De complete WordPress GDPR-gids: wat betekent de nieuwe gegevensverordening voor uw website, bedrijf en gegevens?

8 min


170

Op 25 mei 2018 treedt de AVG (Algemene Verordening Gegevensbescherming) in werking die door de EU is uitgevaardigd. Draait uw website op WordPress GDPR-compatibel? Wat zijn de stappen die u moet nemen om ervoor te zorgen dat u de richtlijnen volgt? Wat als u dit negeert?

Dit bericht zal je helpen om klaar te zijn wanneer de regelgeving van kracht wordt.

  • Eerst gaan we in detail praten over de GDPR-richtlijnen, de specifieke gebieden van uw bedrijf waarop de richtlijnen van invloed zijn en waarom u zich zorgen moet maken over de naleving van WordPress GDPR.
  • Vervolgens behandelen we de basisprincipes van het indienen van een klacht over een WordPress-site met de richtlijnen.
  • Ten slotte bespreken we de implicaties van het gebruik van plug-ins op uw WordPress-site en hoe uw AVG-naleving kan worden beïnvloed.

Wat is AVG?

Disclaimer. Dit bericht is geen juridisch advies. We zijn geen advocaten.

GDPR staat voor General Data Protection Regulation en het is een nieuwe gegevensbeschermingswet in de EU, die in mei 2018 in werking treedt.

Het doel van de AVG is om burgers van de EU controle te geven over hun persoonsgegevens en om de benadering van gegevensprivacy door organisaties over de hele wereld te veranderen.

De AVG biedt veel strengere regels dan bestaande wetten en is veel restrictiever dan de “EU-cookiewet”.

Gebruikers moeten bijvoorbeeld bevestigen dat hun gegevens kunnen worden verzameld, er moet een duidelijk privacybeleid zijn dat aangeeft welke gegevens worden opgeslagen, hoe deze zullen worden gebruikt, en de gebruiker het recht geven om de toestemming voor het gebruik van persoonsgegevens (en daarmee het verwijderen van de gegevens), indien nodig.

De AVG is van toepassing op gegevens die overal ter wereld over EU-burgers worden verzameld. Als gevolg hiervan moet een website met eventuele EU-bezoekers of klanten voldoen aan de AVG, wat betekent dat vrijwel alle bedrijven die producten of diensten op de Europese markt willen verkopen.

Om de verordening beter te begrijpen, kunt u de publicatie van de voorschriften in het Publicatieblad van de Europese Unie raadplegen , waarin alle termen met betrekking tot de wet worden gedefinieerd. Er zijn twee hoofdaspecten van de AVG: “persoonlijke gegevens” en “verwerking van persoonlijke gegevens”. Hier is hoe het verband houdt met het runnen van een WordPress-site:

  • persoonlijke gegevens hebben betrekking op “alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon” – zoals naam, e-mail, adres of zelfs een IP-adres; het is beter om te denken dat elk stukje gegevens als persoonlijke gegevens kan worden beschouwd ,
  • terwijl de verwerking van persoonsgegevens verwijst naar “elke bewerking of reeks bewerkingen die met persoonsgegevens worden uitgevoerd”. Daarom vormt een eenvoudige bewerking van het opslaan van een IP-adres in uw webserverlogboeken de verwerking van persoonlijke gegevens van een gebruiker.

Moet de AVG serieus worden genomen?

Webmasters hebben tot mei 2018 de tijd om te voldoen aan de regelgeving van de AVG. De boete voor niet-naleving kan oplopen tot € 20 miljoen, of in het geval van een onderneming, tot 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, indien dit hoger is.

Afhankelijk van de ernst van de overtreding zijn er verschillende soorten straffen, die zijn beschreven in de sectie Veelgestelde vragen van het AVG-portaal .

Er is voorgesteld om een ​​dergelijk hoog bedrag aan sancties te betalen om de naleving te verbeteren. Men kan zich echter afvragen welke stappen er zijn voor het toezicht op websites. Er zullen toezichthoudende autoriteiten (SA) van verschillende lidstaten worden opgericht, met volledige steun van de wet. Elke lidstaat kan meerdere SA’s hebben, afhankelijk van de constitutionele, administratieve en organisatorische structuren. SA’s hebben verschillende bevoegdheden:

  • audits uitvoeren op websites,
  • waarschuwingen geven voor niet-naleving,
  • corrigerende maatregelen uitvaardigen die moeten worden gevolgd met termijnen.

