AVG & WordPress : Technische maatregelen die u nu moet nemen

Torben Simon Meier Laatst bijgewerkt op 25.03.2020
7 Min.
AVG & WordPress

Op 25.05.2018 is de EU AVG in werking getreden. Wij tonen u de technische maatregelen die u moet nemen om uw WordPress website op een rechtszekere manier te laten functioneren. Zonder op de paniektrein te springen, bieden wij u een overzicht van de technische voorzorgsmaatregelen die wij belangrijk vinden in het licht van de AVG

Update Info: Wij hebben onze gezamenlijke ervaring met de omzetting van RAIDBOXES naar de vereisten van AVG samengevat in een gratis WordPress AVG -Gids samenvatting. Dit omvat ook de technische WordPress maatregelen van dit artikel.

lijn infobox blauw

Disclaimer: Onze blog post is geen juridisch advies! In de loop van onze werkzaamheden als WordPress hosters hebben wij ons zeer intensief beziggehouden met de huidige Duitse regelgeving inzake gegevensbescherming en de aanstaande EUAVG . Wij zijn echter geen advocaten of deskundigen op het gebied van gegevensbescherming. Voor de volledigheid, tijdigheid en juistheid van de door ons verstrekte maatregelen en inhoud aanvaarden wij geen aansprakelijkheid.

Automattic WordPress  Plugins

AVG-bezwaarlijk WordPress -Plugins verwijderen en vervangen door AVG-conforme alternatieven

Zelfs alle Plugins, die door het commerciële WordPress bedrijf Automattic zelf worden aangeboden, vereisen een geldige verbinding met wordpress.com en dus ook een rechtstreekse verbinding, niet alleen van uw gegevens, maar bijvoorbeeld ook van het persoonlijke IP van uw websitebezoekers. Zij zijn het perfecte voorbeeld van het soort Plugins dat u beter kunt vervangen door een EU-AVG-conform alternatief sinds 25 mei 2018 - althans totdat de fabrikanten een wettelijk conforme versie van hun Plugins publiceren.

Een voorbeeld hiervan zijn de volgende Automattic WordPress -Plugins voor alle vertegenwoordigers van hun respectievelijke divisie in de WordPress Plugin directory als voorbeeld voor dit artikel:

Om uw website volgens uw wensen te kunnen blijven exploiteren, kunt u terugvallen op de volgende alternatieven, die geen persoonlijke gegevens van uw bezoekers doorgeven.

Anonieme bezoekersstatistieken verzamelen

Natuurlijk willen we ook graag weten wat bijzonder goed werkt op onze website, wat er wordt gelezen of gedeeld, hoe lang bezoekers blijven of hoe hoog de bounce rate is. Met de EU AVG zal de juridische situatie nog iets meer worden aangescherpt. U moet elke bezoeker van uw website volledig anoniem maken, zoals dat ook al het geval was onder de vorige Duitse regeling voor gegevensbescherming. Er mogen echter geen persoonsgegevens worden doorgegeven aan andere diensten.

Daarom raden wij Statify aan, zodat alle geanonimiseerde persoonsgegevens op uw website blijven en niet worden gedeeld met andere diensten.

Volgens de ontwikkelaars van Statify verwerkt, verzendt of bewaart Plugin geen persoonlijke gegevens, zoals cookies of IP-adressen buiten uw website.

Gebruik wettelijk toegestane avatars voor blog en commentaren

Avatar Privacy van Johannes Freudendahl biedt de volgende mogelijkheden voor de implementatie van AVG : Ten eerste publiceert het de hash van e-mailadressen niet als er geen Gravatar-account voor is. Aan de andere kant biedt het een opt-in of opt-out voor de weergave van de Gravatar in commentaren en in het gebruikersprofiel. Ook biedt de Plugin nieuwe standaard avatars die worden geladen vanaf de lokale server in plaats van de gravatar.com servers in de VS.

Een alternatief is om gravatars op uw eigen website volledig uit te schakelen:

Echter, om Gravatar volledig uit te schakelen in WordPress , moet je de volgende instellingen maken in het WordPress admin gedeelte onder het menu item "Instellingen": Scroll naar beneden in het submenu onder Discussies totdat je bij de Avatars sectie komt. Deactiveer dan het selectievakje: "Avatar weergeven - Avatars tonen". Klik op Opslaan om de instellingen toe te passen en de cache van uw pagina te verwijderen. Nu moet uw website niet meer communiceren met wordpress.com .

