Checklist voor de GDPR – Wat moet je ook al weer doen?

Inleiding

checklist voor de gdpr | Checklist voor de GDPR - Wat moet je ook al weer doen?De zoveelste GDPR checklist? De regeling is toch al lang ingegaan? Waarom dan deze checklist?

Het is belangrijk om er bij stil te staan, dat de GDPR niet een éénmalige implementatie is. Zelfs wanneer jouw website voldoet aan de GDPR, dan zal bij iedere nieuwe plugin die je installeert, bij iedere nieuwe website die je laat bouwen, maar ook bij iedere verandering aan de functionaliteit van je huidige website, opnieuw moeten worden gekeken of je site inderdaad nog wel ‘compliant’ is.

Een reden dat ik besloot om een ‘verkorte checklist’ op te zetten, waarin we nu eens niet de complete GDPR onder de loep nemen, maar kijken naar die dingen die van toepassing zijn op iedere aanpassing op je website.

Zo gaat het fout:

Een aardig voorbeeld waar het fout kan gaan is het volgende. Enkele weken terug kreeg ik een mailtje van een bedrijf of ik hun ‘GDPR’ oplossing wilde testen voor een review op mijn blog. Hun oplossing was een aardige, ter vergelijken met ‘CookieBot‘ wat ik onlangs nog heb besproken, alleen stukken goedkoper. Enthousiast begon ik dus aan de test. Omdat het een ‘SaaS’ oplossing was, en de plugin communiceerde met een server, zocht ik eerst eens uit waar die server stond. De VS. Dus niet in Europa. De volgende stap, conformeerde het bedrijf zich aan het ‘Privacy Shield’ en was het als zodanig gecertificeerd. Nee.

Einde verhaal dus. Gegevens uit gaan wisselen met een plugin die niet aan de GDPR voldoet, teneinde te gaan voldoen aan de GDPR? Dat gaat niet werken. Een ongeluk zit in een klein hoekje.

Een verkorte checklist voor WordPress Websites

De checklist hieronder focust zich op WordPress websites. En vooral, op veranderingen in je huidige situatie. Ik ga er dus vanuit dat je jouw ‘organisatie scan’ hebt gedaan, dat je je verwerkingsregister netjes op orde hebt en dit ook daadwerkelijk bijhoudt. Maar bij het installeren van een plugin, het bouwen van een nieuwe website of gewoon bepaalde onderdelen van een plugin activeren, kan je zomaar ineens niet meer compliant zijn. En dat willen we voorkomen.

1. Bepaal welke informatie je vastlegt, of, en waarom je die nodig hebt

1.a Opgeslagen informatie

Om eens een eenvoudig voorbeeld te geven. Je hebt een ‘standaard website’, waar geen webwinkel in is geïntegreerd. Het enige wat je tot nu toe vastlegde waren de naam en het email adres van mensen die een commentaar op je blog leverde. Wanneer je een webwinkel integreert, leg je ineens veel meer vast: adresgegevens, transactiegegevens, productvoorkeuren…

Een ander voorbeeld. Je voegt aan je website een Online Leeromgeving toe. Je gaat nu ineens de cursusvoortgang vastleggen. Maar hoe ga je deze gebruiken? Is dit puur indicatief voor de cursist zelf, of gebruik jij de informatie om jouw cursist een studieadvies (wat natuurlijk ook een verkapt ‘aankoopadvies’ is, dus marketing) te geven? Met andere woorden, gebruik je de cursusvoortgang ook als marketing informatie?

Wanneer je dat laatste doet, moet je de cursist ook een ‘opt out’ geven, waardoor hij kan laten weten geen prijs te stellen op deze dienstverlening.

1.b Cookies

Welke cookies  worden er geplaatst? En waartoe dienen deze? Zijn dit ‘noodzakelijke’, ‘statistische’ of ‘marketing’ cookies. Wissel je door middel van deze cookies informatie uit met derde partijen? En zo ja, voldoen deze partijen ook aan de eisen (zie punt 2).