VA’s hebben zowel onderzoeks- als corrigerende bevoegdheden om de naleving van de wet te controleren en wijzigingen voor te stellen om eraan te voldoen.

Het is te vroeg om te speculeren hoe SA’s van verschillende lidstaten met elkaar in verbinding staan ​​en samenwerken, maar één aspect is duidelijk; SA’s zouden aanzienlijke bevoegdheden hebben om de GDPR-richtlijnen te handhaven.

Zes maanden nadat de richtlijnen waren gepubliceerd, ondervroeg PwC 200 CXO’s van grote Amerikaanse bedrijven om de impact van de GDPR-richtlijnen te beoordelen. Uit de resultaten bleek dat een meerderheid van de bedrijven de AVG-richtlijnen als hun hoogste prioriteit voor gegevensbescherming had opgenomen, en 76% van hen bereid was meer dan $ 1 miljoen aan AVG te besteden. Dit toont aan dat grote ondernemingen, dankzij een substantiële aanwezigheid in de EU, de naleving van de AVG serieus nemen.

Hoeveel% bedrijven
minder dan $ 1 miljoen0.24
tussen $ 1 miljoen en $ 10 miljoen0,68
meer dan $ 10 miljoen0,08

(Grafieken door Visualizer Lite .)

De details van uw WordPress GDPR-compliance

Oké, dus met alle officiële informatie uit de weg, laten we even de tijd nemen om te praten over hoe je ervoor kunt zorgen dat je website compliant is en dat je geen WordPress GDPR-problemen ondervindt.

Voordat u verder gaat met elk van de aspecten en hoe u eraan kunt voldoen, moet een beveiligingsaudit op uw WordPress-site in het algemeen onthullen hoe gegevens worden verwerkt en opgeslagen op uw servers, en de stappen die nodig zijn om te voldoen aan de AVG. . De plug-in Security Audit Log kan u helpen bij het uitvoeren van een beveiligingsaudit op uw website.

Enkele gebruikelijke manieren waarop een standaard WordPress-site gebruikersgegevens kan verzamelen:

  • gebruikersregistraties,
  • opmerkingen,
  • contactformulier invoeren,
  • analyse- en verkeerslogoplossingen,
  • alle andere logboekprogramma’s en plug-ins,
  • beveiligingshulpmiddelen en plug-ins.

Hier zijn enkele belangrijke aspecten van de WordPress AVG waar gebruikers voor moeten zorgen:

(a) Melding van inbreuk

Volgens de AVG-naleving, als uw website een datalek van welke aard dan ook ervaart, moet die inbreuk aan uw gebruikers worden gecommuniceerd.

Een datalek kan een risico opleveren voor de rechten en vrijheden van individuen, waardoor het noodzakelijk wordt om gebruikers tijdig te informeren. Volgens de AVG moet een melding worden verzonden binnen 72 uur nadat voor het eerst kennis is genomen van een inbreuk. Gegevensverwerkers zijn ook verplicht om zowel gebruikers als de gegevensbeheerders op de hoogte te stellen, onmiddellijk nadat ze zich voor het eerst bewust zijn geworden van een datalek.

Als u in een WordPress-scenario een datalek opmerkt, moet u alle betrokkenen binnen dit aangegeven tijdsbestek op de hoogte stellen. De complexiteit hier is echter de definitie van de term “gebruiker” – het kan bestaan ​​uit gewone websitegebruikers, contactformulierinvoeringen en mogelijk zelfs commentatoren.

Deze clausule van de AVG creëert dus een wettelijke vereiste om de veiligheid van uw website te beoordelen en te bewaken. De ideale manier is om webverkeer en webserverlogboeken te monitoren, maar een praktische optie is om de Wordfence-plug-in te gebruiken terwijl meldingen zijn ingeschakeld. Over het algemeen moedigt deze clausule iemand aan om de beste beveiligingspraktijken te gebruiken die beschikbaar zijn om ervoor te zorgen dat er geen datalekken plaatsvinden.

(b) Gegevensverzameling, verwerking en opslag

Drie elementen hiervan:  recht op toegang , recht om te worden vergeten  en dataportabiliteit .

  • Het recht op toegang biedt gebruikers volledige transparantie bij de gegevensverwerking en -opslag – welke gegevenspunten worden verzameld, waar worden deze gegevenspunten verwerkt en opgeslagen en de reden achter het verzamelen, verwerken en opslaan van de gegevens. Gebruikers zullen ook een kopie van hun gegevens moeten krijgen.
  • Het recht om te worden vergeten geeft gebruikers de mogelijkheid om persoonlijke gegevens te wissen en de verdere verzameling en verwerking van de gegevens te stoppen. Dit proces houdt in dat de gebruiker de toestemming voor het gebruik van zijn persoonlijke gegevens intrekt.
  • De data portabiliteit clausule van de BBPR geeft gebruikers het recht om hun persoonlijke gegevens, waarvoor zij eerder toestemming hebben gegeven te downloaden, en verder zenden die gegevens naar een andere controller.

Privacy by design moedigt verwerkingsverantwoordelijken aan om gegevensbeleid af te dwingen dat de verwerking en opslag van alleen die gegevens mogelijk maakt die absoluut noodzakelijk zijn. Dit moedigt site-eigenaren en controllers aan om een ​​potentieel veiliger beleid voor gegevens te hanteren door de toegang tot een aantal datapunten te beperken.

Als eigenaar van een WordPress-site moet u eerst een gedetailleerd beleid publiceren over welke persoonlijke gegevenspunten u gebruikt, hoe ze worden verwerkt en opgeslagen.

Vervolgens moet u een configuratie hebben om gebruikers een kopie van hun gegevens te geven. Dit is misschien wel het moeilijkste deel van het proces. We kunnen echter aannemen dat wanneer de tijd daar is, de meeste plug-in-ontwikkelaars of -ontwikkelaars – voor de tools en plug-ins die je op je site hebt – al met hun eigen oplossingen hiervoor zullen zijn gekomen.

Het wordt echter nog steeds aangeraden om een ​​systeem te hebben om de vereiste gegevens uit uw database te halen.

Verder kan het in bepaalde gevallen verstandig zijn om gegevensopslag helemaal te vermijden. Contactformulieren kunnen bijvoorbeeld worden ingesteld om alle communicatie rechtstreeks naar uw e-mailadres door te sturen in plaats van ze ergens op de webserver op te slaan.

(c) Gebruik van plug-ins – implicaties van naleving van WordPress GDPR

Alle plug-ins die u gebruikt, moeten ook voldoen aan de GDPR-regels. Als site-eigenaar is het echter nog steeds uw verantwoordelijkheid om ervoor te zorgen dat elke plug-in de verzamelde gebruikersgegevens kan exporteren / verstrekken / wissen in overeenstemming met de GDPR-regels.

Dit kan nog steeds een aantal moeilijke tijden betekenen voor enkele van de meest populaire plug-ins die er zijn. Oplossingen zoals Gravity Forms of Jetpack hebben bijvoorbeeld veel modules die van nature gebruikersgegevens verzamelen. Hoe gaan die tools precies voldoen aan de AVG?

Ook voor plug-ins gelden dezelfde regels, al moeten ze vanuit het oogpunt van de WordPress-site-eigenaar worden benaderd. Elke plug-in moet een gegevensstroom tot stand brengen en informeren over de verwerking van persoonlijke gegevens. Als u de ontwikkelaar van een plug-in bent, overweeg dan om gebruikers van uw plug-in een addendum te geven dat ze kunnen toevoegen aan de voorwaarden van hun website om ze GDPR-compatibel te maken. Gravity Forms moet de gebruiker bijvoorbeeld laten weten hoe de persoonlijke gegevens die in een contactformulier worden ingevuld, worden gepubliceerd, en een optie om deze zo nodig te laten verwijderen. Hoewel er geen officiële communicatie is geweest van de populaire ontwikkelaars van WordPress-plug-ins, heeft de Twitter-handle van Jetpack bevestigd dat ze zich voorbereiden op de AVG, en er zullen verdere updates verschijnen in hun nieuwe privacygerelateerde functies.

Geen enkele andere plug-in lijkt hier nog verklaringen over te hebben vrijgegeven.

