Wordpress is een van de meest gebruikte content management systemen (cms) ter wereld. Miljoenen websites en webshops zijn gebouwd met dit gratis open source systeem. Er zijn duizenden gratis en betaalde templates en plugins beschikbaar. Duizenden bronnen van potentiele privacy risico’s.
Voldoet WordPress eigenlijk wel aan de privacywet AVG / GDPR?
Hoe weet u of de templates of plugins die gebruikt worden in uw site geen potentieel datalek creeren? Hoe veilig zijn die WordPress templates en WordPress plugins eigenlijk?
WordPress zelf neemt GDPR zeer serieus en heeft een GDPR Compliance team opgezet. Dat team richt zich op verschillende belangrijke gebieden, waaronder:
- Functionaliteit voor site-eigenaren om privacybeleid op hun sites te creëren
- Richtlijnen die er voor moeten zorgen dat de WordPress plugins GDPR-conform zijn
- Nieuwe administratiehulpmiddelen om naleving van de GDPR te vergemakkelijken
- Documentatie om mensen op te voeden over privacy en de nieuwe tools die ze ter beschikking stellen.
GDPR Compliance Tools in WordPress
Het is verstandig om de GDPR compliancetag in WordPress in de gaten te houden. Die tag linkt naar actuele ontwikkelingen en discussies over tools voor het exporteren en verwijderen van persoonlijke gegevens, evenals documentatie voor ontwikkelaars en nog veel meer.
Belangrijkste aandachtspunten voor een website
Waar moet u als eigenaar van een WordPress website op letten om te achterhalen of uw site voldoet aan de eisen van de GDPR? We zetten de belangrijkste aandachtspunten op een rij:
- Welke persoonsgegevens worden er door WordPress verzameld?
- Welke persoonsgegevens worden er door afzonderlijke WordPress plugins verzameld? Waar worden die opgeslagen?
- Worden er ook gegevens gedeeld met derden? Zijn daar verwerkingsovereenkomsten mee gesloten?
- Wordt er consequent toestemming gevraagd voor verwerking van persoonsgegevens?
- Wordt er bewust zorgvuldig omgegaan met persoonsgegevens?
- Hoe worden de persoonsgegevens in WordPress bewaard?
- Recht van toegang. Wie hebben er toegang tot de website? Waarvoor? Wat mogen zij zien?
- Kunt u persoonsgegevens die zijn opgeslagen in WordPress desgewenst overdragen? Kunt u voldoen aan het recht op portabiliteit?
- Hebt u een protocol om persoonsgegevens desgevraagd te kunnen verwijderen? En kunt u die gegevens ook eenvoudig verwijderen? Kunt u kortom voldoen aan het GDPR recht om te worden vergeten
- Hoe is de bewaartermijn van persoonsgegevens geregeld? Is dat geautomtiseerd? Wie let er op dat persoonsgegevens niet langer dan strikt noodzakelijk worden opgeslagen in WordPress?
- Hoe veilig is uw WordPress site? Wie is er verantwoordelijk voor beveiligingsupdates?
- Is de provider waar u uw site gehost hebt wel betrouwbaar? Voldoet deze provider aan de eisen van de GDPR?
- Bevindt de server waarop uw site wordt gehost zich in Europa?
- Houdt u een rapportage bij over risicovolle situaties en overtredingen van de GDPR?
Laten we bovenstaande aandachtspunten een beetje verder uitsplitsen.
Verzameling van gegevens
Via onze websites verzamelen wij op allerlei manieren gegevens. Bijvoorbeeld door:
- Call to action links en buttons
- Affiliate leads
- Cookies
- Widgets
- E-commerce
- Enquêtes
- Analytics
- En meer…
Uit de lijst blijkt al dat we jarenlang waarschijnlijk zonder het bewust te beseffen persoonsgegevens aan het verzamelen en het verwerken zijn met WordPress.