Hoe kan je trouwens weten wat voor cookies er worden gezet door jouw website?  Eén manier is door in je browser instellingen op te geven, dat je bij iedere cookie die gezet wordt een melding wilt krijgen. Een andere manier is door -indien je Chrome gebruikt- met je rechter muisknop op ‘Inspecteren’ te klikken. Klik je vervolgens op het tabblad ‘Application’ dan zie je links een lijstje waarin -meestal pas als je doorscrollt- ook ‘Cookies’ staat. Dat zijn dus alle cookies die door jouw website worden gezet. Hier zullen echter ook aardig wat ‘oude’ cookies in staan. Maak de lijst leeg en laadt de pagina opnieuw. Als het goed is, is de lijst nu een stuk korter.

1.c Gegevensuitwisseling met derde partijen

Wisselt jouw website gegevens uit met derde partijen? Veel WordPress plugins bieden de mogelijkheid om aan te geven, dat je toestaat dat je plugin ‘geanonimiseerde gegevens’ deelt met de makers van de plugin. Maar heb jij er enig idee van welke gegevens dit zijn, tot welk niveau ze zijn geanonimiseerd en waar ze heen gaan? Als je dit niet met een volmondig ‘Ja’ kan beantwoorden, kan je deze plugin beter niet gebruiken.

Een ander voorbeeld. ‘Social logins’. Het is zo makkelijk om jouw bezoeker de mogelijkheid te geven om in te loggen via Facebook, Google of een andere dienst. Eén wachtwoord voor meerdere sites. Wanneer je echter zo’n plugin implementeert, moet je een aantal zaken goed in de gaten houden.

  1. Biedt de gebruiker ook een mogelijkheid om ‘alleen lokaal’ in te loggen, dus gewoon in te loggen bij WordPress. Door via bijvoorbeeld Facebook in te loggen, wordt er een koppeling gelegd tussen twee diensten die niet noodzakelijk is voor de gebruiker zelf – behalve dan het ‘inloggemak’.
  2. Maak je gebruik van zo’n extra dienst, vergeet niet punt 2. goed door te nemen.
  3. Zorg dat je exact weet wat de partij die de inlogservice biedt doet met de gegevens.

En dank komen we automatisch bij de volgende stap

2. Controleer eventuele externe diensten

Op het moment dat je een externe dienst gebruikt, zijn er drie zaken van groot belang. Allereerst natuurlijk of je die dienst wel mag gebruiken. Ten tweede of je hiervoor een verwerkingsovereenkomst hebt afgesloten en tenslotte welke informatie je precies uitwisselt en met welk doel.

Wees je ervan bewust dat je ook vaak ‘onbewust informatie uitwisselt’. Gebruik je bijvoorbeeld sommige social sharing plugins (zoals bijvoorbeeld Share-o-holic) dan wordt de ‘share’ niet direct via jouw website gedaan, maar via de servers van de ‘sharing dienst’. Hier worden mogelijk ‘cross domain’ gegevens uitgewisseld om een profiel te bepalen van wat een bepaalde persoon wel en niet ‘like-t’. Het is jouw taak om er voor te zorgen, dat dit allemaal aan de voorwaarden zal voldoen.

2.a Met wie mag ik gegevens uitwisselen

Is het bedrijf waarmee je gegevens uitwisselt gevestigd in de EU/EER, dan is het makkelijk. Alle partijen zijn dan namelijk verplicht zich aan de GDPR te houden. Dus -indien ook aan alle andere voorwaarden wordt voldaan- in dat geval mag je gewoon gegevens uitwisselen.

Is het niet een land binnen de EU/EER, dan mag je uitsluitend uitwisselen indien het één van de landen is, die je terugvindt op de site van de ‘Autoriteit Persoonsgegevens‘ (de lijst vind je in de FAQ). Betreft het de VS, dan mag je uitsluitend uitwisselen, indien het betreffende bedrijf is gecertificeerd volgens het ‘Privacy Shield’.

