AVG en WordPress

AVG & WordPress: Technische maatregelen die je moet treffen

Op 25.05.2018 werd de EUAVG van kracht. We bieden je een overzicht van de technische voorzorgsmaatregelen die we tegen de achtergrond van AVG belangrijk vinden om je WordPress website op een wettelijk veilige manier te exploiteren.

Disclaimer

Onze blogpost is geen juridisch advies! Als onderdeel van ons werk als WordPress hoster hebben we ons zeer intensief beziggehouden met de geldende Duitse regelgeving voor gegevensbescherming en de EUAVG . We zijn echter geen juristen of deskundigen op het gebied van gegevensbescherming. We aanvaarden geen aansprakelijkheid voor de volledigheid, actualiteit en juistheid van de door ons verstrekte maatregelen en inhoud.

AVGVerwijder schadelijke WordPress plugins en vervang ze door AVG-conforme alternatieven.

Als plug-ins een geldige verbinding met een andere website tot stand moeten brengen en gegevens zoals het IP-adres moeten doorgeven, wordt dat problematisch. Zulke plugins moeten absoluut worden vervangen door een alternatief dat voldoet aan de EU-richtlijnenAVG- in ieder geval totdat de fabrikanten een versie van hun plugins publiceren die aan de wettelijke richtlijnen voldoet.

Anonieme bezoekersstatistieken verzamelen

Natuurlijk willen we ook graag weten wat bijzonder goed werkt op onze website, wat mensen graag lezen of delen, hoe lang bezoekers op een pagina blijven of hoe hoog het bouncepercentage is. Met de EU-AVG is de juridische situatie wat aangescherpt. Zoals al het geval was onder de vorige Duitse verordening inzake gegevensbescherming, moet je elke bezoeker aan je website volledig anonimiseren. Er mogen echter geen persoonlijke gegevens worden doorgegeven aan andere diensten.

Daarom raden we Statify aan, zodat alle geanonimiseerde persoonlijke gegevens op je website blijven en niet worden doorgegeven aan andere diensten.

Volgens de informatie op de plugin verwerkt, verzendt of bewaart de plugin geen persoonlijke gegevens, zoals cookies of IP-adressen buiten je website.

Gebruik wettelijk toegestane avatars voor blog en commentaar

Avatar Privacy van Peter Putzer biedt de volgende mogelijkheden voor de implementatie van AVG : Enerzijds wordt de hash van e-mailadressen niet gepubliceerd als er geen Gravatar-account voor is. Ten tweede biedt het een opt-in of opt-out voor de weergave van de Gravatar in commentaren en in het gebruikersprofiel. Daarnaast biedt de plugin nieuwe standaard avatars die worden geladen vanaf de lokale server in plaats van de gravatar.com servers in de VS.

Een alternatief is om de gravatars op je eigen website volledig uit te schakelen:

Om Gravatar echter volledig uit te schakelen in WordPress, moet je de volgende instellingen maken in het beheergebied van WordPress onder het menu-item "Instellingen": Scroll naar beneden in het submenu onder Discussies tot je bij het onderdeel Avatars komt. Schakel dan het selectievakje: "Avatarweergave - Avatars weergeven" uit. Klik op Opslaan om de instellingen toe te passen en de cache van je website te verwijderen. Nu zou je website niet meer moeten communiceren met wordpress.com .

Dubbele opt-in procedure voor opmerkingen

Hier moet vooraf worden gezegd dat de melding van verdere reacties op de eigen reactie al veronderstelt dat er gegevens worden doorgegeven. Als je een negatieve interpretatie van dit "grijze gebied" wilt uitsluiten, gebruik dan de gratis plugin Subscribe to Double-Opt-In Comments. Op deze manier moet de bezoeker vooraf actief bevestigen dat hij echt meldingen over vervolgcommentaren wil ontvangen.

Antispambeveiliging beperken tot je eigen website

Antispam Bee of Akismet kunnen hier bijvoorbeeld worden gebruikt. Antispam Bee kan worden gebruikt in overeenstemming met AVG als je de volgende plugin-instellingen in acht neemt: De functie "Consider public spam database" moet worden uitgeschakeld om te voorkomen dat de IP-adressen van je bezoekers worden doorgegeven aan de Stop Forum Spam service. De taalfilter, die gebruik maakt van de Google API, is niet problematisch vanuit het oogpunt van gegevensbescherming, in tegenstelling tot wat veel mensen aannemen:

Als de spraakfilter is geactiveerd, worden de eerste tien woorden van elke opmerking naar de Google-service gestuurd voor spraakherkenning. Drie woorden van de inhoud van de opmerking. Niet het e-mailadres, niet de naam van de persoon die commentaar geeft, niet het IP-adres. Kortom: geen persoonlijke gegevens en dus geen probleem. - Simon Kraft, lid van het Pluginkollektiv

Vervang zo nodig WordPress back-upplugins door alternatieve oplossingen

Om bijvoorbeeld de overdracht van persoonlijke gegevens naar Amerikaanse servers tegen te gaan, en als positief neveneffect om verdere prestatiecapaciteiten van je website vrij te maken, kun je overwegen om geen speciale WordPress back-upplugins te gebruiken. Er zijn ook alternatieven voor een WordPress back-upplug-in die je kunt overwegen.