Het is voor de GDPR absoluut noodzakelijk dat we duidelijke informatie geven over wat er wordt verzameld, en ervoor zorgen dat we toestemming hebben van de gebruiker om die gegevens te verzamelen.
Als we informatie verzamelen door middel van cookies, dan moet er in een Privacyverklaring op de site een duidelijke kennisgeving worden gedaan, en een uitsplitsing van wat er wordt verzameld moet worden verstrekt samen met duidelijke informatie over ons Privacybeleid.
Voorbeeld 1: affiliate leads
Stel dat u op uw site in blogartikelen affiliate links hebt staan waarmee u geld verdient? Uw verhalen inspireren bezoekers van uw websites tot het doen van een aankoop. Zij veronderstellen dat u geheel belangenloos tips geeft. Maar het is niet belangenloos. U moet dat dan duidelijk maken.
Hoe pakt u dat aan?Bijvoorbeeld door het verstrekken van een duidelijk opt in mededeling met duidelijke informatie of links naar uw privacybeleid waarin helder wordt geinformeerd welke persoonsgegevens van de bezoeker worden opgeslagen, waarom en hoe deze gegevens worden gedeeld met de affiliatedienst waarmee u zaken doet.
Hetzelfde geldt voor andere gegevens via formulieren en andere inputs. U moet duidelijk zijn hoe gegevens worden gebruikt en opgeslagen.
Voorbeeld 2: Cookies
Cookies kunnen persoonlijk identificeerbare informatie verzamelen. Het lijkt redelijk om te denken dat we goed te werk kunnen gaan zolang de naam van de persoon niet wordt verzameld, maar laten we eens kijken naar wat overweging 30 van de EU-GDPR-verordening hierover zegt:
(30) Natuurlijke personen kunnen worden geassocieerd met online-identificatiemiddelen die hun apparaten, toepassingen, instrumenten en protocollen, zoals internetprotocoladressen, cookie-identificatiemiddelen of andere identificatiemiddelen, zoals radiofrequentie-identificatietags, verschaffen.
Het is belangrijk dat u begrijpt wat elke cookie doet en opslaat, zodat u kunt:
- Vaststellen of deze een PII (persoonlijk identificeerbare informatie) bevat
- Duidelijke informatie aan de bezoeker van de WordPress website kunt geven
- De cookie indien nodig kunt verwijderen of veranderen
Neem bijvoorbeeld de cookie van Google Analytics (GA) waarmee u het gedrag van bezoekers op uw website kunt analyseren. In zijn absolute basisinstelling is er geen identificeerbare informatie die linkt naar de bezoeker van de site. U dient er echter voor te zorgen dat u geen persoonlijke informatie doorgeeft via URL’s zoals deze zullen verschijnen in GA, en dat u geen persoonlijke informatie doorgeeft.
Verder moet u uw GA-configuratie bekijken. Legt u identificeerbare informatie vast over voltooide acties van bezoekers op uw website of gebruikt u een ID van uw website of e-mail als identificatiemiddel in uw rapporten, enz.
Laat een professionele audit doen
Wij raden u aan een volledige websiteaudit van uw website uit te voeren. Het is essentieel dat uw bedrijf begrijpt hoe uw website werkt, hoe het gegevens opslaat, enz.
Voer vervolgens met deze informatie de nodige compliance-acties uit en pas uw beleid aan om volledige GDPR transparantie te kunnen garanderen.
PrivacyZone biedt een GDPR website audit aan. PrivacyZone werkt daarvoor samen met WordPress en hostingspecialisten.
GDPR awareness
Zodra u hebt vastgesteld hoe uw site werkt, welke informatie wordt verzameld en hoe, is het van essentieel belang dat u een duidelijk beleid en redelijke gelegenheid voor individuen om te zien en toegang tot die documentatie voor hen om een weloverwogen beslissing te nemen.
