Je hebt misschien weleens gehoord over de term GDPR. Online privacy en beveiliging van persoonsgegevens is vandaag de dag een veelbesproken onderwerp, helemaal als we kijken met alle recentelijke datalekken en beveiligingsincidenten. GDPR staat voor General Data Protection Regulation en staat in Nederland ook wel bekend als Algemene Verordening Gegevensbescherming, oftewel AVG. Het is momenteel een behoorlijk populair onderwerp, helemaal met al het nieuws over privacy, datalekken en beveiliging. Eenvoudig gezegd is de GDPR een privacywet die is ontworpen om burgers weer de controle over hun persoonlijke gegevens te geven. Zonder twijfel heeft de GDPR invloed op hoe het gehele internet met deze gegevens omgaat. Zorgwekkend is echter het feit dat, ook al was de deadline 25 mei 2018, er nog veel mensen zijn die vragen hebben over de AVG en GDPR:

  1. Wat is de GDPR nou precies?
  2. Heeft de GDPR invloed op mij?
  3. Wat moet ik doen om te voldoen aan de GDPR?

Veel mensen hebben de neiging om dat wat ze niet begrijpen, uit te stellen. Belastingen zijn waarvan een goed voorbeeld. Voor veel van ons heeft de GDPR een lagere prioriteit. Maar de deadline van de GDPR is inmiddels ruimschoots verstreken en we raden je aan goed na te denken over of je wijzigingen aan wil brengen in de manier waarop je bedrijf of website opereert. Als je dat niet doet, kunnen er hoge boetes aan verbonden zijn.

Maar maak je geen zorgen, we zullen hieronder proberen om uit te leggen wat je moet weten over de GDPR en wat je kunt doen om jezelf voor te bereiden. We zijn geen advocaten, dus we zullen proberen om je niet te vervelen met alle juridische details.

Let op: deze post is alleen voor informatieve doeleinden en mag niet worden beschouwd als juridisch advies.

Wat is de GDPR? In lekentaal

GDPR is de afkorting van General Data Protection Regulation, wat staat voor de Algemene Verordening Gegevensbescherming. Het is een privacywet om de rechten van alle EU-burgers (28 lidstaten) en hun persoonlijke gegevens te beschermen en die op 14 april 2016 door de Europese Commissie is goedgekeurd. Deze wet vervangt de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de gegevensbeschermingen is veel uitgebreider dan de Cookiewet van 2011 (die binnenkort wordt vervangen door de nieuwe ePrivacy-verordening van de EU, die hand in hand gaat met GDPR). De tijd om de verordening in werking te zetten was vastgesteld op twee jaar en de deadline was 25 mei 2018.

De Algemene verordening gegevensbescherming (GDPR) van de EU is de belangrijkste verandering in regelgeving inzake dataprivacy van de afgelopen 20 jaar… EU GDPR

Als je de uitgebreide officiële PDF’s van de verordening (11 hoofdstukken, 99 artikelen) wilt lezen, raden we je aan om gdpr-info.eu te raadplegen. Op deze site zijn alle noodzakelijke artikelen overzichtelijk gerangschikt.

Binnen GDPR zijn er een aantal cruciale termen die je moet weten:

  • Een controller bepaalt de doelen en middelen voor het verwerken van persoonlijke gegevens.
  • Een processoris verantwoordelijk voor het verwerken van persoonlijke gegevens namens een controller.
  • Persoonlijke data is alle informatie, zelfs indirect door die informatie te combineren met andere informatie, die kan worden gebruikt om een persoon te identificeren.

Wat is verwerken precies?

Als persoonlijke gegevens worden geopend, worden opgeslagen of op een andere wijze worden gebruikt, wordt dit beschouwd als verwerking. De volledige definitie van verwerking in de GDPR omvat alle acties, die voor de verwerking van die gegevens op persoonlijke gegevens zijn uitgevoerd: verzamelen, registreren, organiseren, structureren, opslaan, aanpassen, wijzigen, opvragen, raadplegen, gebruiken, verzenden, openbaarmaking, verspreiden, combineren, uitlijnen, beperken, uitwissen of vernietigen.

