Van GDPR heb je waarschijnlijk wel al gehoord, maar weet jij wat het juist inhoudt? En wat het betekent voor jouw WordPress website? In deze handleiding leggen wij je dat allemaal haarfijn uit. Zodat jouw website voldoet aan de Europese privacyregels en de gegevens van jouw bezoekers degelijk beschermd worden.
Wat is GDPR?
GDPR is de afkorting van General Data Protection Regulation. Het is een Europese privacywet die van kracht werd op 25 mei 2018. Deze wet wil ervoor zorgen dat alle Europese lidstaten persoonsgegevens op dezelfde manier verwerken om het voor de personen zelf eenvoudiger te maken. Je krijgt zo meer controle over je persoonsgegevens en ze worden ook veiliger verwerkt.
In mei heb je waarschijnlijk tientallen mails en meldingen ontvangen in verband met GDPR, het was alomtegenwoordig. Dat is omdat er hoge boetes kunnen uitgeschreven worden voor wie niet GDPR conform is. De boetes kunnen oplopen tot 4% van de jaarlijkse internationale opbrengst van het bedrijf of € 20 miljoen – je zal het hoogste bedrag aangerekend worden.
Geldt GDPR voor jou?
Ja! GDPR geldt voor elk bedrijf, ongeacht de grootte, zelfs buiten de Europese Unie. Van zodra jouw website wordt bezocht door Europese bezoekers, moet je rekening houden met GDPR. Maar adem rustig in en uit, er is geen reden tot paniek. Die monsterboetes worden je niet zomaar opgelegd. Als je niet goed omgaat met persoonsgegevens, krijg je een waarschuwing, gevolgd door een berisping. Ben je daarna nog steeds niet in orde met GDPR? Dan mag je een tijdlang geen data meer verwerken en als je dan nog steeds in strijd bent met de Europese privacywet, dan zal je (pas) een boete krijgen.
Het doel van GDPR is namelijk niet om kleine bedrijven te bestraffen. Het doel van de nieuwe wet is om bezoekers te beschermen tegen roekeloze dataverwerking en tegen lekken. Daarnaast wil deze wet de consument meer inzicht geven in welke data er wordt bijgehouden en waarom. En hier moeten we ook het recht om vergeten te worden vermelden: vanaf nu is elk bedrijf verplicht om alle persoonsgegevens van iemand te verwijderen als hij daarom vraagt, binnen één maand na de vraag.
De 3 pijlers van GDPR
De General Data Protection Regulation steunt op 3 pijlers:
- Verzameling en gebruik van persoonsgegevens
- Data overdracht
- Beveiliging
Verzameling en gebruik van persoonsgegevens
De allereerste stap in het verzamelen van persoonsgegevens is toestemming. Je hebt expliciete toestemming nodig van de personen wiens gegevens je wil verwerken. Een nieuwsbrief mag je dus niet zomaar sturen naar iemand die een contactformulier invulde of die jou zijn visitekaartje gaf. Die persoon moet zelf toestemming hebben gegeven om die nieuwsbrief te ontvangen of wanneer het steek houdt om deze persoon op de nieuwsbrief in te schrijven in ruil voor bijvoorbeeld een gratis download. We spreken hier bovendien van positieve toestemming: een vakje dat al is aangevinkt om de nieuwsbrief te ontvangen, of een vakje dat aangevinkt moet worden om ze niet te ontvangen mag dus niet. Wat je wel moet doen is een vakje voorzien dat aangevinkt kan worden als ze jouw nieuwsbrief wel willen ontvangen.
Het kernwoord dat je hier moet onthouden is transparantie. Bezoekers moeten weten waar, hoe en waarom hun gegevens verzameld worden. De mogelijkheid moet er ook zijn om hun gegevens te kunnen inkijken, en ze hebben het recht om die gegevens aan te passen of te verwijderen. En je mag ook niet meer gegevens vragen dan echt noodzakelijk zijn voor het beoogde doel, je moet de gegevens die je vraagt kunnen verantwoorden uit economisch belang. Wil je bezoekers bijvoorbeeld kunnen mailen met updates over je bedrijf, dan heb je geen telefoonnummer nodig en mag je er ook niet om vragen.
