Hoe kan je GDPR naleven op een WordPress website?

Online privacy en beveiliging van persoonsgegevens is vandaag de dag een veelbesproken onderwerp, helemaal als we kijken met alle recentelijke datalekken en beveiligingsincidenten. Daarom zal je zeker al over de term GDPR gehoord hebben.

GDPR staat voor General Data Protection Regulation en staat in Belgie ook bekend als Algemene Verordening Gegevensbescherming, oftewel AVG. Het is momenteel een behoorlijk populair onderwerp, helemaal met al het nieuws over privacy, datalekken en beveiliging.

Eenvoudig gezegd is de GDPR een privacywet die is ontworpen om burgers weer de controle over hun persoonlijke gegevens te geven. 

GDPR heeft invloed over hoe het gehele internet met deze gegevens omgaat. Zorgwekkend is echter het feit dat, ook al was de deadline 25 mei 2018, er nog veel mensen en bedrijven zijn die vragen hebben over de AVG en GDPR:

  1. Wat is de GDPR nou precies?
  2. Heeft de GDPR invloed op mij?
  3. Wat moet ik doen om te voldoen aan de GDPR?

Voor veel van ons heeft de GDPR een lagere prioriteit. Maar de deadline van de GDPR is inmiddels ruimschoots verstreken en we raden je aan goed na te denken over of je wijzigingen aan wil brengen in de manier waarop je bedrijf of website opereert. Als je dat niet doet, kunnen er hoge boetes aan verbonden zijn.

Daarom zal ik hieronder proberen om uit te leggen wat je moet weten over de GDPR en wat je kunt doen om jezelf voor te bereiden. Ik ben geen advocaat, dus ik zal niet elk juridisch details uit de doeken doen. GDPR is zonder in detail te treden als een hele boterham.

Let op: deze post is alleen voor informatieve doeleinden en mag niet worden beschouwd als juridisch advies.

Wat is de GDPR? In mensentaal

GDPR is de afkorting van General Data Protection Regulation, wat staat voor de Algemene Verordening Gegevensbescherming. Het is een privacywet om de rechten van alle EU-burgers (28 lidstaten) en hun persoonlijke gegevens te beschermen en die op 14 april 2016 door de Europese Commissie is goedgekeurd. Deze wet vervangt de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de gegevensbeschermingen is veel uitgebreider dan de Cookiewet van 2011 (die binnenkort wordt vervangen door de nieuwe ePrivacy-verordening van de EU, die hand in hand gaat met GDPR). De tijd om de verordening in werking te zetten was vastgesteld op twee jaar en de deadline was 25 mei 2018.

De Algemene verordening gegevensbescherming (GDPR) van de EU is de belangrijkste verandering in regelgeving inzake dataprivacy van de afgelopen 20 jaar… EU GDPR

Als je de uitgebreide officiële PDF’s van de verordening (11 hoofdstukken, 99 artikelen) wilt lezen, raden we je aan om gdpr-info.eu te raadplegen. Op deze site zijn alle noodzakelijke artikelen overzichtelijk gerangschikt.

Binnen GDPR zijn er een aantal cruciale termen die je moet weten:

  • Een controller bepaalt de doelen en middelen voor het verwerken van persoonlijke gegevens.
  • Een processor is verantwoordelijk voor het verwerken van persoonlijke gegevens namens een controller.
  • Persoonlijke data is alle informatie, zelfs indirect door die informatie te combineren met andere informatie, die kan worden gebruikt om een persoon te identificeren.

Wat is verwerken precies?

Als persoonlijke gegevens worden geopend, worden opgeslagen of op een andere wijze worden gebruikt, wordt dit beschouwd als verwerking. De volledige definitie van verwerking in de GDPR omvat alle acties, die voor de verwerking van die gegevens op persoonlijke gegevens zijn uitgevoerd: verzamelen, registreren, organiseren, structureren, opslaan, aanpassen, wijzigen, opvragen, raadplegen, gebruiken, verzenden, openbaarmaking, verspreiden, combineren, uitlijnen, beperken, uitwissen of vernietigen.

