WordPress en de GDPR: wat je moet weten

Op 25 mei van dit jaar, twee dagen vóór de vijftiende verjaardag van WordPress, zal een nieuwe Europese wet van kracht gaan: de GDPR (General Data Protection Regulation). Dit is een nieuwe wet waarmee natuurlijke personen beschermd worden op het gebied van persoonsgegevens van EU-burgers.

Websites en de organisaties achter die websites moeten voldoen aan deze Algemene Verordering Gegevensbescherming (AVG), zoals de GDPR in het Nederlands heet. In dit artikel proberen we uit te leggen wat de gevolgen van deze wet zijn voor jou als website-eigenaar.

Wat is de GDPR / AVG?

De algemene verordening gegevensbescherming (AVG) vervangt de inmiddels verouderde databeschermingsrichtlijn uit 1995. Die oude richtlijn sluit niet (meer) aan op het huidige landschap, waarin vrijwel alles digitaal geregeld wordt. De AVG is in mei 2016 in werking getreden, maar websites en organisaties krijgen tot 25 mei 2018 de tijd om volledig “in lijn” te zijn met deze nieuwe wet. Vanaf 25 mei 2018 mag iedereen organisaties aanspreken op hun naleving van de GDPR.

De maximale boete voor een overtreding van deze nieuwe richtlijn zal 20 miljoen euro óf 4 procent van de (wereldwijde) jaaromzet bedragen. Het hoogste bedrag is hierbij geldend. Als eigenaar van een website moet je de GDPR dan ook uiterst serieus nemen. Je komt niet zomaar weg met een boete van 4 procent van je omzet, de boete kan namelijk oplopen tot 20 miljoen euro.

In hoeverre de GDPR zal worden nageleefd en hoe streng er – zeker in het begin – op zal worden gecontroleerd is nog niet helemaal duidelijk. Wij kiezen er zelf echter voor om er aan te voldoen en raden dit ook aan aan iedereen die een website heeft, óók als je geen bedrijf hebt.

Principes van de GDPR

De GDPR bestaat uit een aantal principes die ik hierbeneden zal toelichten.

Transparantie

Transparantie is hierbij één van de belangrijkste principes. Iedere persoon waarvan de gegevens verwerkt worden, dient hiervan op de hoogte te zijn en dient toestemming te hebben gegeven voor de verwerking van zijn/haar persoonsgegevens.

Voorbeeld: Een bezoeker neemt contact met je op via jouw contactformulier. Je dient de bezoeker dan duidelijk op de hoogte te brengen van de gegevens die worden verzameld en waarom je deze gegevens verzamelt.

Doelbeperking

Dit houdt in dat persoonsgegevens alléén verzameld mogen worden voor een welbepaald doel. Je mag deze persoonsgegevens dus niet voor andere zaken gebruiken.

Voorbeeld: Wanneer iemand een reactie plaatst onder een artikel op jouw WordPress-website, mag je zijn/haar e-mailadres vervolgens niet zomaar aan jouw mailinglijst toevoegen zonder hiervoor expliciet toestemming te hebben van deze bezoeker.

Gegevensbeperking

Je mag als bedrijf of als website niet méér gegevens verzamelen dan strikt noodzakelijk voor het beoogde doel.

Voorbeeld: Voor het achterlaten van een reactie op jouw website hoeft een bezoeker niet zijn/haar telefoonnummer of NAW-gegevens achter te laten.

Juistheid

De persoonsgegevens moeten juist zijn en blijven.

Voorbeeld: Je mag het e-mailadres dat iemand gebruikt voor zijn/haar account op jouw website niet zomaar aanpassen.

Bewaarbeperking

De persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het beoogde doel.

Voorbeeld: Je mag de verzamelde gegevens niet voor altijd bewaren als dit niet noodzakelijk is. 

Integriteit en vertrouwelijkheid

De verzamelde persoonsgegevens moeten voldoende beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.

Voorbeeld: Jouw e-mailaccounts, maar ook bijvoorbeeld je MySQL-database moeten voldoende beveiligd zijn tegen hackers of inbrekers.

Verantwoording

De “verantwoordelijke” (het bedrijf of organisatie) moet kunnen aantonen dat men aan deze regels voldoet. Daarnaast ben je verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als het lek ook risico’s meebrengt voor de rechten en vrijheid van de betrokkenen, dien je die ook direct op de hoogte te brengen.

Voorbeeld: Een bezoeker vraagt hoe jij als website-eigenaar met zijn/haar gegevens omgaat. Je dient dan te kunnen aantonen dat je aan de regels van de AVG voldoet.

Praktische tips voor je WordPress-website

Omdat je waarschijnlijk wilt weten wat deze wet inhoudt voor jou als website-eigenaar, hebben we een aantal praktische tips op een rijtje gezet.

1 – Zorg dat je wéét wat persoonsgegevens zijn

Om persoonsgegevens goed te kunnen beschermen, moet je natuurlijk weten welke gegevens volgens de nieuwe wet als “privacy-gevoelig” gelden. Persoonsgegevens zijn eigenlijk alle gegevens waarmee je een persoon kunt “herkennen”. Voorbeeld:

• Adresgegevens
• E-mailadres
• Naam
• Locatie-gegevens
• IP-adressen

Dit zijn gegevens die je vanaf 25 mei 2018 niet meer zomaar mag verzamelen zonder toestemming. Bedrijfsinformatie (naam, e-mail of postadres) valt niet onder persoonsgegevens. De bovenstaande persoonsgegevens zijn de standaard persoonsgegevens waaraan iemand herkend kan worden. Daarnaast is er nog een categorie voor extra gevoelige persoonsgegevens, zoals BSN, ras, medische informatie, seksuele, religieuze en politieke voorkeur. Gegevens uit deze categorie moeten extra goed beveiligd worden.

