Hoe maak ik mijn WordPress website AVG compliant?
Op 25 mei 2018 wordt de wet Algemene Verordening Gegevensbescherming (AVG) van kracht. De Europese versie van de AVG is de GDPR oftewel, General Data Protection Regulation. Deze wet houdt in dat bedrijven moeten kunnen aantonen voor welke doeleinden zij gegevens van Europese gebruikers verzamelen en hoe zij deze gegevens beschermen. Gebruik je cookies en formulieren op je WordPress website dan is de kans groot dat je jouw website moet aanpassen om aan deze wet te voldoen. Lees hier waar je op moet letten en welke tools en plugins je kunt gebruiken om jouw website AVG proof te maken
Op welke zaken moet je letten?
Er zijn een aantal zaken waarop je moet letten bij het verzamelen van persoonlijke gegevens op een website en de bescherming van deze gegevens.
- Toestemming voor verzameling
Gegevens mogen niet verzameld worden zonder expliciete toestemming van de gebruiker. Bij een minderjarige gebruiker, moet er toestemming verleend worden van een ouder of voogd. Gegevens die verzameld worden mogen alleen worden gebruikt worden voor het doel waarvoor men toestemming heeft gegeven. - Recht van inzien en verwijdering
Wanneer gegevens verzameld worden van een persoon, heeft deze persoon het recht om zijn verzamelde gegevens in te zien en te vragen om deze te verwijderen. - Privacyverklaring
Op de website moet een verklaring staan zodat de gebruiker inzicht heeft welke gegevens verzameld worden en waarom. Verder moet je uitleggen wat jij met deze data doet en hoe je deze data beveiligd.
Dataverzameling bij WordPress websites
In WordPress worden extra functionaliteiten beschikbaar door middel van plugins. In de context van het AVG is een ‘double-edged sword’. Aan de ene kant hoef je daardoor bepaalde functionaliteiten niet zelf aan te maken, maar aan de andere kant schuilt er het gevaar dat deze plugins gegevens over gebruikers verzamelen zonder dat je het weet. Je zul dus door de lijst van gebruikte plugins moeten gaan en per plugin moeten bepalen of deze plugin gegevens over jouw bezoekers verzameld. Verzamelt een plugin gegevens dan heb je eigenlijk 2 keuzes: De verzamelde data anonimiseren of toestemming aan jouw bezoeker hiervoor vragen.
Data anonimiseren
Bij data anonimiseren zorg je ervoor dat de verzamelde gegevens niet meer herleidbaar zijn naar een persoon waardoor de AVG-wet niet meer van toepassing is. Een goed voorbeeld hiervan is Google Analytics. In de standaard instelling van Google Analytics worden er IP adressen verzamelt en zou je volgens de AVG toestemming moeten vragen voor het plaatsen van een Google Analytics cookie. Echter het is ook mogelijk om dit uit te zetten zodat de data niet meer te herleiden is naar een persoon. Hoe je dit kunt doen leggen wij uit in komend blog artikel.
Toestemming vragen aan de gebruiker
Voor het verzamelen van gebruikersdata binnen WordPress wordt gebruik gemaakt van cookies of van formulieren. Voor beide manieren dien je toestemming van de gebruiker te hebben.
Cookies
Voor WordPress websites zijn er natuurlijk plugins om toestemming voor cookies te regelen. Voorbeelden zijn CookieInfo of de ConsentCookie plugin. Gebruikers krijgen dan de mogelijkheid om aan te geven of welke cookies ze willen plaatsen. Daarnaast dien je een cookieverklaring op te stellen waarin je aan de gebruik uitlegt welke cookies (kunnen) worden geplaatst en wat het doel van cookies zijn.
Formulieren
Bij elk formulier waarin je persoonlijke gegevens vraagt aan je bezoekers, moet er een tekst staan met een uitleg voor welk doel je deze gegevens gaat gebruiken. Voor elk doel dient een bezoeker ook expliciet toestemming te geven. Dit kun regelen door een checkbox onderaan het formulier te zetten. Deze checkbox moet standaard uit staan en verplicht zijn. Zo weet je altijd dat iemand expliciet toestemming heeft gegeven.
Recht van inzien en verwijdering
Een bezoeker heeft altijd het recht om te vragen welke persoonlijke gegevens over hem/haar zijn verzameld. Daarnaast mag een bezoeker aan jou vragen om deze gegevens te verwijderen. Je mag zelf bepalen op welke manier je aan deze verplichting gaat voldoen. Dit kan automatisch of handmatig. Hoe je het recht van inzien en verwijdering regelt dien je wel in jouw privacyverklaring zetten.
Privacyverklaring opstellen
In een privacyverklaring moet in duidelijke en begrijpelijke taal staan welke persoonlijke gegevens je verzamelt, wat je met deze data doet en hoe lang je deze bewaart.
Hoe stel ik een privacyverklaring op?
Een handige tool om zo’n privacyverklaring voor jou te laten genereren vind je op de site van veiliginternetten.nl. Deze tool genereert een tekst aan de hand van een aantal vragen en bedrijfgegevens die je vervolgens op jouw website kunt plaatsen.
Hulp nodig met de AVG?
Heb je nog vragen over de AVG of wil je graag dat wij jouw helpen om jouw website AVG compliant te maken, neem gerust contact met op ons. We helpen je graag om alles voor 25 mei geregeld te hebben.