Op 25.05.2018 werd de EUAVG van kracht. We bieden je een overzicht van de technische voorzorgsmaatregelen die we tegen de achtergrond van AVG belangrijk vinden om je WordPress website op een wettelijk veilige manier te exploiteren.
Disclaimer
Onze blogpost is geen juridisch advies! Als onderdeel van ons werk als WordPress hoster hebben we ons zeer intensief beziggehouden met de geldende Duitse regelgeving voor gegevensbescherming en de EUAVG . We zijn echter geen juristen of deskundigen op het gebied van gegevensbescherming. We aanvaarden geen aansprakelijkheid voor de volledigheid, actualiteit en juistheid van de door ons verstrekte maatregelen en inhoud.
AVGVerwijder schadelijke WordPress plugins en vervang ze door AVG-conforme alternatieven.
Zelfs alle plugins die door het commerciële WordPress-bedrijf Automattic zelf worden geleverd, vereisen een geldige verbinding met wordpress.com en dus een directe verbinding, niet alleen met je gegevens, maar bijvoorbeeld ook met het persoonlijke IP van je websitebezoekers. Zij zijn het perfecte voorbeeld van het soort plugins dat je sinds 25. Mai 2018 beter kunt vervangen door een EU-AVG-conform alternatief - in ieder geval totdat de fabrikanten een wettelijk conforme versie van hun plugins publiceren.
De volgende Automattic WordPress plugins zijn voorbeelden voor alle vertegenwoordigers van hun respectievelijke divisies in de WordPress plugin directory als voorbeeld voor dit artikel:
- Jetpack (statistieken plugin)
- Gravatar (communautaire plugin)
- Akismet (Anti-Spam Plugin)
- VaultPress (back-up plugin)
- WP Super Cache (Caching Plugin)
Om je website naar wens te kunnen blijven beheren, kun je terugvallen op de volgende alternatieven, die geen persoonlijke gegevens van je bezoekers doorgeven.
Anonieme bezoekersstatistieken verzamelen
Natuurlijk willen we ook graag weten wat bijzonder goed werkt op onze website, wat mensen graag lezen of delen, hoe lang bezoekers blijven of hoe hoog het bouncepercentage is. MetAVG van de EU is de juridische situatie iets strenger geworden. Je moet elke bezoeker aan je website volledig anonimiseren, net als onder de vorige Duitse gegevensbeschermingsverordening. Er mogen echter geen persoonlijke gegevens worden doorgegeven aan andere diensten.
Daarom raden we Statify aan, zodat alle geanonimiseerde persoonlijke gegevens op je website blijven en niet worden doorgegeven aan andere diensten.
Volgens de ontwikkelaars van Statify verwerkt, verzendt of bewaart de plugin geen persoonlijke gegevens, zoals cookies of IP-adressen buiten je website.
Gebruik wettelijk toegestane avatars voor blog en commentaar
- Avatar Privacy maakt het AVG-conform gebruik van de WordPress Gravatar-functiemogelijk
Avatar Privacy van Johannes Freudendahl biedt de volgende mogelijkheden voor de implementatie van de AVG: Ten eerste wordt de hash van e-mailadressen niet gepubliceerd als er geen Gravatar-account voor is. Ten tweede biedt het een opt-in of opt-out voor de weergave van de Gravatar in commentaren en in het gebruikersprofiel. Bovendien biedt de plugin nieuwe standaard avatars die worden geladen vanaf de lokale server in plaats van de gravatar.com servers in de VS.
Een alternatief is om de gravatars op je eigen website volledig uit te schakelen:
- WP Gebruikersavatar in plaats van Gravatar
Om Gravatar echter volledig uit te schakelen in WordPress, moet je de volgende instellingen maken in het beheergebied van WordPress onder het menu-item "Instellingen": Scroll naar beneden in het submenu onder Discussies tot je bij het onderdeel Avatars komt. Schakel dan het selectievakje: "Avatarweergave - Avatars weergeven" uit. Klik op Opslaan om de instellingen toe te passen en de cache van je website te verwijderen. Nu zou je website niet meer moeten communiceren met wordpress.com .