Dubbele opt-in procedure voor opmerkingen

Hier wordt op voorhand gezegd dat voor de kennisgeving van verdere reacties op uw eigen commentaar al gegevens moeten worden doorgegeven. Als u een negatieve interpretatie van dit "grijze gebied" wilt uitsluiten, gebruik dan de gratis Plugin Subscribe to Double-Opt-In Comments. Op die manier moet de bezoeker vooraf actief bevestigen dat hij echt meldingen over vervolgcommentaren wil ontvangen.

Beperk antispambescherming tot uw eigen website

Antispam Bee kan worden gebruikt op een AVG-conforme manier als u de volgende instelling van Plugins in acht neemt: De "Overweeg publieke spam database" functie moet uitgeschakeld zijn om te voorkomen dat de IP adressen van uw bezoekers worden doorgegeven aan de Stop Forum Spam service. De taalfilter, die gebruik maakt van de Google API, is in tegenstelling tot wat velen denken, technisch onproblematisch:

Als de spraakfilter is geactiveerd, worden de eerste tien woorden van elke opmerking naar de spraakherkenningsdienst van Google gestuurd. Drie woorden van de commentaar inhoud. Niet het email adres, niet de naam van de persoon die commentaar geeft, niet het IP adres. Kortom: geen persoonsgegevens en dus geen probleem. - Simon Kraft, lid van het Pluginkollektiv

WordPress -Backup-Plugins vervangen door alternatieve oplossingen

Om de overdracht van persoonsgegevens naar bijv. VS-servers tegen te gaan en als positief neveneffect verdere prestatiecapaciteiten van uw website vrij te maken, raden wij aan om in de toekomst zonder speciale WordPress -backup-Plugins te doen.

Een beter alternatief is het gebruik van automatische WordPress backups via uw WordPress hoster zoals op RAIDBOXES.

Gebruik webserver caching in plaats van WordPress cachingPlugin

Veel cachingPlugins, waaronder die van Automattic, doen goed werk door uw website te cachen. Caching zorgt ervoor dat de website sneller wordt afgeleverd. Caching gaat echter ook gepaard met verlies van controle over de gegevens.

Een rechtszeker alternatief, dat er tevens voor zorgt dat de prestatiebelastende Plugins verdwijnt, is het gebruik van de server-side cache van gespecialiseerde WordPress hosters.

Het voordeel: de gegevens zijn al opgeslagen wanneer ze worden geleverd en bevinden zich ten minste RAIDBOXES alleen op Duitse servers met gegarandeerde ISO 27001-certificering.

Sociale Media WordPress  AVG  compliant

Voorkom problematische sociale Plugins, zoals de Facebook Like Button, Like Box of Twitter Widgets.

Deeldiensten gebruiken vaak al gegevens zodra uw bezoekers op de website zijn met een actieve sociale Plugin . Zelfs als een gebruiker nog niets heeft gedeeld, worden de gegevens al doorgegeven. Dit is nog grotendeels onbekend, maar van cruciaal belang in termen van AVG . Bij het zoeken naar oplossingen die voldoen aan de wettelijke vereisten, zijn we slechts één gratis social Plugin tegengekomen, die de overdracht van gegevens verhindert nog voor je op een deelknop klikt.

Daarom raden wij op dit moment aan om geïntegreerde Twitter widgets, Facebook Like knoppen, of de Like Box widget te verwijderen en te vertrouwen op Shariff Wrapper 's Social Plugin voor het delen van knoppen in berichten.

Formulieren AVG WordPress

Contactformulier-Plugins zoals bijv. Contact Form 7 & Gravity Forms ook gebruiken met de EUAVG

Nieuwe eisen voor contactformulieren

Volgens de Algemene verordening gegevensbescherming is voor het verzenden van een formulier de toestemming van de afzender nodig. Niet alleen het persoonlijke IP-adres, maar ook het e-mailadres en de inhoud zelf worden als gegevens beschouwd. Een opt-in voor de toestemming van gegevensopslag kan worden geïmplementeerd via een extra acceptatie checkbox op Contact Form 7 en Gravity Forms, bijvoorbeeld met de gratis Plugin WP GDPR Compliance voorwerp.