De basisprincipes van de GDPR

Er zijn onder de GDPR zeven basisprincipes die van toepassing zijn op de controller:

  1. Gegevens moeten rechtmatig, eerlijk en transparant worden verwerkt. Vereist is dat er toestemming wordt gegeven.
  2. Persoonlijke gegevens moeten voor een specifiek, expliciet en legitiem doel worden verzameld en ook alléén voor dat doel worden gebruikt.
  3. Persoonlijke gegevens moeten adequaat, relevant en beperkt zijn tot dat wat nodig is.
  4. Persoonlijke gegevens moeten nauwkeurig zijn en worden bijgewerkt.
  5. Persoonlijke gegevens mogen alleen in een zo kort mogelijke tijd in identificeerbare vorm worden bewaard.
  6. Persoonlijke gegevens moeten op een zodanige manier worden verwerkt dat de beveiliging van de gegevens kan worden gewaarborgd.
  7. De controller is verantwoordelijk voor het kunnen aantonen van de naleving van deze principes.

Individuele rechten onder de GDPR

Personen met bescherming op grond van de GDPR (EU-burgers) hebben volgens de GDPR zeven rechten, die de processor moet respecteren:

  1. Recht op informatie: geeft een persoon het recht om te weten welke informatie over hem of haar wordt opgeslagen.
  2. Recht op inzage: personen hebben recht op toegang tot hun persoonsgegevens en het recht om te weten hoe de over hen verzamelde gegevens door het bedrijf worden gebruikt. Het bedrijf moet gratis een kopie van de persoonsgegevens in elektronisch formaat verschaffen indien de persoon daarom verzoekt (20).
  3. Recht op correctie van informatie.
  4. Recht om verwijderd te worden: staat een persoon toe om te vragen of zijn persoonlijke gegevens over hem volledig kunnen worden gewist (tenzij er een geldige reden is, zoals bijvoorbeeld een banklening) (17).
  5. Recht op beperken van gegevensbewerking.
  6. Recht op bezwaar.
  7. Recht op een eerlijke behandeling wanneer het onderworpen is aan geautomatiseerde besluitvorming en profilering.

Aanvullende opmerkingen over de GDPR

Helaas is het niet altijd zwart of wit, dus hier zijn een paar extra zaken om in de gaten te houden:

  • Van toepassing op alle persoonlijke gegevens (alle gegevens die betrekking hebben op of kunnen worden gebruikt om iemand te identificeren).

Persoonlijke gegevens bevatten alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (betrokkene); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiegegevens zoals naam, sofinummer, locatiegegevens, een online-identificator (IP-adres of e-mailadres) of één of meer factoren, die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon. Het bepaalt ook wat er met de persoonlijke informatie kan worden gedaan (Art. 4).

  • Van toepassing op gevoelige persoonlijke gegevens zoals ras, etnische afkomst, seksuele geaardheid en gezondheidsstatus. (Recital: 51Art. 9)
  • Privacy door ontwerp en standaardinstellingen: zorgt ervoor dat persoonlijke informatie correct wordt beschermd. Voor nieuwe systemen moet bescherming worden gegarandeerd en de toegang tot de gegevens wordt strikt gecontroleerd en alleen gegeven wanneer dat nodig is (Art. 25).
  • Als gegevens verloren gaan, worden gestolen of worden geopend zonder toestemming, moeten de autoriteiten binnen 72 uur (Art. 33) op de hoogte worden gesteld, samen met de personen van wie de gegevens zijn geopend (Art. 34).
  • Gegevens kunnen alleen worden gebruikt voor de reden die is opgegeven op het moment van verzamelen en moeten veilig worden verwijderd nadat deze niet langer nodig zijn.
  • Staat nationale autoriteiten toe boetes op te leggen aan bedrijven, die de verordening overtreden.
  • Er is toestemming van de ouders vereist om de persoonsgegevens van kinderen onder de 16 jaar te mogen verwerken voor online diensten; kan per lidstaat echter verschillen, maar het zal niet jonger dan 13 jaar zijn (Art. 8).

Op wie is de GDPR van invloed?

Hoewel de nieuwe regels omtrent de GDPR zijn ontworpen om de rechten van EU-burgers te beschermen, hebben deze eigenlijk voor iedereen op internet gevolgen. Dat klopt, iedereen! Dit is ongeacht waar een bedrijf is gevestigd of waar de online activiteiten plaatsvinden. Als jouw website gegevens van EU-burgers verwerkt of verzamelt, moet je je houden aan de voorschriften van de GDPR.