Dubbele opt-in procedure voor opmerkingen
Hier moet vooraf worden gezegd dat de melding van verdere reacties op het eigen commentaar al veronderstelt dat gegevens worden doorgegeven. Als je een negatieve interpretatie van dit "grijze gebied" wilt uitsluiten, gebruik dan de gratis plugin Abonneren op Double-Opt-In Comments. Op deze manier moet de bezoeker vooraf actief bevestigen dat hij werkelijk bericht wil ontvangen over vervolgcommentaren.
Anti-spambeveiliging beperken tot je eigen website
- Antispam Bee in plaats van Akismet
Antispam Bee kan worden gebruikt in overeenstemming met de AVG als je de volgende plugin instelling in acht neemt: De functie "Overweeg publieke spamdatabase" moet worden gedeactiveerd om te voorkomen dat de IP-adressen van uw bezoekers worden doorgegeven aan de Stop Forum Spam service. In tegenstelling tot wat velen denken, levert de taalfilter, die gebruik maakt van de Google API, geen problemen op in termen van gegevensbescherming:
Als het spraakfilter is geactiveerd, worden de eerste tien woorden van elk commentaar naar de Google-dienst gestuurd voor spraakherkenning. Drie woorden van de inhoud van het commentaar. Niet het e-mailadres, niet de naam van de persoon die commentaar geeft, niet het IP-adres. Kortom: geen persoonlijke gegevens en dus geen probleem. - Simon Kraft, lid van het Pluginkollektiv
Vervang WordPress back-up plugins door alternatieve oplossingen
- Geïntegreerde WordPress back-ups in plaats van VaultPress
Om de overdracht van persoonlijke gegevens naar bijvoorbeeld Amerikaanse servers tegen te gaan en, als positief neveneffect, meer prestatiecapaciteit van je website vrij te maken, raden we je aan om in de toekomst geen speciale WordPress back-upplugins meer te gebruiken.
Een beter alternatief is het gebruik van automatische WordPress back-ups via je WordPress hoster, bijv. bij Raidboxes.
Gebruik webserver caching in plaats van WordPress caching plugin
- Server-side caching in plaats van WP Super Cache
Veel caching plugins, waaronder die van Automattic, kunnen je website goed cachen. Caching zorgt ervoor dat de website sneller wordt geleverd. Caching gaat echter ook gepaard met verlies van controle over de gegevens.
Een juridisch veilig alternatief, dat er ook voor zorgt dat de prestatiezware plugins verdwijnen, is het gebruik van de server-side cache van gespecialiseerde WordPress hosters.
Het voordeel: de gegevens zijn bij levering al opgeslagen en bevinden zich ten minste op Raidboxes alleen op Duitse servers met gegarandeerde ISO 27001 certificering.
Voorkom problematische sociale plugins, zoals de Facebook Like knop, Like Box of Twitter widgets.
- Shariff Wrapper in plaats van bijv. ShareThis
Deeldiensten gebruiken vaak al gegevens zodra je bezoekers op de website zijn met een actieve sociale plugin. Zelfs als een gebruiker nog niets heeft gedeeld, worden de gegevens al doorgegeven. Dit is nog grotendeels onbekend, maar cruciaal in termen van AVG . In ons onderzoek naar wettelijk conforme oplossingen kwamen we slechts één gratis sociale plugin tegen die de overdracht van gegevens voorkomt nog voordat je op een deelknop klikt.
Daarom raden we in dit stadium aan om geïntegreerde Twitter widgets, Facebook Like Buttons of de Like Box widget te verwijderen en de Shariff Wrapper social plugin te gebruiken voor deelknoppen in posts.
Gebruik contactformulier plugins zoals Contact Form 7 & Gravity Forms zelfs met de EU-AVG
Nieuwe eisen voor contactformulieren
Volgens de Algemene Verordening Gegevensbescherming is voor het versturen van een formulier toestemming van de afzender nodig. De gegevens omvatten niet alleen het persoonlijke IP, maar ook het e-mailadres en de inhoud zelf. Een opt-in voor de toestemming voor gegevensopslag kan worden geïmplementeerd met een extra acceptatie checkbox in Contact Form 7 en Gravity Forms, bijvoorbeeld met de gratis plugin WP GDPR Compliance.