Data overdracht
GDPR legt ook de overdracht van persoonsgegevens aan banden. Zo mogen gegevens niet meer doorgegeven of doorverkocht worden aan derden, zonder dat die persoon daar expliciet toestemming voor gegeven heeft. Wil je e-mailadressen verzamelen om ze later door te geven? Dan moet je met een dubbele opt-in werken: personen moeten dan 2 keer bevestigen dat ze akkoord zijn dat hun gegevens gedeeld worden met derden.
Maar ook andersom zijn er nieuwe regels binnen GDPR: personen kunnen bedrijven nu vragen om hun gegevens door te geven. Stel dat je bijvoorbeeld verandert van telecomoperator of dat je verhuist naar een nieuwe energieleverancier. Vroeger moest je zelf alle relevante gegevens opvragen bij je oude leverancier om door te geven aan de nieuwe. Nu kan je aangeven dat je wil veranderen, en is je oude leverancier verplicht om alle relevante gegevens door te geven aan de nieuwe leverancier. Dit is gratis en moet binnen één maand gebeuren.
Beveiliging
Om persoonsgegevens veilig te kunnen verwerken, is er bij de GDPR ook nagedacht over de beveiliging van gegevens. Zo zijn bedrijven vanaf nu verplicht om elk datalek en elke diefstal van gegevens meteen te melden. Dit moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens en alle betrokken personen moeten op de hoogte gesteld worden.
Daarnaast worden organisaties die veel persoonsgegevens verwerken ook gevraagd om een Data Protection Officer (DPO) aan te stellen. Dit is iemand die specifiek verantwoordelijk is om erover te waken dat de GDPR wordt nageleefd. Voor kleinere bedrijven is een DPO niet verplicht, maar het is natuurlijk altijd een goed idee.
WordPress is GDPR conform
WordPress.org werd in versie 4.9.6 bijgewerkt om in overeenstemming te zijn met de GDPR regels. Dat wil natuurlijk niet zeggen dat alle websites gebouwd met WordPress 4.9.6 of later GDPR conform zijn. Afhankelijk van het soort website, welke gegevens je bijhoudt en hoe je die verwerkt zal je andere maatregelen moeten nemen om ervoor te zorgen dat je GDPR conform bent.
In deze WordPress update werden drie nieuwe features toegevoegd om je WordPress website GDPR conform te maken:
- WordPress reacties: gegevens opslaan
- Gegevens exporteren en verwijderen
- Privacybeleid
WordPress reacties: gegevens opslaan
Wie een reactie achterlaat op een WordPress website, moet daarvoor ook zijn naam, e-mailadres en eventueel zijn eigen WordPress website link opgeven. Vroeger sloeg WordPress deze informatie standaard op zodat die informatie bij een tweede reactie al kon ingevuld worden. Onder GDPR mag dat niet zonder toestemming van de gebruiker, dus staat er nu een aanvinkvakje om toestemming te geven aan WordPress om gegevens te bewaren.
Gegevens exporteren en verwijderen
In je WP Admin dashboard vind je onder tools nog twee nieuwe features in verband met GDPR: Export data en Erase data.
Als een gebruiker wil weten welke persoonlijke gegevens jouw website over hem bijhoudt, kan je hier een Export van zijn persoonsgegevens aanvragen. De gebruiker krijgt dan een e-mail om zijn aanvraag te bevestigen en zal dan kunnen bekijken welke persoonlijke gegevens jouw WordPress website van hem bewaart. Als je plug-ins gebruikt die ook persoonsgegevens bewaren, zal je dat hier wel nog apart moeten nakijken. In deze Export zit: feedback, WordPress gebruikersgegevens, WordPress reacties en eventuele WordPress media.
Volgens GDPR is het niet alleen verplicht om gegevens te kunnen inkijken, indien een gebruiker dat wil moet je zijn gegevens ook verwijderen. Wanneer een gebruiker aan jou vraagt om zijn gegevens te verwijderen, kan je hier zijn gebruikersnaam of e-mailadres ingeven. Hij ontvangt dan een e-mail om het verwijderen te bevestigen. Uiteraard wil dit niet zeggen dat de gebruiker zijn volledige WordPress profiel gebruikt. Enkel de gegevens die jouw WordPress website over hem verzameld heeft (feedback en WordPress reacties) zullen verwijderd worden.
Privacybeleid
Een privacybeleid wordt al langer aanbevolen zodat bezoekers kunnen zien hoe jij hun gegevens behandelt en hun privacy beschermt. Voor deze update kon je dit doen met verschillende plug-ins, vanaf nu heeft WordPress hier ook een eigen ingebouwde feature voor. Je vindt er templates en advies om jouw eigen privacybeleid te maken. Deze feature staat in je Admin WP dashboard onder Settings.
