AVG& WordPress

AVG & WordPress : Technische maatregelen die u nu moet nemen

De EU-verordening gegevensbescherming is op 25 mei 2018 in werking getreden. Wij tonen je de technische maatregelen die je moet implementeren om je WordPress website op een wettelijk conforme manier te exploiteren. Zonder op de paniektrein te springen, bieden wij je een overzicht van de technische voorzorgsmaatregelen die wij belangrijk vinden tegen de achtergrond van de AVG.

Update Info: Wij hebben onze gezamenlijke ervaring met de omzetting van Raidboxes naar de vereisten van AVGsamengevat in een gratis WordPress AVG gids samengevat. Dit omvat ook de technische WordPress-maatregelen van dit artikel.

lijn infobox blauw

Disclaimer: Onze blog post is geen juridisch advies! In de loop van ons werk als WordPress hoster, hebben wij ons zeer intensief bezig gehouden met de huidige Duitse regelgeving inzake gegevensbescherming en de aankomende EU-AVG. Wij zijn echter geen advocaten of deskundigen op het gebied van gegevensbescherming. Wij aanvaarden geen aansprakelijkheid voor de volledigheid, tijdigheid en nauwkeurigheid van de door ons verstrekte maatregelen en inhoud.

Automattic WordPress Plugins

Verwijder AVG-afkeurenswaardige WordPress-plugins en vervang ze door AVG-conforme alternatieven

Zelfs alle plugins die door het commerciële WordPress bedrijf Automattic zelf worden geleverd, vereisen een geldige verbinding met wordpress.com en dus een directe verbinding, niet alleen met uw gegevens, maar bijvoorbeeld ook met het persoonlijke IP van uw websitebezoekers. Zij zijn het perfecte voorbeeld van het soort plugins dat u beter kunt vervangen door een EU-AVG-conform alternatief sinds 25 mei 2018 - althans totdat de fabrikanten een wettelijk conforme versie van hun plugins publiceren.

De volgende Automattic WordPress plugins zijn voorbeelden voor alle vertegenwoordigers van hun respectievelijke divisies in de WordPress plugin directory als voorbeeld voor dit artikel:

Om uw website volgens uw wensen te kunnen blijven exploiteren, kunt u terugvallen op de volgende alternatieven, die geen persoonlijke gegevens van uw bezoekers doorgeven.

Anonieme bezoekersstatistieken verzamelen

Natuurlijk willen we ook graag weten wat bijzonder goed werkt op onze website, wat mensen graag lezen of delen, hoe lang bezoekers blijven of hoe hoog het bouncepercentage is. Met de EU-verordening gegevensbescherming (AVG) is de juridische situatie iets strikter geworden. Je moet elke bezoeker van uw website volledig anonimiseren, zoals u ook deed onder de vorige Duitse verordening inzake gegevensbescherming. Er mogen echter geen persoonsgegevens aan andere diensten worden doorgegeven.

Daarom raden wij Statify aan, zodat alle geanonimiseerde persoonsgegevens op uw website blijven en niet worden doorgegeven aan andere diensten.

Volgens de ontwikkelaars van Statify verwerkt, verzendt of bewaart de plugin geen persoonlijke gegevens zoals cookies of IP-adressen buiten uw website.

Gebruik wettelijk toegestane avatars voor blog en commentaren

Avatar Privacy van Johannes Freudendahl biedt de volgende mogelijkheden voor de implementatie van de AVG: Ten eerste wordt de hash van e-mailadressen niet gepubliceerd als er geen Gravatar-account voor is. Ten tweede biedt het een opt-in of opt-out voor de weergave van de Gravatar in commentaren en in het gebruikersprofiel. Bovendien biedt de plugin nieuwe standaard avatars die worden geladen vanaf de lokale server in plaats van de gravatar.com servers in de VS.

Een alternatief is om de gravatars op uw eigen website volledig uit te schakelen:

Echter, om Gravatar volledig uit te schakelen in WordPress, moet u de volgende instellingen maken in het WordPress admin gebied onder het menu item "Instellingen": Scroll naar beneden in het submenu onder Discussies totdat u de Avatars sectie bereikt. Deactiveer dan het selectievakje: "Avatar weergeven - Avatars tonen". Klik op Opslaan om de instellingen toe te passen en de cache van uw pagina te verwijderen. Nu moet uw website niet meer communiceren met wordpress.com .