GDPR heeft op iedereen invloed
GDPR heeft op iedereen invloed

Hier zijn een aantal voorbeelden van websites van buiten de EU die ook getroffen zijn:

  • Een WordPress-communitysite, die voor elk gebruikersprofiel persoonlijke informatie verzamelt.
  • Een WordPress-themawinkel waarbij klanten zich moeten aanmelden voor accounts om thema’s of plugins te kunnen kopen (verkoop- en factuurgegevens).
  • Een WordPress-blog met een widget voor een nieuwsbriefabonnement of waar bezoekers opmerkingen kunnen achterlaten.
  • Een e-commerce winkel (WooCommerce of Easy Digital Downloads) die producten online verkoopt.
  • Een WordPress-site die analysesoftware gebruikt.

Je kunt waarschijnlijk al wel zien waar we naartoe gaan. Tenzij je expliciet al het EU-verkeer blokkeert, wat de meesten waarschijnlijk niet zullen doen, val je onder de GDPR-regelgeving.

Als je je afvraagt of jouw bedrijf aan de GDPR voldoet, heeft het team van Mailjet een handige GDPR-quiz voor je gemaakt. We raden je dan ook aan om de GDPR Checklist te controleren.

De gevolgen van het niet naleven van de GDPR

Volgens data.verifiedjoseph zijn er door de GDPR (gemeten 20 maart 2019) nog steeds 1.129 websites die geen bezoekers accepteren vanuit de Europese Unie. 😱 Hieronder vallen veel grote nieuwsorganisaties.

De oorzaak? Dit heeft de simpele reden dat ze nog niet in staat zijn geweest om te voldoen aan de technische implementaties van de GDPR en geen boetes willen riskeren. Daarom hebben ze ervoor gekozen om simpelweg al het verkeer uit de EU te blokkeren.

Als jouw bedrijf niet voldoet aan de GDPR, kun je gedwongen worden tot het betalen van maximaal 4% van de jaarlijkse wereldwijde omzet of kun je een boete van maximaal € 20 miljoen (de hoogste van de twee) per overtreding krijgen. Er is ook een gelaagde benadering van boetes. Een bedrijf kan bijvoorbeeld een boete krijgen van 2% voor het niet op orde hebben van zijn administratie, het niet melden aan de toezichthoudende autoriteit en de betrokkene over een inbreuk of het niet uitvoeren van een effectbeoordeling. (Art. 83)

In januari 2019 bestrafte de privacywaakhond van Frankrijk Google met een boete van $57 miljoen voor het niet naleven van de GDPR. En inmiddels zijn er al meer dan 59,000 gerapporteerde datalekken en 91 boetes uitgedeeld (gemeten: februari 2019).

Bekijk deze GDPR Fines Tracker & Statistics van Privacy Affairs voor de meest recente statistieken. Als je eigenaar bent van een kleine e-commercewinkel of een WordPress-developer, dan kunnen deze boetes je al gauw de das omdoen!

Hoe kun je je WordPress-site GDPR-compatibel maken?

De reden dat je deze blogpost leest, is waarschijnlijk omdat je wilt weten hoe je je WordPress-site kunt laten voldoen aan de regels van de GDPR. In tegenstelling tot onze normale tutorials kunnen we in dit artikel geen makkelijk stappenplan presenteren, omdat de implementatie van GDPR per site enorm verschilt. Wat we wél kunnen doen is je een aantal suggesties geven om je op de goede weg te helpen gecombineerd met een paar punten waar je op moet letten.

1. Huur een advocaat in

Als je je zorgen maakt over het feit of je wel of niet voldoet aan de GDPR (wat de meesten van jullie waarschijnlijk doen), raden we je altijd aan om een advocaat in te huren, ook al is het maar tijdelijk. Dit is één van die gebieden waar we je dringend adviseren om niet zelf te gaan klungelen. Een advocaat kan je van specifiek juridisch advies voorzien. Nogmaals, elke fout die je maakt in het niet naleven van de GDPR, kan resulteren in fikse boetes.

