Checklist WordPress website en AVG

JaxxTip website

Checklist om je website te controleren voor AVG

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

 

Met behulp van deze checklist kan je nagaan of en hoe er persoonsgegevens worden verzameld binnen jouw WordPress website.

Door een duidelijk overzicht te maken, kan je goed inventariseren of deze gegevens conform de privacywet worden verzameld. Of dat er misschien aanpassingen moeten worden doorgevoerd.

 

Eerst een goed overzicht krijgen

 Hosting en beheer

Exerne diensten hebben ook toegang tot jouw website. Hebben zij alles goed geregeld? Heb je de juiste afspraken met ze gemaakt?
hosting partij Is er een verwerkingsovereenkomst?
back-up Waar wordt deze opgeslagen?
externe beheerders Is er een verwerkingsovereenkomst?

Plug-ins

Welke plug-ins worden gebruikt in je website? Geef per plug-in aan of er persoonsgegevens worden verzameld en waar deze gegevens worden opgeslagen.
Contactformulier Welke informatie vraag je en waar wordt deze opgeslagen?
Webwinkel Welke informatie vraag je en waar wordt deze opgeslagen? Denk aan NAW gegeven van je klanten en de bankgegevens?
E-mailmarketing Welke informatie vraag je op, wat doe je met deze informatie en naar welke diensten wordt die informatie verstuurd?
Reactie plug-ins

 

Bijvoorbeeld Akismet, die de reacties, e-mailadressen, IP adressen van de bezoekers gebruikt om spam te filteren. Worden deze gegevens ergens opgeslagen?
Veiligheid De meeste plug-ins voor veiligheid verwerken het IP adres en de locatie van je bezoekers. Hoe werkt dat bij de plug-in die jij gebruikt?
Back-up plug-ins Complete kopieën van je website zijn privacy gevoelig wanneer ze in verkeerde handen vallen. Waar worden back-ups opgeslagen en hoe zijn ze beveiligd?
Statistieken Gebruik je Google Analytics of een Facebook pixel in je website? Breng in kaart welke gegevens er worden opgeslagen van de bezoekers van je website.
Andere plug-ins Geef per plug-in aan of er persoonsgegeven worden verzameld en waar deze worden opgeslagen.

Diensten buiten Europa

Controleer of je gebruik maakt van diensten buiten Europa en of deze partijen voldoen aan de AVG (in het Engels GDPR)

Duur

Ga na hoelang de persoonsgegevens worden bewaard en of dit niet langer dan noodzakelijk is.

Wachtwoorden 

Ga na welke gebruikers toegang hebben tot je WordPress website en hoe goed de wachtwoorden zijn samengesteld.

Overig 

Zijn er nog meer onderdelen waar persoonsgegevens kunnen worden verzameld?

 

Daarna verklaren waarom

Van alle persoonsgegevens die worden verzameld op je WordPress website moet je kunnen verklaren waarom je die verzameld.

Je mag de gegevens verzamelen als ze voldoen aan één van de volgende redenen:

Omdat dit is afgesproken in een overeenkomst

Bijvoorbeeld een verwerkingsovereenkomst met de externe beheerder van je website.

Omdat de wet eist deze gegevens vast te leggen

Bij een webwinkel verzamel je facturen met klantgegevens die nodig zijn voor de belasting.

Omdat je expliciet toestemming hebt gekregen

Bij een inschrijfformulier wordt bijvoorbeeld toestemming gegeven om de gegevens te gebruiken voor het verzenden van de nieuwsbrief.
Belangrijk is wel:

  • Dat deze gegevens vrijwillig worden gegeven. Er is geen vorm van dwang of misleiding.
  • De checkbox die dit aangeeft mag dus niet al aangevinkt staan.
  • De toestemming moet per onderdeel worden gegeven. Men kan zich niet tegelijk inschrijven voor een evenement én een nieuwsbrief.
  • De organisatie die de gegevens verwerkt wordt genoemd.
  • De toestemming moet weer ingetrokken kunnen worden.

Omdat het verzamelen te rechtvaardigen is

Een onderneming heeft een gerechtvaardigd belang wanneer

  • De verwerking binnen een klantrelatie plaatsvindt.
  • Zij persoonsgegevens verwerkt voor direct-marketingdoeleinden.
  • Om fraude te voorkomen of om de netwerk- en informatiebeveiliging van haar IT-systemen te waarborgen.

Verwijderen

Wanneer een plug-in geen goede rede heeft of persoonsgegevens te verzamelen, moet je die plug-in van je website verwijderen. Zoek eventueel na een nieuwe plugin die wel aan de eisen voldoet.

Procedures aanmaken

Leg protocollen vast voor de verschillende situaties waar je mee te maken kunt krijgen. Zorg dat je helder hebt welke informatie zich op welke plekken bevindt, zodat je dit later niet uit hoeft te zoeken.

Leg in ieder geval procedure vast voor:

Verzoeken van personen

Personen mogen toegang vragen tot hun persoonsgegevens. Ze mogen vragen deze aan te passen of in zijn geheel te verwijderen.

Veiligheid

Leg vast hoe je ervoor zorgt dat de gevens van je website veilig blijven.
Denk hierbij aan een consequent update beleid van WordPress, thema en plug-ins. En een veilige opslag van back-ups. Maar ook het gebruik van complexe wachtwoorden voor iedereen die toegang heeft tot het WordPress gedeel van je website.

Datalekken

In het geval van datalekken moet je volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren. Zorg er dus voor dat je vast hebt gelegd welke stappen je moet nemen, omdat tijd op zo’n moment kostbaar is.

Informeren en om toestemming vragen

Informeer de bezoeker van je website op een helder en transparante manier. Dit kan door middel van een privacyverklaring en een cookiebeleid. Deze kan je bijvoorbeeld in de footer van je webiste plaatsen.


Even samen sparren over deze checklist? Of heb heb je andere vragen of opmerkingen? Neem dan contact met me op.

wordpress website en avg