Dubbele opt-in procedure voor opmerkingen

Hier dient vooraf te worden opgemerkt dat de kennisgeving van verder commentaar op het eigen commentaar reeds veronderstelt dat gegevens zullen worden doorgegeven. Als u een negatieve interpretatie van dit "grijze gebied" wilt uitsluiten, gebruik dan de gratis plugin Subscribe to Double-Opt-In Comments. Op die manier moet de bezoeker vooraf actief bevestigen dat hij echt op de hoogte wil worden gebracht van vervolgopmerkingen.

Beperk anti-spam beveiliging tot uw eigen website

Antispam Bee kan worden gebruikt in overeenstemming met de AVG als je de volgende plugin instelling in acht neemt: De functie "Overweeg publieke spamdatabase" moet worden gedeactiveerd om te voorkomen dat de IP-adressen van uw bezoekers worden doorgegeven aan de Stop Forum Spam service. In tegenstelling tot wat velen denken, levert de taalfilter, die gebruik maakt van de Google API, geen problemen op in termen van gegevensbescherming:

Als de spraakfilter is geactiveerd, worden de eerste tien woorden van elke opmerking naar de Google-dienst gestuurd voor spraakherkenning. Drie woorden van de commentaar inhoud. Niet het email adres, niet de naam van de persoon die commentaar geeft, niet het IP adres. Kortom: geen persoonsgegevens en dus geen probleem. - Simon Kraft, lid van het Pluginkollektiv

Vervang WordPress back-up plugins door alternatieve oplossingen

Om de overdracht van persoonsgegevens naar bijvoorbeeld Amerikaanse servers tegen te gaan en als positief neveneffect verdere prestatiecapaciteiten van uw website vrij te maken, raden wij u aan in de toekomst geen speciale WordPress-backupplugins meer te gebruiken.

Een beter alternatief is het gebruik van automatische WordPress back-ups via uw WordPress hoster, bijv. Raidboxes.

Gebruik webserver caching in plaats van WordPress caching plugin

Veel caching plugins, waaronder die van Automattic, doen goed werk door uw website te cachen. Caching zorgt ervoor dat de website sneller wordt afgeleverd. Caching gaat echter ook gepaard met een verlies van controle over de gegevens.

Een legaal alternatief, dat er ook voor zorgt dat de prestatie-intensieve plugins verdwijnen, is het gebruik van de server-side cache van gespecialiseerde WordPress hosters.

Het voordeel: de gegevens zijn al opgeslagen wanneer ze worden geleverd en bevinden zich ten minste op Raidboxes alleen op Duitse servers met gegarandeerde ISO 27001-certificering.

Sociale Media WordPress AVG-conform

Voorkom problematische sociale plugins, zoals de Facebook Like-knop, Like Box of Twitter-widgets.

Deel diensten gebruiken vaak al gegevens zodra uw bezoekers op de website zijn met een actieve sociale plugin. Zelfs als een gebruiker nog niets heeft gedeeld, worden de gegevens al doorgegeven. Dit is nog grotendeels onbekend, maar van cruciaal belang in het kader van de AVG. In ons onderzoek naar oplossingen die voldoen aan de wettelijke eisen, zijn we slechts één gratis sociale plugin tegengekomen die de overdracht van gegevens voorkomt, nog voordat je op een deelknop klikt.

Wij raden daarom in dit stadium aan om geïntegreerde Twitter widgets, Facebook Like Buttons of de Like Box widget te verwijderen en de Shariff Wrapper social plugin te gebruiken voor sharing buttons in posts.

Formulieren AVGWordPress

Gebruik contactformulier plugins zoals Contact Form 7 & Gravity Forms zelfs met de EU-AVG

Nieuwe eisen voor contactformulieren

Volgens de Algemene verordening gegevensbescherming is voor het verzenden van een formulier de toestemming van de afzender nodig. De gegevens omvatten niet alleen het persoonlijke IP-adres, maar ook het e-mailadres en de inhoud zelf. Een opt-in voor de toestemming voor gegevensopslag kan worden geïmplementeerd met een extra acceptatievinkje in Contact Form 7 en Gravity Forms, bijvoorbeeld met de gratis plugin WP GDPR Compliance.

