklist.

De volgende stappen

Of u nu WordPress websites bouwt, of op zoek bent om uw eigen website GDPR-compliant te maken, het is essentieel dat u uw WordPress site of webshop zorgvuldig analyseert en de nodige actie onderneemt.

Gezien het potentieel van een boete van 4% van de wereldwijde omzet voor een datalek, is verstandig om niet te lichtzinnig met de veiligheid van uw website en uw bezoekers of klanten om te gaan. Los van de eventuele (forse) boetes is het zakelijk natuurlijk sowieso verstandig om zorgvuldig om met de informatie die u wordt toevertrouwt door uw klanten om te gaan. Het is beter ons publiek, onze klanten en onze medewerkers te respecteren en te beschermen.

Respect tonen voor hun informatie helpt om vertrouwen op te bouwen in u en uw merk en laat zien dat u een geloofwaardig bedrijf bent dat zijn doet wat nodig is om degenen die u dient te beschermen.

Amateursites lopen GDPR risico

Uit ervaring weet ik dat de meeste ondernemers die dit artikel lezen zich nu afvragen hoe ze alle tips zorgvuldig kunnen toepassen. Website bouwen is een vak. Met de GDPR is het risicovol om de website voor weinig geld (zwart?) te laten bouwen door de handige buurjongen, een vriend of een vage kennis die u via via hebt leren kennen. Uiteindelijk bent u als eigenaar van de site hoofdelij aansprakelijk voor wetsovertredingen.

Als u zich overweldigd voelt door alles, raden we u aan de dingen stap voor stap te doen.

Gebruik de PrivacyZone GDPR WordPress checklist:

  • Controleer uw WordPress website
  • Analyseer welke persoonsgegevens er worden verzameld door uw WordPress website
  • Maak een lijst van welke gegevens worden vastgelegd en hoe, en of deze onder PII (persoonlijk identificeerbare informatie) vallen
  • Documenteer dit als onderdeel van uw privacybeleidsdocumentatie. Dat kunt u overigens doen in een eenvoudige spreadsheet
  • Maak een lijst van plugins of functies die PII blootstellen die gecorrigeerd moeten worden en neem contact op met een ontwikkelaar of de plugin auteur.
  • Zorg ervoor dat u een plan hebt gemaakt om gegevens op verzoek te verstrekken (handmatig of geautomatiseerd).
  • Zorg ervoor dat u een duidelijke manier hebt om alle informatie over een gebruiker te verwijderen indien daarom wordt gevraagd.
  • Zorg ervoor dat u de gevraagde gegevens in een CSV-bestand kunt invoeren.
  • Controleer de beveiliging van uw site

We hebben een zorgplicht naar onze klanten en degenen met wie we te maken hebben, dus is het essentieel dat we ons op de hoogte stellen van de belangrijkste onderdelen van GDPR en de nodige actie ondernemen.

Het bereiken van GDPR-compliance begint bij het begrijpen wat u hebt, en het invoeren van functionaliteit of procedures om de GDPR-regels na te leven.

Hebt u vragen over GDPR en WordPress? Schroom niet om contact met PrivacyZone op te nemen.

We bieden een GDPR website audit aan voor bedrijfseigenaren en -agentschappen die moeten begrijpen hoe hun website werkt en informatie in meer detail moeten opslaan.

Contact met een specialist nodig?

4 + 9 =