De basisprincipes van de GDPR

Er zijn onder de GDPR zeven basisprincipes die van toepassing zijn op de controller:

  1. Gegevens moeten rechtmatig, eerlijk en transparant worden verwerkt. Vereist is dat er toestemming wordt gegeven.
  2. Persoonlijke gegevens moeten voor een specifiek, expliciet en legitiem doel worden verzameld en ook alléén voor dat doel worden gebruikt.
  3. Persoonlijke gegevens moeten adequaat, relevant en beperkt zijn tot dat wat nodig is.
  4. Persoonlijke gegevens moeten nauwkeurig zijn en worden bijgewerkt.
  5. Persoonlijke gegevens mogen alleen in een zo kort mogelijke tijd in identificeerbare vorm worden bewaard.
  6. Persoonlijke gegevens moeten op een zodanige manier worden verwerkt dat de beveiliging van de gegevens kan worden gewaarborgd.
  7. De controller is verantwoordelijk voor het kunnen aantonen van de naleving van deze principes.

Individuele rechten onder de GDPR

Personen met bescherming op grond van de GDPR (EU-burgers) hebben volgens de GDPR zeven rechten, die de processor moet respecteren:

  1. Recht op informatie: geeft een persoon het recht om te weten welke informatie over hem of haar wordt opgeslagen.
  2. Recht op inzage: personen hebben recht op toegang tot hun persoonsgegevens en het recht om te weten hoe de over hen verzamelde gegevens door het bedrijf worden gebruikt. Het bedrijf moet gratis een kopie van de persoonsgegevens in elektronisch formaat verschaffen indien de persoon daarom verzoekt (20).
  3. Recht op correctie van informatie.
  4. Recht om verwijderd te worden: staat een persoon toe om te vragen of zijn persoonlijke gegevens over hem volledig kunnen worden gewist (tenzij er een geldige reden is, zoals bijvoorbeeld een banklening) (17).
  5. Recht op beperken van gegevensbewerking.
  6. Recht op bezwaar.
  7. Recht op een eerlijke behandeling wanneer het onderworpen is aan geautomatiseerde besluitvorming en profilering.

Aanvullende opmerkingen over de GDPR

Helaas is het niet altijd zwart of wit, dus hier zijn een paar extra zaken om in de gaten te houden:

  • Van toepassing op alle persoonlijke gegevens (alle gegevens die betrekking hebben op of kunnen worden gebruikt om iemand te identificeren).

Persoonlijke gegevens bevatten alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (betrokkene); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiegegevens zoals naam, sofinummer, locatiegegevens, een online-identificator (IP-adres of e-mailadres) of één of meer factoren, die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon. Het bepaalt ook wat er met de persoonlijke informatie kan worden gedaan (Art. 4).

  • Van toepassing op gevoelige persoonlijke gegevens zoals ras, etnische afkomst, seksuele geaardheid en gezondheidsstatus. (Recital: 51Art. 9)
  • Privacy door ontwerp en standaardinstellingen: zorgt ervoor dat persoonlijke informatie correct wordt beschermd. Voor nieuwe systemen moet bescherming worden gegarandeerd en de toegang tot de gegevens wordt strikt gecontroleerd en alleen gegeven wanneer dat nodig is (Art. 25).
  • Als gegevens verloren gaan, worden gestolen of worden geopend zonder toestemming, moeten de autoriteiten binnen 72 uur (Art. 33) op de hoogte worden gesteld, samen met de personen van wie de gegevens zijn geopend (Art. 34).
  • Gegevens kunnen alleen worden gebruikt voor de reden die is opgegeven op het moment van verzamelen en moeten veilig worden verwijderd nadat deze niet langer nodig zijn.
  • Staat nationale autoriteiten toe boetes op te leggen aan bedrijven, die de verordening overtreden.
  • Er is toestemming van de ouders vereist om de persoonsgegevens van kinderen onder de 16 jaar te mogen verwerken voor online diensten; kan per lidstaat echter verschillen, maar het zal niet jonger dan 13 jaar zijn (Art. 8).

Op wie is de GDPR van invloed?