Op middellange tot lange termijn zijn wij ervan overtuigd dat alle bekende plugin-ontwikkelaars de nodige voorzieningen zullen treffen om te voldoen aan AVG. Tot dan kunnen AVG plugins heel goed werk leveren!

Nieuwsbrief & E-mail Marketing AVGWordPress

Nieuwsbrief & e-mailmarketing

In uw nieuwsbriefformulieren moet alleen het e-mailadres een verplicht veld zijn, alle andere gegevens, zoals voor- en achternaam, moeten alleen als optie worden gevraagd. Zoals voor alle formulieren geldt ook voor het nieuwsbriefformulier de procedure van de dubbele opt-in, alsmede de grootst mogelijke transparantie in de informatie over wat u precies met de nieuwsbrief beoogt te doen of aan te bieden.

Dubbele opt-in procedure blijft standaard

Als u dat nog niet hebt gedaan, gebruik dan voortaan altijd de dubbele opt-in procedure! Bij de dubbele opt-in moet de e-mailontvanger na de eerste registratie expliciet een tweede keer op de link in een bevestigingse-mail klikken om in de distributielijst te worden opgenomen. Dit zorgt ervoor dat niemand zich op uw naam inschrijft voor een nieuwsbrief en dat de eigenlijke inschrijving ook door u gewenst is.

Technische maatregelen EUAVG

Technische maatregelen buiten uw WordPress plugins

SSL-codering

SSL-encryptie is niet verplicht op AVG, maar zonder een SSL-verbinding is veilige gegevensoverdracht rond uw website niet mogelijk. U kunt ook meer te weten komen over SSL in ons uitgebreide Let's Encrypt SSL Compendium.

Wilt u het SSL-certificaat niet zelf instellen? Gebruik dan SSL certificaten van bijvoorbeeld Let's Encrypt, die u snel en eenvoudig gratis kunt activeren voor uw WordPress website met een één-klik installatie.

Google Analytics Opt-Out maken

In dit verband zij er nogmaals op gewezen dat reeds vóór de EUAVGde vorige, nog steeds geldende Duitse AVG, al jaren voorzag in de volledige anonimisering van bezoekers. Om dit te garanderen moet het zeer vaak gebruikte Google Analytics ten laatste met de volgende coderegel worden uitgebreid:

ga('set', 'anonymizeIp', true);

Had je Javascript snippet er eerst zo uit moeten zien:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

de code ziet er zo uit nadat het is toegevoegd:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

Bovendien moet u in uw privacybeleid een optie opnemen waarmee bezoekers van uw website zich volledig kunnen afmelden voor Google Analytics. U kunt een gratis afmeldingsplugin voor Google Analytics vinden genaamd Google Analytics Opt-Out in de WordPress plugin directory. Dit installeert een cookie dat voorkomt dat analytics.js de gegevens verzamelt.

Geanonimiseerde IP-adressen in blogcommentaren

WordPress slaat standaard de IP adressen van commentaars op. Volgens de EUAVGis het verzamelen van IP-adressen echter niet in overeenstemming met de voorschriften inzake gegevensbescherming. U kunt de toekomstige opslag van IP adressen voorkomen met behulp van een kleine PHP code in uw functions.php. Wij raden aan om hiervoor een child theme te gebruiken zodat de code nog steeds geïntegreerd is na de volgende update van uw theme. De code die moet worden ingevoegd is:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Tenslotte moet u bestaande IP-adressen eenmalig handmatig uit de database van uw website verwijderen. U kunt hier goede instructies vinden over hoe dit te doen.

De EUAVGstelt veel meer (nieuwe) eisen aan u als websitebeheerder dan alleen de technische maatregelen op uw WordPress website die hierboven zijn uitgelegd.

Een goede investering is bijvoorbeeld het betaalde e-book over de EUAVGvan t3n om de eisen van de Europese Algemene Verordening Gegevensbescherming toe te passen op alle zaken die u als ondernemer aangaan.

Wij stellen elke feedback en commentaar onder het artikel op prijs.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd.