Is je (Wordpress) website AVG compliant? De AVG checklist

Vanuit ons netwerk merken we dat stappen ondernomen worden om geleidelijk voor te bereiden op de Algemene Verordening Gegevens­bescherming (AVG) wetgeving. Voor de ene situatie eenvoudiger dan de andere. Voor websites welke als online visitekaart en informatieverschaffing fungeert, kan het op het eerste gezicht vrij overzichtelijk zijn, maar schijn kan bedriegen!

AGV aandachtspunten voor (Wordpress) websites

Naar aanleiding van ontvangen vragen, hebben we een leesbare AVG website checklist opgesteld. Dat er een verwerkers­overeenkomst en register opgesteld moet worden, is namelijk wel duidelijk. Echter, toepassing van AVG als ook te nemen maatregelen, kan echter per website verschillen. Hieronder dan ook een lijst van punten waar je moet op letten voor aanvang van een AVG register.

  1. https / SSL certificaat

    Wordt er binnen de website (of applicatie) persoonsgegevens verwerkt, in de breedste zin van het woord? Zorg dan dat website verkeer over het https-protocol loopt, middels SSL certificaat. Worden persoonsgegevens onder water verstuurd? Geef dan de voorkeur aan het SOAP protocol boven bijvoorbeeld REST api's.

    Soms worden registratie-formulieren middels een iframe ingevoegd in een website. Staat het uiteindelijk formulier op een andere omgeving, of op een subdomein? Dan dient die betreffende omgeving logischerwijs ook voorzien te zijn van een SSL certificaat zodat data via het https protocol verzonden wordt.

  2. Web formulieren en persoonsgegevens

    Vraag niet meer gegevens dan nodig is, oftewel "privacy by design". Het vragen naar een kenteken op een dating-website, of het vragen naar iemand zijn geslacht op een auto gerelateerde forum, lijkt in eerste instantie niet van toegevoegde waarde. Ga na of je de gevraagde data echt nodig hebt, documenteer de afweging in een AVG register. Overweeg in het geval van bijzondere persoonsgegevens, aanvullende maatregelen als pseudonimisering van bepaalde data.

  3. Privacy by default

    Ongevraagd personen aanmelden voor een nieuwsbrief of actie is er niet bij als je aan de AVG wetgeving wilt voldoen. Persoonsgegevens mogen bovendien niet zonder uitdrukkelijke toestemming gedeeld worden met andere partijen. Dit valt volgens de 10 stappen van de AVG, onder privacy by default.

  4. Cookies en bezoeker-gegevens

    Omtrent het meten van bezoekers-statistieken, voldoen aan de AVG wetgeving? Begin met het ano­nimiseren van ip-adressen en doorloop de nodige stappen binnen je Google Analytics profiel.

    Let wel: websites kunnen op verschillende manieren voorzien zijn van cookies, waardoor Google Analytics niet het enige is dat je aandacht vereist. Denk aan:

    • Remarketing;
    • DoubleClick;
    • Facebook pixel;
    • Social like (like buttons);
    • Social share (directe koppeling, of via addThis/shareThis oplossingen);
    • Social widgets (facebook page plugin of twitter widget).

    ePrivacy
    Houdt ook rekening met de ePrivacy verordening, welke weliswaar op zichzelf staat, maar voor aanwezige cookies op je website, ook gevolgen zal gaan hebben. Hierbij zal men actief geïnformeerd moeten worden welke specifieke cookies, idealiter onderverdeeld in types, men voorgeschoteld krijgt. Hierbij dient men (op de noodzakelijke/functionele cookies na) zelf de voorkeuren uit te kunnen spreken. Bovendien dient men hun keuze op elk moment terug te kunnen draaien. Dit zou dus directe gevolgen hebben voor twitter/facebook-widgets of ingebakken youtube of vimeo video's, welke de nodige cookies voorschoteld aan website-bezoekers.

    Google Tag Manager
    Is er sprake van Google Tag Manager binnen een website, dan heeft het invloed op de te voeren cookie-melding. Maak je gebruik van Google Tag Manager, dan is op het eerste gezicht c.q. in de broncode niet direct inzichtelijk te krijgen of er sprake is van aanvullende code of dus aanvullende cookies.

    Google Tag Manager wordt veelal gebruikt om het marketeers eenvoudiger te maken om onafhankelijk van de websitebouwer, aanvullende codes te integreren. Denk aan salesfeed.com of hotjar. Ga na of hier sprake van is en wat voor invloed dit heeft op bescherming van persoonsgegevens. Dit brengt ons tot het volgende:

  5. Privacy verklaring

    In de privacy verklaring zal aangegeven moeten worden welke persoonsgegevens via de website verwerkt worden en welke partijen inzage krijgt in deze gegevens. De cookies die men voorgeschoteld krijgt, kun je tevens uitschrijven in een privacy verklaring of kun je onderbrengen in een daarvoor aangemaakte cookie-policy pagina.

    Veiliginternetten.nl biedt de mogelijkheid om online een privacy verklaring te laten genereren op basis van gegeven antwoorden. De privacy verklaring dient vervolgens op elke pagina waar het van toepassing is, direct inzichtelijk te zijn (oftewel, men dient te allen tijde hooguit één klik verwijderd te zijn van de privacy verklaring).

  6. Algemene voorwaarden

    Betreft je website meer dan een online visitekaart of online informatieverschaffing? Meet je dan op zijn minst Algemene Voorwaarden aan, waarin de voorwaarden omtrent de aangeboden producten en diensten worden toegelicht. Denk aan retournering, te verlenen service en bijvoorbeeld aansprakelijkheid, betalingsvoorwaarden en storingen/overmacht.