Deze beleidsdocumenten moeten actueel worden gehouden. Als u nieuwe code, plugins of diensten op uw website introduceert, moet dit in uw documentatie tot uiting komen.
GDPR WordPress plugins
Volgens de privacywet GDPR mogen gegevens niet langer worden bewaard dan nodig is. Persoonsgegevens moeten veilig worden opgeslagen. De verzamelde informatie moet relevant zijn en alleen dienen voor het doel waarvoor zij is bestemd.
Positief is dat dit natuurlijk kan leiden tot betere conversies op formulieren, omdat het u dwingt serieus na te denken over welke informatie u vraagt.
Maar hoe zit dat met de WordPress plugins die u gebruikt? Voldoen die ook aan de GDPR eisen?
Recht van toegang / portabiliteit
Mensen hebben recht op toegang tot persoonlijke en andere aan hen gerelateerde informatie die u op opslaat. Dit geeft hen ook transparantie en stelt hen in staat de rechtmatigheid van de verwerking te controleren.
U dient op uw website bezoekers op hun rechten te wijzen. En u moet een protocol hebben waarin is beschreven hoe u bezoekers gaat helpen als zij om inzage van hun gegevens vragen.
In standaard gevallen mag u geen kosten in rekening brengen voor toegang tot deze informatie.
De gegevens die u verstrekt moeten overdraagbaar zijn, zodat de webbezoeker deze zelf kan gebruiken en eventueel kan importeren in zijn eigen systeem of dat van een andere derde. Daarom moet het in een “machineleesbaar” formaat worden geleverd. Bijvoorbeeld een CSV-bestand.
Recht om te worden vergeten
Op grond van artikel 17 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen het “recht om te worden vergeten”. Er zijn voorbehouden. Zoals altijd hebben justitie en de belastingdienst bijvoorbeeld meer rechten. De bewaartermijn voor administratieve gegevens uit uw webshop is in verband met eisen van de fiscus bijvoorbeeld 7 jaar.
Maar dat geldt niet voor de volgende gegevens:
- Gegevens gebruikt voor marketing
- Gegevens waarvoor hun toestemming vereist was
- Gegevens die u onrechtmatig hebt verzameld
- Gegevens die niet langer nodig zijn
Termijn van bewaring van gegevens
Hoe zit het dan, de uitzonderingen daargelaten, met de bewaartermijn van gegevens? De GDPR stelt geen tijdslimieten aan het bewaren van persoonsgegevens. De privacywet bepaalt echter wel dat persoonsgegevens niet mogen worden bewaard voor andere dan de vereiste doeleinden.
De gegevens moeten regelmatig opnieuw worden bekeken en informatie die niet langer relevant wordt geacht, moet veilig worden verwijderd of geactualiseerd.
Dit kan door middel van een intern beleid dat u regelmatig naleeft, of kan worden geautomatiseerd als er duidelijk gedefinieerde parameters zijn over hoe lang bepaalde informatie nodig is.
Veilige hosting
De GDPR stelt dat iedere organisatie moet kunnen aantonen op een zorgvuldige en veilige manier met persoonsgegevens om te gaan. De hosting van uw website is daarbij van groot belang.
Uw WordPress website moet voldoen aan de industrienormen voor veiligheid. Dit omvat (maar is niet beperkt tot):
- SSL-certificaat (beveiligde verbindingen), herkenbaar aan https-webadres
- Geactualiseerde en onderhouden website code
- Geactualiseerde server
- Bescherming tegen firewall
- Corrigeer de instellingen voor bestandsmachtiging
- Wachtwoordbeleid
- Versleuteling van gegevens
- Audit logs
- Versleutelde back-ups
In de wereld van WordPress zijn er geweldige plugins om aan veel van de GDPR-eisen te voldoen. Evenals de steun van het WordPress-team dat GDPR zeer serieus neemt.
De meeste gerenommeerde website hostingproviders nemen ook maatregelen om websites te helpen beschermen en GDPR-compliant te zijn.
