AVG / GDPR van kracht! 7 handige plug-ins voor WordPress

AVG, GDPR van kracht, wat nu? 7 handige WordPress plug-ins

Goed, je hebt een webshop. Bestellingen komen binnen, pakketjes worden bezorgd. Hiervoor heb je uiteraard de NAW-gegevens nodig. Om online te bestellen heb je een e-mail adres nodig. Voor zover niets nieuws. Om bij de koper (opnieuw) onder de aandacht te komen verstuur je een nieuwsbrief. Het e-mail adres is tenslotte al in je bezit. Fout! Dit is een veelgehoorde reactie. Maar wat is er fout!? 

Door de nieuwe privacywet rondom AVG/GDPR die nu van kracht is gelden er nieuwe regels. Dit wil niet zeggen dat je niet meer mag mailen. Maar je dient te allen tijden antwoord te kunnen geven op de wijze waarop je de beschikking hebt gekregen over het e-mail adres. Mailen mag gewoon. Stelregel die je hierbij kan aanhouden is dat er persoonlijk contact is geweest en dat vinkjes (by default) niet automatisch aangevinkt stonden voor bijvoorbeeld het accepteren van de algemene voorwaarden en de nieuwsbrief. (Nog een weetje: Een nieuwsbrief is wat anders dan een mailing, hiervoor is in juridische zin geen actieve opt-in vereist. Je hoeft de buurman tenslotte ook geen toestemming te vragen om gedag te zeggen en bij te praten over bijvoorbeeld ontwikkelingen in de wijk.)

Maar de nieuwe privacywet is van kracht. We maken het je graag makkelijk. We hebben een selectie gemaakt van 7 handige WordPress plug-ins zowel betaalde als gratis varianten die je organisatie GDPR proof maken.

1. GDPR Consent

Met de GDPR Consent plugin ($39) kan je voorkomen dat je website de persoonsgegevens van je bezoeker al heeft verzameld voordat deze nog op je website is geweest. De nieuwe wet eist namelijk van je dat de bezoekers van je website eerst toestemming moeten geven. Een cookie-wall mag je echter daar niet voor gebruiken. Maar je wilt uiteraard wel dat je website gewoon blijft werken. Wat betekent dit voor jou? Als je een WordPress website hebt dan mogen veel plug-ins zoals Adwords of Facebook Pixels pas aan staan nadat de bezoeker hier mee akkoord gaat.

De GDPR Consent plug-in zorgt voor deze toestemmingen. Met deze plug-in kun je de toestemming van de klant specificeren en aanpassen. Hierbij kun je aanvinken welke plug-ins er actief worden nadat hier akkoord mee is gegaan. Dit wordt aan de hand van een kleine pop-up balk gedaan. Afhankelijk van waar de bezoeker toestemming voor geeft worden de plug-ins aangezet.

GDPR Consent sPitch online marketingbureau Arnhem
Delete Me sPitch online marketingbureau Arnhem

2. Delete Me

Een ander aspect van de privacywet is het ‘recht om vergeten te worden’. Als een persoon vraagt aan jou om zijn of haar persoonlijke gegevens te verwijderen, zul je hieraan moeten voldoen. De gratis plug-in Delete Me zorgt ervoor dat je deze werkzaamheden niet met de hand hoeft uit te voeren. Deze plug-in geeft de bezoeker van je website de gelegenheid om dit zelf te doen (wat betreft je website). Hierbij moet gedacht worden aan de geplaatste reacties van deze bezoeker, de berichten of alle links.

Als je een website hebt met veel leden, of gebruikers die veel reageren op content zoals artikelen, dan is deze plug-in zeer handig. Onthoud echter wel: deze plug-in verwijdert niet het werk van eventuele andere plug-ins die op je website persoonsgegevens opslaan.

3. Wider Gravity Forms Stop Entries

De kans is groot dat jouw WordPress website de Gravity Forms plug-in gebruikt. Voor velen is dit de go-to plug-in wat betreft formulieren bouwen voor een WordPress website. Inzendingen op deze formulieren worden opgeslagen in de WordPress website. Deze kunnen vervolgens worden gemaild of overgezet worden naar externe partijen. Wanneer de inzendingen naar een ander systeem worden geplaatst, is het niet direct nodig om deze inzendingen ook in de website te bewaren.

Als aanvulling op Gravity Forms is er de gratis plug-in Wider Gravity Forms Stop Entries. Volgens de AVG moeten de gegevens van je bezoeker/gebruiker niet onnodig bewaard blijven. Deze plug-in is daarbij zeer handig. Hij verwijdert alle inzendingen meteen uit je WordPress database zodat de formulieren alleen nog in je externe systeem zitten. Hierbij moet je wel letten op het feit dat je nu geen back-up meer hebt van je inzendingen.

Stop Entries sPitch online marketingbureau Arnhem

4. Gravity Forms Encrypted Fields

Als aanvulling op de vorige plug-in is er de Gravity Forms Encrypted Fields plug-in. Als je inzendingen van je formulieren binnen je WordPress website bewaart dan kun je deze gegevens ook versleutelen. Deze plug-in neemt deze taak op zich. Voor $ 27 kun je Gravity Forms Encrypted Fields gebruiken om alle gebruikersgegevens te versleutelen in je database. Vervolgens kun je instellen welke personen welke inzendingen wel mogen inzien. Werk je in de zorg? Dan geeft dit een extra voordeel, omdat je persoonsgegevens met een verhoogd risico nu beter kunt beveiligen. Deze hoeven niet gezien te worden door alle WordPress beheerders.

Gravity Encrypted Fields sPitch online marketingbureau Arnhem

5. WP GDPR Compliance

Bezoekers moeten voortaan expliciet hun toestemming hebben gegeven aan je bedrijf om hun gegevens te mogen verwerken. Binnen de AVG wetregels uit dit zich als het aanvinken van een checkbox. Als je deze toestemming niet hebt en je checkbox staat standaard al aangevinkt, dan overtreed je de regels.

Het verkrijgen van die toestemming binnen je WordPress website is voornamelijk handwerk. Een eerste stap is al om ervoor te zorgen dat je checkboxen niet standaard zijn aangevinkt. 

Voor de plugins Contact Form 7, WooCommerce en WordPress Comments is er gelukkig de gratis plugin WP GDPR Compliance, die deze vinkjes voor jou plaatst. In de toekomst zullen meer plug-ins worden ondersteund.

WP GDPR Compliance sPitch online marketingbureau Arnhem
Privacy Genius sPitch online marketingbureau Arnhem

6. Policy Genius

Om te kunnen voldoen aan de AVG-regels is een belangrijk aspect dat je je privacy beleid inzichtelijk maakt. Bij de meeste instanties kom je dit beleid vaak tegen in de footer van de website. Dit beleid moet duidelijk en helder zijn. Je kunt echter op elke gewenste plek binnen de site naar dit beleid verwijzen. Om je te ondersteunen met het opstellen van het privacy-beleid kun je gebruik maken van de gratis Policy Genius plug-in. In een paar simpele stappen wordt je op weg geholpen. Deze plug-in is echter niet het antwoord op al je vragen, spreek bij onzekerheid eerst een jurist.

7. Cookiebot

Er bestaat een kans dat jouw website gebruik maakt van een cookie-wall. Dit volstaat nu niet meer. Gelukkig kan Cookiebot je helpen. Cookiebot is een volledig voor GDPR en ePrivacy richtlijn geschikte cookie-oplossing.

Cookiebot informeert je op een inzichtelijke en eenvoudige manier over alle cookies die in gebruik zijn en geeft de bezoekers van je site de keuze om in te loggen in de verschillende soorten cookies. Tevens slaat Cookiebot ook al deze toestesmmingen op als documentatie.