2. Controleer jouw gegevensverzameling en verwerkings-workflow

We raden je aan om je WordPress-site na te gaan en te bepalen waar de verzameling en de verwerking van gegevens plaatsvindt, evenals waar die informatie wordt opgeslagen en voor hoe lang. Dit omvat dingen zoals:

  • Het verzamelen van persoonlijke informatie op een e-commerce kassapagina of een WordPress registratiepagina.
  • IP-adressen, cookie-identificaties en GPS-locaties.
  • Diverse diensten zoals Google Analytics, Hotjar, etc.

Nadat je al deze zaken hebt vastgesteld, moet je bevestigen dat je om de toestemming van de bezoeker vraagt en ook vermelden hoe de verzamelde gegevens wordt gebruikt.

3. GDPR-project is samengevoegd met WordPress Core for Developers

Dejlig Lama & Peter Suhm zijn begonnen met een project met de naam GDPR for WordPress. Het idee erachter is om ontwikkelaars van plugins voorzien met een eenvoudige oplossing voor de GDPR en om website-beheerders het overzicht en de tools te bieden voor administratieve taken die te maken hebben met het voldoen aan de GDPR. Groot nieuws is echter dat dit project onderdeel is geworden van de WordPress-core.

Om te zien wat er reeds uitgevoerd is, kan je de GDPR Trac-tickets en de roadmap voor GDPR-compliance bekijken. Dit was net zo belangrijk voor gebruikers van WordPress als voor ontwikkelaars, omdat GDPR-compliance tweerichtingsverkeer is. Gebruikers van WordPress hadden nieuwe features nodig, waarin bijvoorbeeld functies waren ingebouwd binnen de plugins die ze al gebruikten, zoals selectievakjes, prompts, enz. Dit om ervoor te zorgen dat ze zich aan de regels houden zijn bij het verzamelen van gegevens.

4. Werk alle juridische documenten bij

Met de komst van de GDPR is het nu tijd om jouw pagina’s met de algemene voorwaarden, het privacybeleid, de voorwaarden voor affiliatie, evenals alle andere juridische documenten of overeenkomsten, die je mogelijk hebt, bij te werken. Je kunt geen formulieren meer hebben zonder selectievakjes, tenzij ze allemaal onder de wettigheid van de verwerking vallen. Met andere woorden, er moet voor de gebruiker een manier zijn om specifiek toestemming te kunnen geven. De dagen van het simpelweg enkele termen in een link onderaan zetten en ervan uitgaan dat de gebruiker ze wel zal lezen zijn voorbij.

De toestemmingsvoorwaarden zijn aangescherpt en bedrijven zullen niet langer in staat zijn om lange onleesbare voorwaarden vol juridische termen te gebruiken, omdat het verzoek om toestemming moet worden gedaan in een begrijpelijke en gemakkelijk toegankelijke vorm met als doel om de gegevensverwerking aan die toestemming te kunnen koppelen. De toestemming moet duidelijk en te onderscheiden zijn van andere zaken en moet worden verstrekt in een begrijpelijke en gemakkelijk toegankelijke vorm, met gebruikmaking van heldere en duidelijke taal. Het moet net zo gemakkelijk zijn om de toestemming in te kunnen trekken als dat het is om het te geven. (Bron: EU GDPR)

Nogmaals, dit is een gebied waarvoor we je aanraden om de hulp van een advocaat in te roepen. Als je slechts een eenvoudig blog beheert, gebruik dan op zijn minst een tool zoals iubenda of iets dergelijks om een sterker privacybeleid te kunnen genereren.

Er is ook een nieuwe functie aan de privacypagina voor WordPress 4.9.6 toegevoegd. Je kunt nu een privacypagina op jouw site aanwijzen en deze wordt dan weergegeven op je aanmeldings– en registratiepagina’s. We raden je ook aan om het in je footer te plaatsen.

WordPress privacypagina
WordPress privacypagina

Hier is een voorbeeld van de standaard privacybeleidspagina die nu wordt gegenereerd door WordPress. Dit moet worden gebruikt als sjabloon en als startpunt en bevat niet alles wat je site nodig heeft.

Voorbeeldpagina privacybeleid in WordPress
Voorbeeldpagina privacybeleid in WordPress

5. Biedt overdraagbaarheid van gegevens aan

Volgens Art. 20 moet elk bedrijf dat gegevens verzamelt aan gebruiker de mogelijkheid bieden om gegevens te kunnen downloaden of naar elders te kunnen overdragen.