GDPR ziet eruit als een heel grote verandering die we allemaal heel serieus moeten nemen en naar oplossingen moeten zoeken. Als er iets is dat we van de btw hebben geleerd, is het dat de EU die dingen serieus neemt. Ze introduceren steeds meer regels en voeren vervolgens nieuwe mechanismen in om ze te handhaven. Die boetes van 4% zien er niet goed uit.

Ook zullen sommige tools die schijnbaar buiten uw WordPress-website vallen, de impact hiervan zien. Neem bijvoorbeeld e-mailmarketingtools. Het is gebruikelijk om deze te integreren met uw WordPress-website en om promotionele e-mails te verzenden op basis van een lijst met e-mailadressen. Afhankelijk van hoe u uw nieuwsbrieven / lijsten uitvoert, is het mogelijk dat die adressen niet zijn verkregen door uitdrukkelijke toestemming van gebruikers.

Een selectievakje dat standaard is aangevinkt, telt bijvoorbeeld als een overtreding. Volgens de AVG moet alles wat deel uitmaakt van uw online aanwezigheid als bedrijf expliciet toestemming verkrijgen en een privacybeleid hebben. Er zijn ook andere implicaties: als u een mailinglijst wilt kopen, zou u illegaal e-mails naar de ontvangers sturen, aangezien niemand expliciet heeft gevraagd om e-mails van u te ontvangen.

Hoewel de eindverantwoordelijkheid bij de site-eigenaar ligt, moet WordPress zelf mogelijk naar zijn processen kijken om ook aan de eisen te voldoen. Vanaf mei 2018 is er een privacy- en onderhoudsrelease die nieuwe tools tot in de kern introduceerde.

Natuurlijk, het updaten van uw WordPress-website lost slechts een deel van het probleem op. Conformiteit is meer dan alleen het repareren van uw site. U moet een gegevensbeschermingsbeleid voor de hele organisatie implementeren. Deze regeling is niet bedoeld als exclusief online.

Dit zijn de stappen die we als essentieel beschouwen voor naleving van de AVG:

  • Ken de belangrijkste concepten en artikelen met betrekking tot AVG
  • Wat te doen voor naleving van de AVG vóór 25 mei?
  • AVG-nalevingsstappen die na de deadline moeten worden genomen
  • Website aanpassingen
  • Andere AVG-nalevingskwesties om te overwegen
  • Bewaken en controleren

Laatste gedachten

Om samen te vatten wat het betekent om WordPress GDPR-compatibel te maken:

  • de wet treedt in mei 2018 in werking,
  • het is van toepassing op elke website die zich bezighoudt met persoonlijke informatie van EU-gebruikers,
  • het geeft de gebruiker het recht om de stroom van zijn persoonlijke informatie te controleren,
  • er zijn gedefinieerde processen om naleving te controleren en er zijn enorme boetes voor niet-naleving.

Kortom, om uw WordPress GDPR-compliant te maken, moet u (1) kijken naar alle verschillende manieren waarop u bezoekersgegevens verzamelt. Vervolgens (2) mechanismen invoeren om ervoor te zorgen dat gebruikers hun gegevens kunnen beheren. Bovendien (3) is het waarschijnlijk een goed idee om het verzamelen van gebruikersgegevens te vermijden als dat niet nodig is (zoals het voorbeeld van het contactformulier hierboven). En het allerbelangrijkste: (4) zelfs als u tools en oplossingen van derden gebruikt, moet u er nog steeds voor zorgen dat deze ook voldoen aan de AVG.

Als u in mei 2018 nog niet aan al het bovenstaande bent voldaan, dan zijn er problemen. Desalniettemin is de AVG-verordening de juiste stap om de transparantie van de omgang met gegevens te waarborgen. Hoewel dit bericht de basisprincipes van GDPR behandelt, wil je misschien de verordening in detail doornemen als je een winstgevend bedrijf hebt achter je WordPress-website. Onthoud dat het niet naleven kan leiden tot administratieve boetes tot € 20 miljoen, of in het geval van een onderneming tot 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, indien dit hoger is.Wat verder lezen:


Erwin@delaatbusiness.com
Dag, Hulp nodig met internet marketing of websites maken? neem dan contact op

0 Comments

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format