  7. CMS omgeving

    Afhankelijk van het doel van de website, is het mogelijk dat bepaalde zaken geregistreerd worden. Houdt het CMS bijvoorbeeld zelf bezoeker-gegevens bij? Worden ingevulde formulieren geregistreerd? Is er sprake van een forum met wellicht mede-beheerders? De vraag die vervolgens vooral gesteld moet worden, hebben andere account-houders van het CMS, website of applicatie inzage in persoonsgegevens van anderen?

    Je kunt er in zo een situatie voor kiezen om de rechten in te perken, indien de flexibiliteit en rollenverdeling van het systeem zich er voor leent. Alternatief is een account geheel te verwijderen, of een (sub)verwerkers­overeenkomst met ze aan te gaan (afhankelijk van de constructie van verantwoordelijke en verwerker).

  8. Hosting

    Niet het eerste waar je aan denkt. Echter, je website staat op een stukje webruimte en wordt dus ergens gehost. Veelal wordt dit uitbesteed. Dit betekent dus dat alle data over servers van je hosting-partij loopt en een hosting-partij zichzelf inzage kan geven in gegevens. Ook kan, in geval van brand, sprake zijn van een datalek (ook wanneer gegevens verloren gaan en niet in handen komt van derden, spreken we over een datalek).

    Conform AVG-wetgeving, dient er dus een overeenkomst te worden aangegeven met je hostingpartij.

  9. Europees en niet Europees

    De AVG, in het Engels GDPR, betreft een Europese wetgeving, wat betekent dat partijen buiten Europa niet verplicht kunnen worden om een verwerkers­overeenkomst met jou aan te gaan. De meer bekende diensten zoals dus Google (Analytics), speelt hier correct op in. Maar dit hoeft niet per definitie het geval te zijn (denk, op het moment van schrijven, aan Dropbox).

    Zorg als verantwoordelijke gewoonweg, ongeacht waar bijvoorbeeld je hosting staat, dat er een verwerkers­overeenkomst aangegaan wordt met de verwerker. Houdt hierbij rekening dat niet Europese instanties niet verplicht zijn om zo een document met je aan te gaan.

Wordpress en third party koppelingen

Open source oplossingen als Wordpress waarbij plugins de spil zijn, als ook websites met plugins in het algemeen, kan extra aandacht vereisen. Dit komt doordat plugins door derden geprogrammeerd (kunnen) zijn. Er zal in het geval van Wordpress dan ook per Wordpress-plugin nagegaan moeten worden of deze direct of indirect gegevens verzamelt.

Maak je bijvoorbeeld gebruik van een MailChimp (MailGun of Amazon Web Services) plugin binnen Wordpress, waarmee men zich op de nieuwsbrief kan abonneren? Ga bij MailChimp na hoe het staat met bescherming van persoonsgegevens en sluit een verwerkers­overeenkomst af. MailChimp heeft een informatief PDF document omtrent AVG/GDRP opgesteld.

Denk ook aan planning- of boekhoudplugins. Wanneer data middels een plugin verzameld wordt en inzichtelijk wordt gemaakt, zullen met deze partijen verwerkers­overeenkomsten aangegaan moeten worden. Ga ook na, of er niet meer data dan benodigd, verwerkt wordt door plugins en aangesloten partijen.

Externe plugin programmeurs

Schreef ik al eens eerder over de afkomst van Wordpress plugins, onder de AVG wetgeving zal er met een meer kritisch oog naar gekeken moeten worden. Heb je voor de realisatie van je Wordpress, Drupal of bijvoorbeeld Joomla website een beroep gedaan op een web-bureau. Ga dan desnoods bij hen na, of aanwezige plugins AVG proof zijn.

Sommige plugins zullen statistieken verzamelen met als doel een plugin te kunnen verbeteren. In zo een situatie verzamelt een plugin op het eerste gezicht dus geen gegevens, maar kan er verwerking van persoonsgegevens onder water plaats vinden. Ga dit voor aanwezige plugins na.

Het voordeel van plugins, is binnen de AVG wetgeving dus ook ineens het nadeel. Er zijn vele plugins geschreven, door senior programmeurs als ook hobbyisten. Niet alle type programmeurs zullen met de afnemers van hun plugins een verwerkers­overeenkomst aan gaan. Dat levert ze een dagtaak aan administratie op. De verantwoordelijkheid ligt bovendien, helaas, bij de website eigenaar om AVG compliant te zijn.

Plugin packages

Nog dieper verstopt, zijn packages die binnen plugins toegepast kunnen worden door een programmeur. Programmeurs kunnen er voor kiezen om packages te gebruiken, omwille van gebrek aan tijd of kennis (van bijvoorbeeld JavaScript).

Van belang is echter dat ook eventuele packages onder de loep worden genomen, waar een plugin gebruik van maakt. Het wrange is dat een plugin-bouwer niet op de hoogte hoeft te zijn van wat gebruikte packages exact doen en het afhankelijk van de situering van de plugin programmeur, daar ook niet de verantwoordelijkheid hoeft te liggen: die ligt wederom bij de website-eigenaar.

25 mei 2018

Neem voor antwoorden op bovenstaande punten dan ook contact op met je webbureau. Doe dit voor 25 mei 2018, de datum waarop de AVG wetgeving de huidige Wbp wetgeving vervangt.

Stel naast een verwerkers­overeenkomst met eventuele (sub)verwerkers dus ook een register op, waarin (wettelijke) duur van opslag, opgeslagen (bijzondere) persoonsgegevens, partijen waarmee gegevens gedeeld worden en getroffen maatregelen wordt vastgelegd.

Vragen omtrent AVG, of is een second opinion gewenst? Hulp benodigd bij het opstellen van een verwerkers­overeenkomst en/of register voor online toepassingen? Neem dan contact op met info op avgcloudregister punt nl.

Website audit afnemen Direct aan de slag