De betrokkene heeft het recht om de persoonsgegevens, die hem of haar betreffen en die hij aan een verantwoordelijke heeft verstrekt, in een gestructureerd en leesbaar formaat te ontvangen en heeft het recht om deze gegevens aan een andere controller door te geven, zonder belemmering van de controller aan wie de persoonsgegevens voor de verwerking zijn verstrekt.

Zorg dat je een systeem hebt geïnstalleerd om een gebruiker desgewenst een downloadbaar bestand van hun gegevens te kunnen bieden (.csv, .xml, enz.). Als je dit momenteel niet kunt aanbieden, is het verstandig om een WordPress-ontwikkelaar in te huren.

Er zijn met betrekking tot de gegevensverwerking in WordPress 4.9.6 nieuwe functies toegevoegd. Site-eigenaren kunnen nu een ZIP-bestand met de persoonlijke gegevens van een gebruiker exporteren en de persoonlijke gegevens van een gebruiker wissen. Er is ook een nieuwe e-mailmethode beschikbaar, die kan worden toegevoegd om de persoonlijke gegevens te bevestigen.

WordPress exporteert persoonlijke gegevens
WordPress exporteert persoonlijke gegevens

6. Zelfcertificering onder het Privacyschild Raamwerken

Vanwege het feit dat veel websites gegevens van over de hele wereld verzamelen en met de strengere regels met betrekking tot de persoonlijke gegevens, certificeren veel bedrijven nu onder de EU-VS en Swiss-US Privacyschild Raamwerken. Deze zijn door het U.S. Department of Commerce, de Europese Commissie en de Zwitserse overheid ontworpen om bedrijven aan beide zijden van de Atlantische Oceaan te kunnen voorzien van een mechanisme om te kunnen voldoen aan de vereisten voor gegevensbescherming bij de overdracht van persoonsgegevens uit de Europese Unie en Zwitserland naar de Verenigde Staten ter ondersteuning van de transatlantische handel.

Lees meer over de voordelen van zelfcertificering onder het Privacyschild.

7. Versleutel je data/HTTPS

In termen van codering zijn er verschillende delen: codering van jouw webverkeer (HTTPS) en codering waar jouw data worden opgeslagen. We raden je altijd aan om, ongeacht GDPR, je webverkeer te coderen. De voordelen van het overstappen naar HTTPS wegen zwaarder dan de nadelen en dat is waar het web uiteindelijk ook naar toe gaat.

De term versleuteling zelf wordt eigenlijk maar een paar keer in de GDPR genoemd en is ook niet verplicht.

Om beveiliging te kunnen handhaven en om verwerking in strijd met deze regulering te kunnen voorkomen, moet de controller of de verwerker de risico’s, die inherent zijn aan verwerking, evalueren en maatregelen zoals versleuteling implementeren om die risico’s te kunnen beperken. (Recital 83).

Hoewel het lijkt alsof codering wettelijk niet vereist is om te kunnen voldoen aan de GDPR, is het wel ten zeerste aan te bevelen, omdat jij uiteindelijk verantwoordelijk bent voor de gegevens. Als je een WordPress-host zoals Kinsta gebruikt, welke wordt aangedreven door Google Cloud Platform, betekent dat dat alle gegevens worden gecodeerd. Lees hier meer over GDPR-codering.

8. Controleer jouw WordPress-thema’s, plugins, diensten en API’s

Alle WordPress plugins of themaspecifieke functies die je hebt geïnstalleerd en die persoonlijke gegevens verzamelen of opslaan moeten worden bijgewerkt, zodat jouw site volledig op de GDPR is afgestemd. Als je een WordPress-ontwikkelaar bent, dan heb je hopelijk al de benodigde GDPR-wijzigingen aangebracht aan de websites van je gebruikers. We zullen hieronder enkele populaire plugins en configuraties samen met de directe links opnemen en bekijken hoe ze met GDPR omgaan.