Wanneer een gebruiker voor het eerst je website bezoekt, toont Cookiebot een makkelijk dialoogvenster, ongeacht op welke pagina deze gebruiker voor het eerst terechtkomt. Dit dialoogvenster kun je zelf configureren en informeert de bezoeker over het gebruik van cookies en vraagt om toestemming om cookies in te kunnen stellen. De betreffende keuze van de bezoeker wordt voor 12 maanden lang onthouden, waarna de banner van Cookiebot automatisch weer tevoorschijn komt. Alleen de meest noodzakelijke cookies worden ingesteld voordat de gebruiker zijn toezegging geeft. Als de bezoeker de website bezoekt zonder expliciet toestemming te geven voor het gebruik van cookies dan zet de plug-in automatisch de actieve toestemming in. Het toestemmingsmechanisme kan worden geconfigureerd om te voldoen aan de huidige regelgeving in alle EU-lidstaten.

Als laatste check kun je ook gebruik maken van de website die Cookiebot online heeft staan. Hier kun je je eigen website invoeren om te checken of je aan hun voorwaarden voldoet.

Cookiebot sPitch online marketingbureau Arnhem

Recap: Deze 7 WordPress plug-ins kan je gebruiken om AVG/GDPR ready te zijn.

Met deze 7 WordPress plug-ins ben je weer een stap verder om je organisatie AVG/GDPR ready te maken. Het lijkt verwarrend of overweldigend, maar zoals nu blijkt kom je met één van deze 7 plug-ins al een heel eind. Wil je specifieker advies of heb je nog andere vragen? Neem dan contact op met sPitch. Dan zorgen wij er samen voor dat je organisatie klaar is voor de nieuwe privacy wetgeving.

(Matthieu Reijers op persoonlijke titel: “Laat je niet bang maken of van de wijs brengen, maar handel altijd ten goeder trouw. Wees op je hoede voor organisaties die commercieel inspelen op angsten en gebruik maken van de AVG/ GDPR wetgeving. Antoinette Hertsenberg brengt hoogstwaarschijnlijk geen bezoekje aan jouw organisatie. En bovendien: Hoe gaat de AP dit handhaven?”)

In 8 stappen GDPR proof? Hier moet je aan voldoen.

In 8 stappen GDPR proof en alles geregeld op het gebied van data privacy

De GDPR (General Data Protection Regulation) of AVG (Algemene verordening gegevensbescherming) is de nieuwe wetgeving voor alles op het gebied van data privacy. Deze wet treedt op 25 mei 2018 in werking. De Autoriteit Persoonsgegevens (AP) zal controleren of je organisatie voldoet aan de eisen.

Wat verandert er?  Waar moet je organisatie aan voldoen?

De GDPR versterkt de positie van de betrokkene. Dit is degene waarvan de gegevens worden verwerkt. De betrokkene krijgt nieuwe privacyrechten en bestaande rechten worden sterker. Als je als organisatie veel persoonsgegevens opslaat krijg je meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van de organisatie om te kunnen aantonen dat zij zich aan de wet houden.

In dit artikel wordt uitgelegd welke stappen een organisatie moet volgen om aan GDPR te voldoen, waar de organisatie rekening mee moet houden en wat dit betekent voor de betrokkenen.  

Stap 1. Categoriseer je persoonsgegevens

Het is belangrijk om te weten dat de GDPR niet alleen geldt voor persoonsgegevens die de organisatie opslaat zodra de wetgeving is ingegaan. Het geldt voor alle persoonsgegevens. Het is belangrijk om daarom alle persoonsgegevens die verwerkt en opgeslagen worden zo goed mogelijk te categoriseren zodat, mocht het zover komen, aangetoond kan worden dat de organisatie voldoet aan alle verplichtingen uit de GDPR.