Op middellange tot lange termijn zijn wij ervan overtuigd dat alle bekende Plugin-ontwikkelaars de nodige regelingen zullen treffen om te voldoen aan AVG . Tot dan, AVG-Plugins kan echt goed werk leveren!

Nieuwsbrief & e-mailmarketing AVG WordPress

Nieuwsbrief & e-mailmarketing

In uw nieuwsbriefformulier dient alleen het e-mail adres verplicht te worden ingevuld, alle andere gegevens zoals voor- en achternaam dienen alleen optioneel te worden opgevraagd. Zoals bij alle formulieren geldt de dubbele opt-in procedure ook voor het nieuwsbriefformulier, evenals de grootst mogelijke transparantie in de informatie over wat u precies wilt doen of aanbieden met de nieuwsbrief.

Dubbele opt-in procedure blijft standaard

Als je dat nog niet gedaan hebt, gebruik dan vanaf nu altijd de dubbele opt-in procedure! Bij dubbele opt-in moet de e-mailontvanger na de eerste registratie een tweede keer expliciet op de link in een bevestigingse-mail klikken om aan de distributielijst te worden toegevoegd. Dit zorgt ervoor dat niemand zich op uw naam inschrijft voor een nieuwsbrief en dat de eigenlijke inschrijving ook door u gewenst is.

Technische maatregelen EU AVG

Technische maatregelen buiten uw WordPress -Plugins

SSL-codering

SSL-encryptie is niet verplicht op AVG, maar zonder een SSL-verbinding is een veilige gegevensoverdracht rond uw website niet mogelijk. U kunt ook meer te weten komen over SSL in ons uitgebreide Let's Encrypt SSL Compendium.

Wilt u het SSL-certificaat niet zelf instellen? Gebruik dan bijvoorbeeld SSL-certificaten van Let's Encrypt, die u snel en eenvoudig gratis kunt activeren voor uw WordPress website met een één-klik installatie.

Maak Google Analytics Opt-Out

In dit verband moet er nogmaals op worden gewezen dat zelfs vóór de EUAVG de vorige, nog steeds geldige nederlandse AVG reeds jarenlang de volledige anonimisering van bezoekers voorschreef. Om dit te garanderen moet het zeer vaak gebruikte Google Analytics nu ten laatste met de volgende coderegel worden uitgebreid:

ga('set', 'anonymizeIp', true);

Had je javascript snippet er eerst zo uit moeten zien:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

de code ziet er zo uit na het toevoegen ervan:

Bovendien moet u in uw privacybeleid een mogelijkheid creëren om bezoekers van uw website volledig uit te sluiten van de Google-analyse. U kunt een gratis opt-out Plugin voor Google Analytics vinden genaamd Google Analytics Opt-Out in de WordPress -Plugin- directory. Dit installeert een cookie dat voorkomt dat analytics.js de gegevens verzamelt.

Geanonimiseerde IP-adressen in blogcommentaren

WordPress slaat standaard de IP-adressen van commentaarschrijvers op. Volgens de EUAVG is het verzamelen van IP-adressen echter niet in overeenstemming met de gegevensbescherming. U kunt een kleine PHP code in uw functions.php gebruiken om de toekomstige opslag van IP adressen te voorkomen. Wij raden aan om hiervoor een child-Theme te gebruiken, zodat de code nog steeds geïntegreerd is na de volgende update van uw Themes . De code om in te voegen is:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Tenslotte moet u bestaande IP-adressen in de database van uw website eenmalig met terugwerkende kracht handmatig verwijderen. Een goede handleiding over hoe dit te doen kan hier worden gevonden.

De EU AVG stelt veel meer (nieuwe) eisen aan jou als websitebeheerder dan alleen de technische maatregelen die hierboven op jouw WordPress website worden uitgelegd.

Een goede investering is bijvoorbeeld het betaalde e-book over de EUAVG van t3n om de eisen van de Europese Algemene Verordening Gegevensbescherming toe te passen op alle zaken die u als ondernemer aangaan.

Wij stellen elke feedback en commentaar onder het artikel op prijs.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.