Plugins voor contactformulieren

Een van de gemakkelijkste manieren om te voldoen aan de GDPR is om een vereist selectievakje aan jouw contactformulier toe te voegen, waarmee de gebruiker kan instemmen met het verzamelen en het opslaan van de door hem/haar ingediende gegevens. Het belangrijkste onderdeel is hier echter ‘het gemakkelijkst’. Niet alle contactformulieren hebben noodzakelijkerwijs toestemming nodig. Dit kan onder de zogeheten rechtmatigheid van de verwerking vallen.

Contact Form 7 GDPR
Contact Form 7 GDPR

Bekijk extra plugins voor WordPress-contactformulieren.

Plugins voor comments

Zelfs commentplugins verzamelen persoonlijke informatie. Dus net als bij contactformulieren is één van de gemakkelijkste manieren om ervoor te zorgen dat je bent afgestemd door een checkbox voor toestemming toe te voegen. Maar nogmaals, dit kan onder de zogeheten rechtmatigheid van de verwerking vallen.

Onlangs is in de WordPress 4.9.6 Privacy and Maintenance Release een nieuw selectievakje toegevoegd waarin om toestemming wordt gevraagd (zie hieronder).

WordPress native comments GDPR
WordPress native comments GDPR

Marketing plugins en diensten

Alle plugins voor nieuwsbrieven, enquêteplugins, quizplugins, pushmeldingplugins en je e-mailmarketingsoftware zal worden beïnvloed door GDPR.

Analytics, Tracking, Remarketing

Elke dienst of plugin van derden die gegevens verzamelt. Dit omvat zaken als Google Analytics, A/B-testplugins, heatmap-services, remarketingplatforms, enz. Met betrekking tot Google Analytics zelf kan het worden aanbevolen om de IP te anonimiseren.

Anoniem maken van IP in Google Analytics
Anoniem maken van IP in Google Analytics

In april 2018 lanceerde Google een nieuwe instelling voor Google Analytics voor het bewaren van gegevens. Deze besturingselementen geven je mogelijkheid om de hoeveelheid tijd in te stellen voordat gegevens op gebruikers- en evenementniveau, die zijn opgeslagen door Google Analytics, automatisch worden verwijderd van de servers van Analytics. Je hebt toegang tot deze instellingen onder Admin → Property → Trackinginfo → Data Retention.

Google Analytics data retention
Google Analytics data retention

Heb je ook een cookie nodig als je alleen Google Analytics-rapportage gebruikt en geen advertenties weergeeft? Dat ligt eraan. Bekijk deze post van Jeff: De naleving van de GDPR met Google Analytics – heb je toestemming voor Cookies nodig?

eCommerce-oplossingen en betalingsverwerkers

Elk website met WordPress eCommerce (bijvoorbeeld met WooCommerce) wordt uiteraard zwaar beïnvloed door de GDPR omdat deze verkoopgegevens, persoonlijke informatie en gegevens over het gebruikersaccount verzamelt en integreert met externe betalingsprocessors.

Naast de bovenstaande documentatie raden we ten zeerste aan om deze blogpost over 12 manieren om jouw WooCommerce-website af te stemmen op de GDPR te bekijken.

Community Plugins

Community plugins, forum plugins en lidmaatschap plugins slaan vaak nieuwe persoonlijke gegevens naast het geïntegreerde WordPress-aanmeldingsproces op.

API’s van derden

Zelfs API’s van derden verzamelen gegevens. Een goed voorbeeld hiervan is Google Fonts. De meesten van jullie gebruiken waarschijnlijk GoogleFonts, ongeacht of deze zijn voorgeprogrammeerd in jouw WordPress-thema of je deze handmatig hebt toegevoegd. Zorg ervoor dat je elke API bekijkt en de gegevens achterhaalt die de provider verzamelt. In sommige gevallen is het verzamelen van gegevens zonder toestemming toegestaan voor rechtmatige vooringenomenheid (Recital 49).

Dit kan een hoop (verwarrend) werk zijn, omdat sommige bedrijven, zelfs Google, misschien geen eenvoudige ja of nee antwoorden geven. Bekijk dit gesprek tussen ontwikkelaars over de vraag of Google Fonts GDPR-compatibel zijn. Je kunt je Google Fonts altijd lokaal op je eigen CDN hosten waarmee het probleem wordt opgelost.

