WordPress website en privacywet AVG

JaxxTip website

Voldoet jouw WordPress website aan de nieuwe privacywet AVG?

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

25 mei van dit jaar gaat de nieuwe privacywet in. Vanaf dat moment gelden voor heel Europa dezelfde regels voor het verwerken en bewerken van persoonsgegevens. Dit is dus ook van toepassing op jouw WordPress website. Zeker wanneer je gebruik maakt van een contactformulier, Google Analytics of een Facebook Pixel. En helemaal wanneer je een webshop hebt.

De nadruk, binnen deze wet, ligt op de verantwoordelijkheid om aan te kunnen tonen dat jij je aan de wet houdt. Een gedegen documentatie van de persoonsgegevens die, in dit geval, op de website worden verzameld en wat daarmee wordt gedaan, is daarbij van belang.­­

Persoonsgegevens

Wat zijn nu de persoonsgegevens waar het over gaat? En wanneer zijn deze privacygevoelig?
Dit zijn:

  • Naam
  • Postadres
  • E-mailadres
  • Locatie data (bijvoorbeeld GPS coördinaten)
  • IP adressen

Ter verduidelijking: De bedrijfsinformatie met bijbehorende organisatienaam, e-mailadres, postadres e.d. vallen niet onder persoonsgegevens.

Extra gevoelige persoonsgegevens

Er zijn ook een aantal persoonsgegevens die onder de categorie gevoelige persoonsgegevens vallen. Hier gaat het om:

  • BSN
  • Ras
  • Medische informatie
  • Sexuele voorkeur
  • Religie
  • Politieke voorkeur

Stappenplan

Met dit stappenplan krijgt je snel inzicht op de belangrijkste AVG-thema’s waar je jezelf op zou moeten voorbereiden. Dit zijn:

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Privacy by design en privacy by default
  5. Meldplicht datalekken
  6. Verwerkersovereenkomsten
  7. Toestemming

1. Bewustwording

Zorg ervoor dat je op de hoogte bent van de nieuwe privacywetgeving. Je moet duidelijk hebben van de impact is van de AVG op de huidige processen binnen je website en welke aanpassingen er eventueel nodig zijn om te voldoen aan de AVG.

2. Rechten van betrokkenen

Informeren, toestemmen of weigeren

Personen hebben het recht om geïnformeerd te worden voordat hun gegevens op je WordPress website verzameld, bewerkt en verwerkt worden. Bovendien moeten de gebruikers hier expliciet toestemming voor hebben gegeven. Dit kan bijvoorbeeld door het akkoord geven op een cookie-melding of een extra vinkje bij het aanmelding bij de nieuwsbrief. Let erop, dat dit vinkje standaard niet aan mag staan!
Tot slot moeten gebruikers het instemmen later ook weer kunnen weigeren, bijvoorbeeld door zich weer uit te kunnen schrijven of door cookie-instellingen te kunnen herzien.

Informatie opvragen

Personen waarvan je WordPress website persoonsgegevens verzamelt, mogen deze gegevens bij je opvragen. Deze gegevens moeten binnen een maand overhandigd worden. Hiervoor mag je geen kosten in rekening brengen. De gegevens moeten in een vrij eenvoudig te openen format geleverd worden. Denk hierbij aan een Excel-sheet of een CSV-bestand.

Bewerken, beperken of verwijderen

De consument mag je vragen om eventuele foutieve informatie te rectificeren, én mag je verzoeken om persoonsgegevens verder niet meer te bewerken (maar nog wel op te slaan). Daarnaast heeft elke persoon ‘het recht om vergeten te worden’. Met andere woorden: op verzoek moet je de gegevens van een persoon ook volledig kunnen verwijderen.

Klachten 

Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

3. Overzicht verwerkingen

Breng duidelijk in zicht hoe er op je website persoonsgegevens worden verzameld. Met welk doel deze worden verzameld. Waar deze worden opgeslagen. En hoe lang dit gebeurd. Ook moet duidelijk zijn met wie deze informatie wordt gedeeld.

4. Privacy by design en privacy by default

Privacy by design betekend dat je al bij het ontwerp van producten en diensten ervoor zorgt dat persoonsgegevens goed worden beschermd

Privacy by default betekend dat je technische en organisatorische maatregelen neemt om ervoor te zorgen dat je, standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel van, in dit geval, je website.

5. Meldplicht datalekken

In het geval van datalekken moet je volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren.

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.

Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

Als een bedrijfstelefoon verloren of gestolen wordt, dan is dat mogelijk een datalek. Als een privételefoon kwijtraakt is er geen datalek (de Wbp is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden).

(informatie: justitia.nl)

6. Verwerkersovereenkomsten

Met externe partijen zoals je hosting partij en beheerder van je website moeten verwerkingsovereenkomsten worden aangegaan.

7. Toestemming

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokken. Bij je WordPress website gaat dit bijvoorbeeld over het gebruik van de persoonsgegevens voor het versturen van je nieuwsbrief. Hier heb je vooraf toestemming voor nodig. En dat moet je aan kunnen tonen.

Belangrijk hierbij is:

  • Dat deze gegevens vrijwillig worden gegeven. Er is geen vorm van dwang of misleiding.
  • De checkbox die dit aangeeft mag dus niet standaard aangevinkt staan.
  • Toestemming moet per onderdeel worden gegeven. Men kan zich niet tegelijk inschrijven voor een evenement én een nieuwsbrief.
  • De organisatie die de gegevens verwerkt wordt genoemd.

Even samen sparren over de privacywet en jouw website? Of heb heb je andere vragen of opmerkingen? Neem dan contact met me op.

WordPress website en privacywet AVG