Gebruik webserver caching in plaats van WordPress caching plugin

Veel caching plugins kunnen je website goed cachen. Caching zorgt ervoor dat de website sneller wordt geleverd. Caching gaat echter ook gepaard met verlies van controle over de gegevens.

Een legaal alternatief, dat er ook voor zorgt dat de prestatievergende plug-ins verdwijnen, is het gebruik van de server-side cache.

Het voordeel: de gegevens zijn al opgeslagen bij levering en staan, in ieder geval op Raidboxes , alleen op Duitse servers met een gegarandeerde ISO 27001 certificering.

Problematische sociale plugins voorkomen

Deeldiensten gebruiken vaak al gegevens zodra je bezoekers op de website zijn met een actieve sociale plugin. Zelfs als er nog niets is gedeeld, worden de gegevens al doorgegeven. Dit is cruciaal voor AVG .

Plugins voor contactformulieren

Volgens de Algemene Verordening Gegevensbescherming is voor het versturen van een formulier toestemming nodig van de afzender. De gegevens omvatten niet alleen het persoonlijke IP-adres, maar ook het e-mailadres en de inhoud zelf. Een opt-in voor toestemming voor gegevensopslag kan worden geïmplementeerd via een extra Acceptance Checkbox in Contact Form 7 en in Gravity Forms, bijvoorbeeld met de gratis plugin WP GDPR Compliance. Tegenwoordig moeten echter alle plugins van dit type de vereisten met betrekking tot AVG hebben geïmplementeerd.

Nieuwsbrief en e-mailmarketing

In je nieuwsbriefformulieren moet alleen het e-mailadres een verplicht veld zijn, alle andere gegevens zoals voor- en achternaam moeten alleen als optie worden gevraagd. Zoals voor alle formulieren geldt ook voor het nieuwsbriefformulier de dubbele opt-in procedure, evenals de grootst mogelijke transparantie in de informatie over wat je precies van plan bent te doen of aan te bieden met de nieuwsbrief.

Als je dat nog niet hebt gedaan, gebruik dan altijd de dubbele opt-in procedure! Bij de dubbele opt-in moet de ontvanger van de e-mail na de eerste aanmelding een tweede keer expliciet op de link in een bevestigingsmail klikken om in de distributielijst te worden opgenomen. Dit zorgt ervoor dat niemand zich uit jouw naam inschrijft voor een nieuwsbrief en dat de daadwerkelijke inschrijving ook door jou gewenst is.

Technische maatregelen buiten je WordPress plugins

SSL-versleuteling

SSL-encryptie is niet verplicht in AVG, maar zonder een SSL-verbinding is veilige gegevensoverdracht rond je website niet mogelijk. Je kunt ook meer te weten komen over SSL in ons uitgebreide Let's Encrypt SSL Compendium.

Wil je het SSL certificaat niet zelf instellen? Gebruik dan bijvoorbeeld SSL-certificaten van Let's Encrypt, die je met een installatie met één klik snel en eenvoudig gratis kunt activeren voor je WordPress website.

Google Analytics Opt-Out aanmaken

In dit verband moet er nogmaals op worden gewezen dat volledige anonimisering van bezoekers verplicht is. Om dit te garanderen moet het veelgebruikte Google Analytics worden uitgebreid met de volgende coderegel:

ga('set', 'anonymizeIp', true);

Mocht je Javascript snippet er vooraf zo hebben uitgezien:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

de code ziet er na toevoeging zo uit:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>




Bovendien moet je in je privacybeleid een optie maken waarmee bezoekers van je website zich volledig kunnen afmelden voor Google Analytics. Je kunt een gratis opt-out plugin voor Google Analytics vinden met de naam Google Analytics Opt-Out in de WordPress plugin directory. Deze installeert een cookie die voorkomt dat analytics.js de gegevens verzamelt.

Geanonimiseerde IP-adressen in blogcommentaren

WordPress slaat standaard de IP-adressen van schrijvers van reacties op. Volgens de EUAVG voldoet het verzamelen van IP-adressen echter niet aan de regels voor gegevensbescherming. Je kunt het opslaan van IP-adressen in de toekomst voorkomen met behulp van een kleine PHP-code in je functions.php. We raden aan om hiervoor een child theme te gebruiken, zodat de code na de volgende update van je thema nog steeds geïntegreerd is. De code die je moet invoegen is:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Tot slot moet je bestaande IP-adressen in de database van je website eenmalig handmatig verwijderen. Je kunt hier goede instructies vinden over hoe je dat doet.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.