Hoewel de nieuwe regels omtrent de GDPR zijn ontworpen om de rechten van EU-burgers te beschermen, hebben deze eigenlijk voor iedereen op internet gevolgen. Dat klopt, iedereen! Dit is ongeacht waar een bedrijf is gevestigd of waar de online activiteiten plaatsvinden. Als jouw website gegevens van EU-burgers verwerkt of verzamelt, moet je je houden aan de voorschriften van de GDPR.

Dus, tenzij je expliciet al het EU-verkeer blokkeert, wat de meesten waarschijnlijk niet zullen doen, val je onder de GDPR-regelgeving.

Als je je afvraagt of jouw bedrijf aan de GDPR voldoet, heeft het team van Mailjet een handige GDPR-quiz voor je gemaakt. We raden je dan ook aan om de GDPR Checklist te controleren.

De gevolgen van het niet naleven van de GDPR

Volgens data.verifiedjoseph zijn er door de GDPR (gemeten 20 maart 2019) nog steeds 1.129 websites die geen bezoekers accepteren vanuit de Europese Unie. 😱 Hieronder vallen veel grote nieuwsorganisaties.

De oorzaak? Dit heeft de simpele reden dat ze nog niet in staat zijn geweest om te voldoen aan de technische implementaties van de GDPR en geen boetes willen riskeren. Daarom hebben ze ervoor gekozen om simpelweg al het verkeer uit de EU te blokkeren.

Als jouw bedrijf niet voldoet aan de GDPR, kun je gedwongen worden tot het betalen van maximaal 4% van de jaarlijkse wereldwijde omzet of kun je een boete van maximaal € 20 miljoen (de hoogste van de twee) per overtreding krijgen. Er is ook een gelaagde benadering van boetes.

Een bedrijf kan bijvoorbeeld een boete krijgen van 2% voor het niet op orde hebben van zijn administratie, het niet melden aan de toezichthoudende autoriteit en de betrokkene over een inbreuk of het niet uitvoeren van een effectbeoordeling. (Art. 83)

Rechtmatigheid van verwerking

Hoewel het simpelweg vragen om toestemming, zoals hierboven getoond, de eenvoudigste manier is om te voldoen aan GDPR, is dit niet de enige manier. In sommige gevallen is gegevensverwerking zonder toestemming toegestaan vanwege de term die bekend staat als de rechtmatigheid van verwerking. Hier zijn slechts enkele voorbeelden:

Contractuele noodzaak

Gegevensverwerking is toegestaan als dit noodzakelijk is voor de uitvoering van een contract, waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen voordat een overeenkomst wordt aangegaan (Art. 6 (1) b).

Rechtmatig belang

Gegevensverwerking is toegestaan wanneer dit noodzakelijk is voor de doeleinden van de legitieme belangen, die door de voor de verwerking verantwoordelijke of door een derde worden nagestreefd, tenzij dergelijke belangen worden geschonden door de belangen of de fundamentele rechten en de vrijheden van de betrokkene, die de bescherming van persoonsgegevens vereisen. Dit geldt met name wanneer de betrokkene een kind is. (Art. 6 (1) f)

Opmerking: Dit geldt niet voor de verwerking door overheidsinstanties bij de uitvoering van hun taken.

Voor verdere voorbeelden raden we je aan om de post Lawful Basis for Processing van White & Case LLP te bekijken.

Hoe kun je je WordPress-site GDPR-compatibel maken?

De reden dat je deze blogpost leest, is waarschijnlijk omdat je wilt weten hoe je je WordPress-site kunt laten voldoen aan de regels van de GDPR. In tegenstelling tot onze normale tutorials kunnen we in dit artikel geen makkelijk stappenplan presenteren, omdat de implementatie van GDPR per site enorm verschilt. Wat we wél kunnen doen is je een aantal suggesties geven om je op de goede weg te helpen gecombineerd met een paar punten waar je op moet letten.

1. Huur een advocaat in

Als je je zorgen maakt over het feit of je wel of niet voldoet aan de GDPR (wat de meesten van jullie waarschijnlijk doen), raden we je altijd aan om een advocaat in te huren, ook al is het maar tijdelijk. Dit is één van die gebieden waar we je dringend adviseren om niet zelf te gaan klungelen. Een advocaat kan je van specifiek juridisch advies voorzien. Nogmaals, elke fout die je maakt in het niet naleven van de GDPR, kan resulteren in fikse boetes.