Stel u op de hoogte of uw provider ook betrouwbaar is. Vraag naar het privacybeleid. En naar een verwerkingsovereenkomst.
Rapportage van overtredingen
In geval van een datalek eist GDPR dat u de betrokken toezichthouder binnen de 72 uur nadat u van een dergelijke datalek op de hoogte bent gebracht, op de hoogte brengt.
Er zijn enkele gedetailleerde richtlijnen op de website van de Autoriteit Persoonsgegevens (AP) die meer informatie geven over wanneer u mensen die getroffen worden door een datalek op uw website moet informeren. Op de website van de AP staat een duidelijke checklist.
De volgende stappen
Of u nu WordPress websites bouwt, of op zoek bent om uw eigen website GDPR-compliant te maken, het is essentieel dat u uw WordPress site of webshop zorgvuldig analyseert en de nodige actie onderneemt.
Gezien het potentieel van een boete van 4% van de wereldwijde omzet voor een datalek, is verstandig om niet te lichtzinnig met de veiligheid van uw website en uw bezoekers of klanten om te gaan. Los van de eventuele (forse) boetes is het zakelijk natuurlijk sowieso verstandig om zorgvuldig om met de informatie die u wordt toevertrouwt door uw klanten om te gaan. Het is beter ons publiek, onze klanten en onze medewerkers te respecteren en te beschermen.
Respect tonen voor hun informatie helpt om vertrouwen op te bouwen in u en uw merk en laat zien dat u een geloofwaardig bedrijf bent dat zijn doet wat nodig is om degenen die u dient te beschermen.
Amateursites lopen GDPR risico
Uit ervaring weet ik dat de meeste ondernemers die dit artikel lezen zich nu afvragen hoe ze alle tips zorgvuldig kunnen toepassen. Website bouwen is een vak. Met de GDPR is het risicovol om de website voor weinig geld (zwart?) te laten bouwen door de handige buurjongen, een vriend of een vage kennis die u via via hebt leren kennen. Uiteindelijk bent u als eigenaar van de site hoofdelij aansprakelijk voor wetsovertredingen.
Als u zich overweldigd voelt door alles, raden we u aan de dingen stap voor stap te doen.
Gebruik de PrivacyZone GDPR WordPress checklist:
- Controleer uw WordPress website
- Analyseer welke persoonsgegevens er worden verzameld door uw WordPress website
- Maak een lijst van welke gegevens worden vastgelegd en hoe, en of deze onder PII (persoonlijk identificeerbare informatie) vallen
- Documenteer dit als onderdeel van uw privacybeleidsdocumentatie. Dat kunt u overigens doen in een eenvoudige spreadsheet
- Maak een lijst van plugins of functies die PII blootstellen die gecorrigeerd moeten worden en neem contact op met een ontwikkelaar of de plugin auteur.
- Zorg ervoor dat u een plan hebt gemaakt om gegevens op verzoek te verstrekken (handmatig of geautomatiseerd).
- Zorg ervoor dat u een duidelijke manier hebt om alle informatie over een gebruiker te verwijderen indien daarom wordt gevraagd.
- Zorg ervoor dat u de gevraagde gegevens in een CSV-bestand kunt invoeren.
- Controleer de beveiliging van uw site
We hebben een zorgplicht naar onze klanten en degenen met wie we te maken hebben, dus is het essentieel dat we ons op de hoogte stellen van de belangrijkste onderdelen van GDPR en de nodige actie ondernemen.
Het bereiken van GDPR-compliance begint bij het begrijpen wat u hebt, en het invoeren van functionaliteit of procedures om de GDPR-regels na te leven.
Hebt u vragen over GDPR en WordPress? Schroom niet om contact met PrivacyZone op te nemen.
We bieden een GDPR website audit aan voor bedrijfseigenaren en -agentschappen die moeten begrijpen hoe hun website werkt en informatie in meer detail moeten opslaan.