We houden dit bericht up-to-date, omdat sommige ontwikkelaars van WordPress-plugins momenteel werken aan het toevoegen van GDPR-nalevingsopties. Toch moeten we melden dat veel ontwikkelaars nog niet zijn begonnen met het GDPR-ready maken van hun diensten. Als je je zorgen maakt over een plugin die je gebruikt, neem dan rechtstreeks contact op met de ontwikkelaar om te zien hoe zij van plan zijn om met GDPR om te gaan.

Rechtmatigheid van verwerking

Hoewel het simpelweg vragen om toestemming, zoals hierboven getoond, de eenvoudigste manier is om te voldoen aan GDPR, is dit niet de enige manier. In sommige gevallen is gegevensverwerking zonder toestemming toegestaan vanwege de term die bekend staat als de rechtmatigheid van verwerking. Hier zijn slechts enkele voorbeelden:

Contractuele noodzaak

Gegevensverwerking is toegestaan als dit noodzakelijk is voor de uitvoering van een contract, waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen voordat een overeenkomst wordt aangegaan (Art. 6 (1) b).

Rechtmatig belang

Gegevensverwerking is toegestaan wanneer dit noodzakelijk is voor de doeleinden van de legitieme belangen, die door de voor de verwerking verantwoordelijke of door een derde worden nagestreefd, tenzij dergelijke belangen worden geschonden door de belangen of de fundamentele rechten en de vrijheden van de betrokkene, die de bescherming van persoonsgegevens vereisen. Dit geldt met name wanneer de betrokkene een kind is. (Art. 6 (1) f)

Opmerking: Dit geldt niet voor de verwerking door overheidsinstanties bij de uitvoering van hun taken.

Voor verdere voorbeelden raden we je aan om de post Lawful Basis for Processing van White & Case LLP te bekijken.

Nuttige WordPress plugins voor de GDPR

Hieronder staan enkele handige plugins waarvan we je aan kunnen raden om te kijken of deze je kunnen helpen:

  • WP Security Audit Log: één van de beste manieren om echt te zien wat er gebeurt met jouw WordPress-site. We raden deze meestal om veiligheidsredenen aan, maar het kan een uitstekende manier zijn om te bekijken welke gegevens er worden verzameld, zoals gebruikersregistraties, opmerkingen, contactformuliervermeldingen, etc.
  • WP GDPR Compliance: deze plugin ondersteunt website- en webshop-eigenaren door algemene tips te bieden om te kunnen voldoen aan integraties met enkele populaire plugins, zoals Gravity Forms, Contact Form 7, WooCommerce en native comments van WordPress.
WP GDPR Compliance
WP GDPR Compliance
  • GDPR: een andere plugin die je helpt om je website af te stemmen op GDPR. De plugin bevat de servicevoorwaarden en het privacybeleid voor het beheer van toestemmingsvergunningen, het recht om persoonsgegevens te wissen en te verwijderen met een bevestigingse-mail, instellingen van de gegevensverwerker en publicatie van contactgegevens, recht op toegang tot gegevens van beheerdersdashboard en het exporteren, het beheer van cookievoorkeuren en nog veel meer.
  • GDPR Cookie Compliance: sta gebruikers toe om toestemming te geven voor specifieke cookiedoeleinden met de mogelijkheid om cookies in te schakelen en uit te schakelen op een gedetailleerd niveau.
  • iubenda Cookie Solution for GDPR: deze plugin is een alles-in-één-aanpak die helpt om jouw website GDPR-compatibel te maken door de privacybeleidstekst, de cookie-banner en het blokkeerbeheer van cookies te genereren. Het scant ook automatisch je site om de oplossingen automatisch te configureren. Tot slot kunt je ook GDPR contentrecords voor je webformulieren vastleggen, opslaan en beheren en documenten met één klik vertalen (10 talen ondersteund).
  • Complianz GDPR: deze plugin doet vrijwel alles wat je nodig hebt voor het afstemmen op de GDPR! Het detecteert automatisch of je een cookiewaarschuwing nodig hebt, integreert met Google Analytics (je hebt misschien geen waarschuwing nodig), scant je site op cookies, heeft de mogelijkheid om cookies te blokkeren, genereert een cookiebeleid en nog veel meer.
  • GDPR Cookie Consent: met deze plugin kan je een notificatie op je WordPress-site weergeven met daarin toestemming voor cookies. Het zorgt dat cookies alleen worden geïnstalleerd in de browser van de gebruiker wanneer deze uitdrukkelijk toestemming heeft gegeven. Gebruikers kunnen hun toestemming op elk moment intrekken. Bovendien biedt de plugin de mogelijkheid om de stijl aan te passen naar het thema van je website.