Op middellange tot lange termijn zijn we ervan overtuigd dat alle bekende plugin-ontwikkelaars de nodige voorzieningen zullen treffen om te voldoen aan AVG . Tot die tijd kunnen AVG plugins echt goed werk leveren!
Nieuwsbrief en e-mailmarketing
In je nieuwsbriefformulieren moet alleen het e-mailadres een verplicht veld zijn, alle andere gegevens zoals voor- en achternaam moeten alleen als optie worden gevraagd. Zoals voor alle formulieren geldt ook voor het nieuwsbriefformulier de dubbele opt-in procedure, evenals de grootst mogelijke transparantie in de informatie over wat je precies van plan bent te doen of aan te bieden met de nieuwsbrief.
Dubbele opt-in procedure blijft standaard
Als je dat nog niet hebt gedaan, gebruik dan voortaan altijd de dubbele opt-in procedure! Bij de dubbele opt-in moet de ontvanger van de e-mail na de eerste aanmelding expliciet een tweede keer op de link in een bevestigingsmail klikken om in de distributielijst te worden opgenomen. Dit zorgt ervoor dat niemand zich in jouw naam inschrijft voor een nieuwsbrief en dat de feitelijke inschrijving ook door jou gewenst is.
Technische maatregelen buiten je WordPress plugins om
SSL-codering
SSL-encryptie is niet verplicht in AVG, maar zonder een SSL-verbinding is veilige gegevensoverdracht rond je website niet mogelijk. Je kunt ook meer te weten komen over SSL in ons uitgebreide Let's Encrypt SSL Compendium.
Wil je het SSL certificaat niet zelf instellen? Gebruik dan bijvoorbeeld SSL-certificaten van Let's Encrypt, die je met een installatie met één klik snel en eenvoudig gratis kunt activeren voor je WordPress website.
Google Analytics Opt-Out aanmaken
In dit verband moet er nogmaals op worden gewezen dat zelfs vóór de EUAVG de vorige Duitse AVG al jaren de volledige anonimisering van bezoekers voorschreef. Om dit te waarborgen moet het zeer vaak gebruikte Google Analytics uiterlijk nu worden uitgebreid met de volgende coderegel:
ga('set', 'anonymizeIp', true);
Mocht je Javascript snippet er vooraf zo hebben uitgezien:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>
de code ziet er na toevoeging zo uit:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>
Bovendien moet je in je privacybeleid een optie maken waarmee bezoekers van je website zich volledig kunnen afmelden voor Google Analytics. Je kunt een gratis opt-out plugin voor Google Analytics vinden met de naam Google Analytics Opt-Out in de WordPress plugin directory. Deze installeert een cookie die voorkomt dat analytics.js de gegevens verzamelt.
Geanonimiseerde IP-adressen in blogcommentaren
WordPress slaat standaard de IP-adressen van commentaarschrijvers op. Volgens de EUAVG voldoet het verzamelen van IP-adressen echter niet aan de regels voor gegevensbescherming. Je kunt de toekomstige opslag van IP-adressen voorkomen met behulp van een kleine PHP-code in je functions.php. We raden aan hiervoor een kindthema te gebruiken, zodat de code ook na de volgende update van je thema nog geïntegreerd is. De in te voegen code is:
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Tot slot moet je eenmalig handmatig bestaande IP-adressen uit de database van je website verwijderen. Je kunt hier goede instructies vinden over hoe je dat doet.
De EU-AVG stelt veel meer (nieuwe) eisen aan jou als websitebeheerder dan alleen de technische maatregelen op je WordPress website die hierboven zijn uitgelegd.
Een goede investering is bijvoorbeeld het betaalde e-book over de EUAVG van t3n om de eisen van de Europese Algemene Verordening Gegevensbescherming te implementeren in alle zaken die jou als ondernemer aangaan.
We stellen alle feedback en opmerkingen onder het artikel op prijs.