De WordPress template bevat al een aantal ingevulde dingen en voorziet ook ruimte waar je zelf kan aanvullen. Denk aan: met wie data gedeeld wordt, je contactinformatie voor wie vragen heeft over je privacybeleid, hoe data beschermd wordt, hoe je omgaat met datalekken, …
Wat WordPress zelf al verzamelt
- Reacties van bezoekers
- Media (afbeeldingen, video’s, …) die gebruikers opladen op je website
- Gegevens in contactformulieren
- Cookies: WordPress gebruikt zelf al 5 cookies voor het gebruik van de website:
- De cookie om je gegevens te bewaren voor reacties wordt 1 jaar bijgehouden.
- Een cookie gedurende de sessie voor wie een account heeft en zich inlogt om na te kijken of jouw browser cookies aanvaardt of niet.
- Wanneer je inlogt wordt er ook een cookie geïnstalleerd die jouw inloggegevens bijhoudt gedurende twee dagen. Als je “Mij onthouden” aanvinkt, wordt je informatie twee weken bijgehouden. Wanneer je uitlogt worden alle gegevens verwijderd.
- Wanneer je inlogt wordt er ook een cookie geïnstalleerd om je scherminstellingen te bewaren gedurende 1 jaar.
- Als je een bericht bewerkt of publiceert wordt er nog een bijkomende cookie gecreëerd. Hier zitten geen persoonlijke gegevens in, maar wel het ID van je bericht dat 1 dag bewaard wordt.
- Embedded content van andere websites: als je inhoud vanop een andere website embed, lopen alle cookies, tracking en monitoring van die website ook over naar jouw website – net alsof je gebruiker die website zou bezoeken.
- Als je Google Analytics of een andere analytics plug-in gebruikt, moet die informatie hier ook worden weergegeven.
Zijn je plug-ins GDPR conform?
Plug-ins die de functionaliteit van je website uitbreiden, kunnen ook persoonsgegevens verzamelen en zal je dus ook moeten controleren in verband met GDPR. De grootste plug-ins hebben hier al maatregelen voor genomen.
Google Analytics
Gebruik jij Google Analytics voor meer website statistieken? Dan kan het zijn dat je persoonsgegevens zoals IP-adressen en User IDs bijhoudt, net als cookies en andere gegevens om het gedrag van bezoekers te volgen. Om ervoor te zorgen dat dit GDPR conform gebeurt, moet je die data eerst anoniem maken.
Contactformulieren
Als je contactformulieren op je website gebruikt, ga je die ook lichtjes moeten aanpassen. Vooral als je de ingevulde persoonsgegeven bijhoudt of als je ze wil gebruiken voor marketingdoeleinden. Stel dat je een contactformulier hebt waar iemand je een vraag stelt. Dan mag je naar dat e-mailadres niet zomaar zonder toestemming nieuwsbrieven gaan versturen. Om dat toch te doen, moet je in het formulier een aanvinkvakje toevoegen waar ze kunnen aangeven dat ze nieuwsbrieven willen ontvangen.
Best WordPress plug-ins voor GDPR
We hebben al een aantal plug-ins opgenoemd die je kunnen helpen om je WordPress helemaal GDPR conform te maken. Doe zelf wel nog altijd handmatige controles, want elke website is anders en plug-ins kunnen niet alles overal hetzelfde aanpakken.
MonsterInsights is de ideale plug-in om je Google Analytics te beheren. Vergeet de EU Compliance add-on niet!
WPForms is de meest gebruiksvriendelijke plug-in voor contactformulieren. Deze plug-in biedt verschillende velden en functies voor GDPR.
Cookie Notice is een gratis plug-in om een pop-up of andere melding te creëren waarin je verwijst naar een cookiebeleid. Deze werkt ook goed samen met MonsterInsights!
Delete Me, eveneens een gratis plug-in, stelt gebruikers in staat om hun profiel van jouw website te verwijderen. Dan heb je de Erase data functie van WordPress zelf niet meer nodig.
OptinMonster is een lead generatie software met interessante targetingopties om beter te converteren, en die GDPR conform is.
Shared Counts laat je toe om statische “deel”-knoppen te gebruiken die dus geen tracking cookies van andere websites toevoegen.