2 – Welke rechten hebben jouw gebruikers?

Dankzij de GDPR hebben internet-gebruikers straks een stuk meer rechten dan voorheen:

Informeren, toestemming en/of weigering

Personen dienen geïnformeerd te worden voordat hun gegevens verzameld worden en moeten hier expliciet toestemming voor hebben gegeven. Laat een bezoeker een reactie achter en heb je een extra “checkbox” toegevoegd waarmee de bezoeker zich voor je nieuwsbrief kan aanmelden? Deze checkbox mag niet standaard aangevinkt zijn. Gebruikers hebben bovendien het recht om te alle tijden hun toestemming voor het verzamelen van gegevens in te trekken, bijvoorbeeld door zich af te melden of door cookie-instellingen aan te passen.

Toegang tot gegevens

Gebruikers mogen de gegevens die je verzamelt bij jou opvragen. Binnen één maand na deze aanvraag dien je de gegevens te kunnen overhandigen. Je mag hiervoor geen kosten in rekening brengen. Ook moeten de gegevens op een manier verschaft worden die het makkelijk maakt om ze in te zien, zoal bijvoorbeeld een Excel-sheet of Word-bestand.

Verwijderen of aanpassen van gegevens

Je gebruikers hebben het recht om foutieve informatie te laten aanpassen of om je te vragen om hun gegevens niet meer aan te passen. Ook heeft iedere persoon het recht om zijn of haar gegevens volledig te laten verwijderen (het ‘recht om vergeten te worden’).

3 – Google Analytics

Gebruik je – net als bijna iedereen – Google Analytics op je WordPress-website? Om te voorkomen dat dit wordt aangemerkt als het verzamelen van persoonsgegevens moet je IP-adressen anonimiseren. Lees daar meer over: stuur geen IP-adressen mee. Wanneer je met Google Analytics geen IP-adressen verzamelt hoef je in principe geen toestemming te vragen voor het “tracken” van je bezoekers. Wel is het netjes om ze op de hoogte te brengen van het feit dat je Google Analytics gebruikt.

4 – Contactformulieren en reacties

Bij een contactformulier op je WordPress-website is het belangrijk dat je alléén de strikt noodzakelijke informatie van je gebruikers verzamelt. Daarnaast moet het voor je bezoeker 100 procent duidelijk zijn welke informatie je verzamelt. Ook mag je geen checkboxes standaard “aanvinken” (bijvoorbeeld voor het aanmelden voor je nieuwsbrief).

Voor het achterlaten van reacties op je WordPress-website geldt hetzelfde. Bovendien moeten gebruikers ten alle tijden hun eigen reacties kunnen verwijderen of een verzoek kunnen plaatsen om hun reacties te (laten) verwijderen. Om dit te automatiseren kun je een plugin gebruiken zoals Delete Me.

5 – Maak uitsluitend gebruik van een beveiligde verbinding

Zorg dat jouw website en CMS (WordPress) alléén bereikbaar zijn via HTTPS. Een SSL-certificaat voegt encryptie toe aan de gegevens die op jouw website worden verzameld en beveiligt gegevens beter dan HTTP. Een bijkomend voordeel is dat Google websites met een SSL-certificaat beloont met hogere posities in Google.

Lees ook: WordPress & HTTPS

Checklist en plugins

Onze collega’s van Sowmedia hebben een handige checklist gemaakt om te controleren of jouw WordPress-website voldoet aan de AVG. Bekijk deze checklist via deze link. Daarnaast zijn er verschillende handige plugins om je website aan de GDPR te laten voldoen.

Complianz (vanaf €99)

Complianz is een plugin die je website binnen een aantal simpele stappen GDPR-proof maakt. Je ontvangt verschillende documenten, zoals verwerkersovereenkomsten, een disclaimer, privacy policy, cookie-policy en -melding en een data lek initiator. De juridische documenten in deze plugin zijn allemaal opgemaakt door het juridisch adviesbureau ICT Recht, experts op dit gebied.

GDPR Consent (€39)

De GDPR Consent plugin is gemaakt door Nederlandse WordPress-agency Sowmedia. Je gebruikers kunnen per categorie toestemming geven voor het verzamelen van persoonsgegevens. Op basis van hun selectie kun je bepaalde plugins of scripts op je website activeren of deactiveren. Erg handig!

Delete Me (gratis)

We noemden de plugin Delete Me eerder in dit artikel. Met deze plugin geef je gebruikers makkelijk de kans om zichzelf volledig van jouw website te verwijderen. Alle content van een gebruiker wordt dan verwijderd (reacties, berichten en andere content).

WP GDPR (gratis)

De plugin WP GDPR is een open source plugin die je helpt bij het toegankelijk maken van persoonlijke data voor je bezoekers. Je bezoekers hebben bij deze plugin géén account nodig om hun data te kunnen inzien. Alles werkt met unieke links en op basis van e-mailadressen. WP GDPR heeft integratie met allerlei veel gebruikte plugins zoals Gravity Forms, Contact Form DB7 en WooCommerce. Hier wordt binnenkort ook MailChimp aan toegevoegd.

WP GDPR Compliance (gratis)

Het Nederlandse WordPress-bureau Van Ons heeft ook een GDPR-plugin ontwikkeld.

Welke maatregelen neem jij om je WordPress-website aan de GDPR te laten voldoen? Laat een reactie achter! We willen zoveel mogelijk informatie over de GDPR verzamelen zodat we elkaar nog beter kunnen helpen om op tijd aan deze wet te voldoen.

Beoordeel dit artikel