2. Controleer jouw gegevensverzameling en gegevensverwerking-workflow

We raden je aan om je WordPress-site na te gaan en te bepalen waar de verzameling en de verwerking van gegevens plaatsvindt, evenals waar die informatie wordt opgeslagen en voor hoe lang. Dit omvat dingen zoals:

  • Het verzamelen van persoonlijke informatie op een e-commerce kassapagina of een WordPress registratiepagina.
  • IP-adressen, cookie-identificaties en GPS-locaties.
  • Diverse diensten zoals Google Analytics, Hotjar, etc.

Nadat je al deze zaken hebt vastgesteld, moet je bevestigen dat je om de toestemming van de bezoeker vraagt en ook vermelden hoe de verzamelde gegevens wordt gebruikt.

3. GDPR-project is samengevoegd met WordPress Core for Developers

Dejlig Lama & Peter Suhm zijn begonnen met een project met de naam GDPR for WordPress. Het idee erachter is om ontwikkelaars van plug-ins voorzien met een eenvoudige oplossing voor de GDPR en om website-beheerders het overzicht en de tools te bieden voor administratieve taken die te maken hebben met het voldoen aan de GDPR. Groot nieuws is echter dat dit project onderdeel is geworden van de WordPress-kern.

Om te zien wat er reeds uitgevoerd is, kan je de GDPR Trac-tickets en de roadmap voor GDPR-compliance bekijken. Dit was net zo belangrijk voor gebruikers van WordPress als voor ontwikkelaars, omdat GDPR-compliance tweerichtingsverkeer is. Gebruikers van WordPress hadden nieuwe features nodig, waarin bijvoorbeeld functies waren ingebouwd binnen de plug-ins die ze al gebruikten, zoals selectievakjes, prompts, enz. Dit om ervoor te zorgen dat ze zich aan de regels houden zijn bij het verzamelen van gegevens.

4. Werk alle juridische documenten bij

Met de komst van de GDPR is het nu tijd om jouw pagina’s met de algemene voorwaarden, het privacybeleid, de voorwaarden voor affiliatie, evenals alle andere juridische documenten of overeenkomsten, die je mogelijk hebt, bij te werken. Je kunt geen formulieren meer hebben zonder selectievakjes, tenzij ze allemaal onder de wettigheid van de verwerking vallen. Met andere woorden, er moet voor de gebruiker een manier zijn om specifiek toestemming te kunnen geven. De dagen van het simpelweg enkele termen in een link onderaan zetten en ervan uitgaan dat de gebruiker ze wel zal lezen zijn voorbij.

De toestemmingsvoorwaarden zijn aangescherpt en bedrijven zullen niet langer in staat zijn om lange onleesbare voorwaarden vol juridische termen te gebruiken, omdat het verzoek om toestemming moet worden gedaan in een begrijpelijke en gemakkelijk toegankelijke vorm met als doel om de gegevensverwerking aan die toestemming te kunnen koppelen. De toestemming moet duidelijk en te onderscheiden zijn van andere zaken en moet worden verstrekt in een begrijpelijke en gemakkelijk toegankelijke vorm, met gebruikmaking van heldere en duidelijke taal. Het moet net zo gemakkelijk zijn om de toestemming in te kunnen trekken als dat het is om het te geven. (Bron: EU GDPR)

Nogmaals, dit is een gebied waarvoor we je aanraden om de hulp van een advocaat in te roepen. Als je slechts een eenvoudig blog beheert, gebruik dan op zijn minst een tool zoals iubenda of iets dergelijks om een sterker privacybeleid te kunnen genereren.

Er is ook een nieuwe functie aan de privacypagina voor WordPress 4.9.6 toegevoegd. Je kunt nu een privacypagina op jouw site aanwijzen en deze wordt dan weergegeven op je aanmeldings– en registratiepagina’s. We raden je ook aan om het in je footer te plaatsen.

