Wordpress en AVG
Een open source systeem als Wordpress of Drupal kan onschuldig lijken als het aankomt op de AVG wetgeving, maar is het zeker niet. Juist het grote voordeel, is binnen de AVG wetgeving en bescherming van persoonsgegevens, tegelijkertijd reden voor aandacht: plugins.
Zeker als niet-technisch webbureau dat Wordpress websites levert, kan de afwezigheid van technische kennis als gevolg hebben dat er onvoldoende kennis of grip is op de gevolgen van de AVG op Wordpress of open source in het algemeen. Ook kan het als gevolg hebben dat AVG euvels minder goed te tackelen.
Wordpress aandachtspunten onder de AVG
De nadelen en dus zaken waar extra aandacht naar uit moet gaan in het kader van de AVG, kunnen als volgt zijn:
- Actueel houden van Wordpress is van belang, door zelf updates te doen of (automatisch) laten doen;
- plugins en/of updates binnen Wordpress kunnen tegelijkertijd roet in het eten gooien, een website waarvan ineens niet alle pagina's voorzien zijn van (geldige) https verbinding is geen uniek voorval binnen systemen als Wordpress;
- Google Analytics kunnen incorrect geanonimiseerd worden door Wordpress plugins, bijvoorbeeld door verkeerd knip & plak werk, of doordat een andere plugin conflicteert of wellicht een extra code invoegt die niet geanonimiseerd wordt;
- Cookies kunnen vroegtijdig geplaatst worden, wellicht zelfs wanneer er een cookie consent aanwezig is. De zoektocht naar een goede cookie consent voor websites blijkt een crime op zichzelf;
- Wordpress plugins die geografische data achterhaalt en/of doorstuurt;
- Plugins van Wordpress plugin bouwers, die op hun beurt gebruik maken van third-party NPM packages waar ze niet bekend mee zijn;
- Wordpress plugins kunnen zelf data verzamelen en opslaan, al dan niet intern. Denk aan de Wordpress plugin Gravity Forms. Dit maakt een website houder AVG verwerker.
Meer aandachtspunten voor AVG en Wordpress, of meer achtergrond informatie? Lees dan vooral verder op onderstaande artikelen.
Wordpress AVG checklist Website audit
Wordpress website ineens niet meer AVG compliant
Bovenstaande punten kunnen als gevolg hebben dat alhoewel de AVG bij oplevering wellicht getackeld was en daarmee de privacy van website bezoekers gewaarborgd was, de stand van (privacy) zaken ineens kan wijzigen. Hiermee kan de bescherming van persoonsgegevens binnen een website in het geding komen.
Dit heeft als gevolg dat zowel een privacy policy/privacy statement van een website als ook het verwerkinsgregister periodiek gewjizigd moet worden, zodat beide zaken up to date zijn. Op het moment dat de Autoriteit Persoonsgegevens immers onderzoek doet, dient een verwerkingsregister direct overhandigd te kunnen worden.
AVG Cloud Register B.V. vult een register niet automatisch in. Wel biedt het volledige handvaten om aan de slag te gaan en voor als ook na 25 mei te voldoen aan de wettelijke AVG documentatieplicht. Dit doet AVG Cloud Register middels een flexibele tijdbesparende oplossing, ondergebracht in pakketten naar keuze.