Als organisatie is het belangrijk om alleen de persoonlijke gegevens op te slaan die daadwerkelijk nodig zijn. Nu de GDPR ingaat zal het begrip ‘persoonsgegevens’ ook verbreed worden. Unieke IP-adressen en cookies vallen ook onder deze gegevens. De gegevens die niet meer gebruikt worden moeten verwijderd worden. Als een betrokkene vraagt zijn gegevens in te mogen zien moet de organisatie dit toestaan. De organisatie moet dan aan kunnen tonen of de organisatie zijn persoonsgegevens gebruikt, om welke gegevens het gaat, wat het doel is van het gebruik, aan wie de organisatie de gegevens eventueel heeft verstrekt en wat de herkomst is van de gegevens, als dit bekend is.

Stap 2. Breng je gegevensverwerkingen in kaart

Als de GDPR-wetgeving ingesteld gaat worden moet je als organisatie de complete gegevensverwerkingen in kaart brengen. Denk hierbij aan het documenteren van welke persoonsgegevens verwerkt worden, met welk doel, waar deze gegevens vandaan komen en met wie de gegevens worden gedeeld. De organisatie moet namelijk aan kunnen tonen dat er gehandeld wordt naar de GDPR. De persoonsgegevens moeten op een transparante manier verwerkt worden en mogen alleen voor een duidelijk omschreven doel verwerkt worden. De gegevens moeten noodzakelijk, correct, actueel zijn en de gegevens moeten verwijderd en beveiligd kunnen worden.

Stap 3. Sluit een overeenkomst af met je bewerker

Onder de GDPR is het verplicht om een overeenkomst af te sluiten met bewerkers. Een bewerker is iemand die buiten de organisatie staat en ten behoeve van de organisatie persoonsgegevens verwerkt. Denk hierbij aan een ontwerpbureau dat een opdracht doorgeeft aan een marketingbureau, maar deze blijft werken onder de naam van het ontwerpbureau. De bewerker is een derde partij. In de overeenkomst moet in ieder geval voorkomen:

  • Het doel van de verwerking,
  • Het soort persoonsgegevens dat wordt verwerkt;
  • De duur van de gegevensverwerking;
  • Het onderwerp van de gegevensverwerking;
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt;
  • Vernietiging van de verwerking of retourneren van persoonsgegevens aan verantwoordelijke.

Stap 4. Documenteer datalekken

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Deze data kan uitlekken door beveiligingsproblemen. Een voorbeeld hiervan is een uitgelekt computerbestand maar het kan ook een geprinte klantenlijst zijn.

De meldplicht datalekken veranderd onder de GDPR niet veel ten opzichte van de voorgaande privacywet. Nieuw is dat als een organisatie samenwerkt met een bewerker, deze verplicht is een datalek te melden aan de verantwoordelijke. Een organisatie moet alle datalekken documenteren zodat de Autoriteit Persoonsgegevens kan controleren of de organisatie aan de meldplicht voldoet.

Je organisatie moet rekening houden met de volgende onderdelen:

Toestemming moet uit een actieve handeling bestaan

Alle toestemming die verkregen wordt moet uit een actieve handeling bestaan. Een voorbeeld hiervan is dat er geen vooraf aangevinkte vakjes mogen bestaan. De vraag om toestemming moet duidelijk en begrijpelijk zijn en dus in eenvoudige taal beschreven worden. Hiernaast heeft de betrokkene altijd het recht om de toestemming in te trekken. Dit moet tevens vermeld worden. Je kunt als organisatie bijvoorbeeld een persoonsgegevens uitschrijf formulier maken die opgevraagd kan worden door de betrokkene. Als organisatie moet je de manier waarop je toestemming vraagt, krijgt en registreert vastleggen. Je bepaald ook zelf hoelang je deze gegevens bewaard. Het is aan te raden de gegevens niet langer te bewaren dan nodig is.