Hier is een voorbeeld van de standaard privacybeleidspagina die nu wordt gegenereerd door WordPress. Dit moet worden gebruikt als sjabloon en als startpunt en bevat niet lang alles wat je site nodig heeft.

5. Biedt overdraagbaarheid van gegevens aan

Volgens Art. 20 moet elk bedrijf dat gegevens verzamelt aan gebruiker de mogelijkheid bieden om gegevens te kunnen downloaden of naar elders te kunnen overdragen.

De betrokkene heeft het recht om de persoonsgegevens, die hem of haar betreffen en die hij aan een verantwoordelijke heeft verstrekt, in een gestructureerd en leesbaar formaat te ontvangen en heeft het recht om deze gegevens aan een andere controller door te geven, zonder belemmering van de controller aan wie de persoonsgegevens voor de verwerking zijn verstrekt.

Zorg dat je een systeem hebt geïnstalleerd om een gebruiker desgewenst een downloadbaar bestand van hun gegevens te kunnen bieden (.csv, .xml, enz.). Als je dit momenteel niet kunt aanbieden, is het verstandig om een WordPress-ontwikkelaar in te huren.

Je kan me altijd een mail sturen op bart@omegia.be of via de contactpagina!

Er zijn met betrekking tot de gegevensverwerking in WordPress 4.9.6 nieuwe functies toegevoegd. Site-eigenaren kunnen nu een ZIP-bestand met de persoonlijke gegevens van een gebruiker exporteren en de persoonlijke gegevens van een gebruiker wissen. Er is ook een nieuwe e-mailmethode beschikbaar, die kan worden toegevoegd om de persoonlijke gegevens te bevestigen.

6. Zelfcertificering onder het Privacyschild Raamwerken

Vanwege het feit dat veel websites gegevens van over de hele wereld verzamelen en met de strengere regels met betrekking tot de persoonlijke gegevens, certificeren veel bedrijven nu onder de EU-VS en Swiss-US Privacyschild Raamwerken. Deze zijn door het U.S. Department of Commerce, de Europese Commissie en de Zwitserse overheid ontworpen om bedrijven aan beide zijden van de Atlantische Oceaan te kunnen voorzien van een mechanisme om te kunnen voldoen aan de vereisten voor gegevensbescherming bij de overdracht van persoonsgegevens uit de Europese Unie en Zwitserland naar de Verenigde Staten ter ondersteuning van de transatlantische handel.

Lees meer over de voordelen van zelfcertificering onder het Privacyschild.

7. Versleutel je data/HTTPS

In termen van codering zijn er verschillende delen: codering van jouw webverkeer (HTTPS) en codering waar jouw data worden opgeslagen. We raden je altijd aan om, ongeacht GDPR, je webverkeer te coderen. De voordelen van het overstappen naar HTTPS wegen zwaarder dan de nadelen en dat is waar het web uiteindelijk ook naar toe gaat.

De term versleuteling zelf wordt eigenlijk maar een paar keer in de GDPR genoemd en is ook niet verplicht.

Om beveiliging te kunnen handhaven en om verwerking in strijd met deze regulering te kunnen voorkomen, moet de controller of de verwerker de risico’s, die inherent zijn aan verwerking, evalueren en maatregelen zoals versleuteling implementeren om die risico’s te kunnen beperken. (Recital 83).

Hoewel het lijkt alsof codering wettelijk niet vereist is om te kunnen voldoen aan de GDPR, is het wel ten zeerste aan te bevelen, omdat jij uiteindelijk verantwoordelijk bent voor de gegevens.

8. Controleer jouw WordPress-thema’s, plug-ins, diensten en API’s

Alle WordPress plug-ins of themaspecifieke functies die je hebt geïnstalleerd en die persoonlijke gegevens verzamelen of opslaan moeten worden bijgewerkt, zodat jouw site volledig op de GDPR is afgestemd. Als je zelf een WordPress-ontwikkelaar bent, dan heb je hopelijk al de benodigde GDPR-wijzigingen aangebracht aan de door jouw gemaakte websites.