We hebben onze eigen WordPress Cookie Consent plugin gebouwd

Omdat elk bedrijf en elke website anders is, is het voor een externe plugin bijna onmogelijk om te garanderen dat de GDPR wordt nageleefd.

Dit is precies waarom we onze eigen GDPR plugin voor cookie consent hebben gebouwd. Op deze manier kunnen bezoekers van onze site gemakkelijk alles aanpassen op basis van de scripts en cookies die op onze site uitgevoerd worden. Hiermee zorgen we dat we 100% compatibel zijn met de GDPR.

WordPress plugin voor aangepaste cookie consent
WordPress plugin voor aangepaste cookie consent

We hebben onze cookies ingedeeld in twee categorieën: noodzakelijke cookies (die standaard worden geïnstalleerd, maar geen PII verzamelen) en marketingcookies. Een gebruiker kan op elke afzonderlijk klikken en kiezen of hij ze wil accepteren of niet.

Cookie instellingen
Cookie instellingen

We zullen een blog schrijven over hoe we deze oplossing hebben gebouwd, dus houd ons in de gaten! Je kan natuurlijk altijd een WordPress-ontwikkelaar inhuren om een plugin te ontwikkelen die specifiek voldoet aan de eisen van jouw site.

GDPR Audit

Helemaal in de war? 😦 Maak je maar geen zorgen. Het is duidelijk dat GDPR voor best veel verwarring kan zorgen en het is een enorme verandering met betrekking tot het verzamelen van persoonlijke gegevens. Als je je zorgen maakt over je eigen WordPress-site, is het misschien verstandig om te investeren in een GDPR-audit door een expert, bij voorkeur een expert die uitsluitend met WordPress werkt. We raden je aan om de GDPR-audit van GreyCastle Security eens te bekijken.

Veranderingen die Kinsta maakte voor GDPR

Omdat Kinsta in Europa is opgericht, hebben we vanaf het begin al te maken gehad met strengere beperkingen over hoe we met onze data omgaan. Maar zoals bij elk bedrijf, moesten ook wij ons hele beleid opnieuw tegen het licht houden met ons juridische team met betrekking tot gegevensverwerking, verzameling en opslag.

Zoals je hierboven kon lezen, viel ook onze WordPress-site hieronder en was ook het bouwen van onze eigen cookie consent plugin hier onderdeel van, zodat we volledige compliance konden garanderen binnen de gestelde termijn.

Kinsta maakt gebruik van Google Cloud Platform dat voor 100% de GDPR naleeft. Daarnaast we hebben al onze externe leveranciers en integraties beoordeeld en met hen overeenkomsten getekend die overeenkomen met de GDPR.

Enkele wijzigingen, die we hebben geïmplementeerd, zijn onder meer:

Als klant van Kinsta word je een controller genoemd. Dit betekent dat jij verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om te garanderen en aan te tonen dat elke gegevensverwerking wordt uitgevoerd in overeenstemming met de AVG.

Samenvatting

Zoals je waarschijnlijk al begrepen hebt, is GDPR een grote uitdaging. Het beïnvloedt bijna elke WordPress-site op het internet. De deadline is verstreken en daarom moedigen we iedereen aan om de tijd te nemen, onderzoek te doen en ervoor te zorgen dat de site volledig toegerust is. Als je dat niet doet, zouden er een paar behoorlijk forse boetes voor je in het verschiet kunnen liggen!

Heb je vragen over de GDPR en WordPress? Zet ze hieronder in de comments. Of als je een andere populaire WordPress plugin kent, die al aan de GDPR voldoet, laat het ons dan weten en dan voegen we het hierboven toe!

Brian Jackson

Brian heeft een enorme passie voor WordPress, gebruikt het al meer dan tien jaar en heeft zelfs al aantal premium plugins ontwikkeld. Brian houdt van bloggen, films en hikes. Kom in contact met Brian op Twitter.