Betrokkenen krijgen meer rechten

Bij de GDPR staat transparantie voorop. De betrokkene moet duidelijk geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. De betrokkene krijgt ook meer privacy rechten. Dit zijn het recht op inzage en het recht op correctie en verwijdering, maar ook het recht op dataportabiliteit. Dit houdt in dat de betrokkene recht heeft op overdraagbaarheid van zijn data. Als je als klant overstapt naar een andere organisatie kun je je gegevens opvragen en doorsturen naar een andere organisatie. Dit geldt alleen wanneer gegevens worden verwerkt op basis van toestemming of een overeenkomst. Als organisatie ben je verplicht om een kopie van de gegevens te verstrekken in een gestructureerde, algemeen gebruikte, leesbare vorm.

Mogelijkheid tot uitvoeren Data Protection Impact Assessment (DPIA)

Een DPIA hoeft alleen uitgevoerd te worden als de gegevensbewerking een hoog privacy risico met zich mee brengt. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Het is een middel om naleving van de privacyregelgeving te verbeteren. De organisatie moet zelf inschatten of de gegevens die verwerkt worden een hoog privacy risico met zich meebrengen. Zo ja, dan moeten er maatregelen getroffen worden die de risico’s verkleinen.

Een voltooide DPIA bestaat uit een:
A. Een beschrijving van de gegevensverwerking en het doel van de verwerking;
B. Een beschrijving van de rechtsregels, de noodzaak, evenredigheid en verenigbaarheid van de verwerkingsdoeleinden;
C. Beschrijving van de risico’s voor betrokkenen;
D. De voorgenomen maatregelen om deze gevolgen en risico’s van de gegevensverwerkingen aan te pakken.

GDPR Proof of waag je liever een gokje?

GDPR gokje wagen sPitch

Houd rekening met privacy by design & privacy by default

Onder de GDPR zijn privacy by design & privacy by default bekende termen. Privacy by design houdt in dat er vanaf het eerste ontwerpproces al rekening gehouden moet worden met de privacygegevens. De gegevens die verwerkt worden moeten noodzakelijk zijn voor het eindresultaat. Als er toch gegevens verwerkt worden is pseudonimiseren een goede manier om gegevens te beveiligen. Met pseudonimiseren worden persoonsgegevens veranderd in data die niet meer direct herleidbaar is tot een persoon. Om dit te doen worden de direct identificeerbare elementen van persoonsgegevens weggehaald, zoals de naam, of de dataset wordt omgecodeerd tot een nummer. De gegevens worden niet anoniem. De gegevens die weggelaten zijn, worden namelijk niet verwijderd. Mocht dit wel zo zijn, dan zouden de gegevens anoniem zijn.

Privacy by default houdt in dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen de noodzakelijke persoonsgegevens verwerkt worden. Een voorbeeld hiervan is dat organisaties niet zomaar de locatie van gebruikers mogen vragen zonder dat dit noodzakelijk is. Alle gegevens mogen niet langer bewaard worden dan nodig is.

Het is belangrijk om in ieder geval deze stappen te volgen om aan de GDPR te voldoen. Mocht er een controle komen van de Autoriteit Persoonsgegevens, kan een boete oplopen tot een maximum van 20 miljoen euro of 4% van de omzet. Hiernaast is het voor betrokkenen een belangrijk punt. Zij krijgen meer rechten en als gevolg daarvan is er meer duidelijkheid over wat er met hun gegevens gebeurd.

Meer informatie over de GDPR wetgeving? Neem contact op met sPitch. Wij helpen je graag verder met deze checklist.

Disclaimer: De informatie die hier gegeven wordt, is alleen om een beter begrip te geven wat de GDPR voor organisaties kan betekenen. Dit blogartikel is alleen voor kennisdelingsdoeleinden en moet niet als juridisch advies beschouwd worden. Het advies is om een advocaat kundig op het vlak van de AVG te raadplegen om juridische conflicten te vermijden. Bij het lezen van dit artikel vrijwaar je sPitch voor alle juridische implicaties en kunnen zij niet verantwoordelijk worden gehouden voor enige actie met betrekking tot de informatie die in dit artikel wordt gedeeld.