Nuttige WordPress plug-ins voor de GDPR

Hieronder staan enkele handige plug-ins waarvan we je aan kunnen raden om te kijken of deze je kunnen helpen:

  • WP Security Audit Log: één van de beste manieren om echt te zien wat er gebeurt met jouw WordPress-site. We raden deze meestal om veiligheidsredenen aan, maar het kan een uitstekende manier zijn om te bekijken welke gegevens er worden verzameld, zoals gebruikersregistraties, opmerkingen, contactformuliervermeldingen, etc.
  • WP GDPR Compliance: deze plug-in ondersteunt website- en webshop-eigenaren door algemene tips te bieden om te kunnen voldoen aan integraties met enkele populaire plug-ins, zoals Gravity Forms, Contact Form 7, WooCommerce en native comments van WordPress.
  • GDPR: een andere plug-in die je helpt om je website af te stemmen op GDPR. De plug-in bevat de servicevoorwaarden en het privacybeleid voor het beheer van toestemmingsvergunningen, het recht om persoonsgegevens te wissen en te verwijderen met een bevestigingse-mail, instellingen van de gegevensverwerker en publicatie van contactgegevens, recht op toegang tot gegevens van beheerdersdashboard en het exporteren, het beheer van cookievoorkeuren en nog veel meer.
  • GDPR Cookie Compliance: sta gebruikers toe om toestemming te geven voor specifieke cookiedoeleinden met de mogelijkheid om cookies in te schakelen en uit te schakelen op een gedetailleerd niveau.
  • iubenda Cookie Solution for GDPR: deze plug-in is een alles-in-één-aanpak die helpt om jouw website GDPR-compatibel te maken door de privacybeleidstekst, de cookie-banner en het blokkeerbeheer van cookies te genereren. Het scant ook automatisch je site om de oplossingen automatisch te configureren. Tot slot kunt je ook GDPR contentrecords voor je webformulieren vastleggen, opslaan en beheren en documenten met één klik vertalen (10 talen ondersteund).
  • Complianz GDPR: deze plug-in doet vrijwel alles wat je nodig hebt voor het afstemmen op de GDPR! Het detecteert automatisch of je een cookiewaarschuwing nodig hebt, integreert met Google Analytics (je hebt misschien geen waarschuwing nodig), scant je site op cookies, heeft de mogelijkheid om cookies te blokkeren, genereert een cookiebeleid en nog veel meer.
  • GDPR Cookie Consent: met deze plug-in kan je een notificatie op je WordPress-site weergeven met daarin toestemming voor cookies. Het zorgt dat cookies alleen worden geïnstalleerd in de browser van de gebruiker wanneer deze uitdrukkelijk toestemming heeft gegeven. Gebruikers kunnen hun toestemming op elk moment intrekken. Bovendien biedt de plug-in de mogelijkheid om de stijl aan te passen naar het thema van je website.

GDPR Audit

Helemaal in de war? 😦 Maak je maar geen zorgen. Het is duidelijk dat GDPR voor best veel verwarring kan zorgen en het is een enorme verandering met betrekking tot het verzamelen van persoonlijke gegevens. Als je je zorgen maakt over je eigen WordPress-site, is het misschien verstandig om te investeren in een GDPR-audit door een expert, bij voorkeur een expert die uitsluitend met WordPress werkt. We raden je aan om de GDPR-audit van GreyCastle Security eens te bekijken.

garanderen en aan te tonen dat elke gegevensverwerking wordt uitgevoerd in overeenstemming met de AVG.

Samenvatting

Zoals je waarschijnlijk al begrepen hebt, is GDPR een grote uitdaging. Het beïnvloedt bijna elke WordPress-site op het internet. De deadline is verstreken en daarom moedigen we iedereen aan om de tijd te nemen, onderzoek te doen en ervoor te zorgen dat de site volledig toegerust is. Als je dat niet doet, zouden er een paar behoorlijk forse boetes voor je in het verschiet kunnen liggen!

Heb je vragen over de GDPR en WordPress? Zet ze hieronder in de comments. Of als je een andere populaire WordPress plug-in kent, die al aan de GDPR voldoet, laat het ons dan weten en dan voegen we het hierboven toe!