2.b De Data Processing Agreement

Je mag deze gegevens uitsluitend uitwisselen indien er sprake is van een DPA (Data Processing Agreement) tussen jou en de andere partij. Het maakt hierbij dus niet uit of je wel of geen zaken doet met een Europees bedrijf in deze. Dit wil overigens niet zeggen, dat je een papieren contract met iedereen getekend moet hebben: Grote bedrijven als Google, Facebook en MailChimp bieden een online mogelijkheid deze overeenkomst digitaal te ondertekenen.

2.c Registreer welke gegevens worden uitgewisseld.

Leg vast welke gegevens worden uitgewisseld. Dit moet je straks verwerken in je privacy policy en je moet eventueel je bezoeker / gebruiker de mogelijkheid bieden tot een ‘opt out’ met betrekking tot deze gegevens.

2.d Betalingsproviders

Biedt je een mogelijkheid tot online betalen, vergeet dan vooral niet ook je betalingsprovider(s) mee te nemen in de evaluatie hierboven. Bedenk hierbij ook, dat betalingsproviders vaak een ‘schil’ bieden over specifieke implementaties. Rusland staat bijvoorbeeld niet in de rij met ‘landen met een passend beveiligingsniveau’. Zou je direct of via een ‘vertrouwde’ betalingsprovider betaaltransacties via een Russische betalingsdienst laten doen op je website, wissel je persoonlijke gegevens uit via een ‘land zonder passend beveiligingsniveau’.

3. Implementatie

Je implementatie is in principe eenvoudig. Voor ieder informatieonderdeel moet je in je privacy verklaring duidelijk maken, dat je die informatie vastlegt en waarom. Gebruik je bepaalde informatie voor marketing doeleinden, dan moet dit duidelijk zijn en moet de klant een ‘opt in’ hiervoor worden aangeboden. Deze ‘opt in’ mag niet standaard aan staan.

Denk er aan, dat je vaak meer informatie vastlegt, dan waar je werkelijk stil bij staat. Heb je een online leersysteem, dan leg de voortgangsinformatie vast. Heb je een webwinkel, leg je adresinformatie vast.

Een speciale waarschuwing geldt, indien je een forum of enig ander discussieplatform hebt met een besloten deel. Tenzij je daadwerkelijk alle deelnemers persoonlijk screent -en zelfs dan is het twijfelachtig- door het ‘besloten’ karakter kunnen mensen eerder geneigd zijn vertrouwelijke informatie te geven. Maak mensen ervan bewust dat het niet bekend is, wie de mensen zijn die meelezen en het ‘besloten karakter’ niet meer privacy biedt dan een ‘open’ forum.

Geef per partij aan met welke dienst je informatie uitwisselt en waarom. Biedt de mogelijkheid tot een ‘opt out’ / ‘opt in’ (afhankelijk van de aard van de informatie en de wettelijke regels hieromtrent). Meld per email aan de bij jou geregistreerde gebruikers dat de privacy overeenkomst is aangepast!

Disclaimer (om maar eens een goed Nederlands woord te gebruiken)

Zoals gezegd, dit is een verkorte ‘checklist’ vooral bedoeld om de punten die eventueel over het hoofd gezien kunnen worden nog eens onder de aandacht te brengen. Deze checklist pretendeert niet volledig te zijn, nog pretendeer ik antwoorden te hebben op juridische vragen. Met dit artikel heb ik slechts de technische implicaties met betrekking tot de GDPR bij het veranderen van je website of het bouwen van een nieuwe website onder de aandacht gebracht.

Het is mogelijk, dat jij nog aanvullende tips hebt. Is dat zo, dank zie ik deze graag in het commentaar hieronder. Ook als je verdere vragen hebt hoor ik graag van je.

Wees eens aardig en deel dit met je vrienden
Enkele trefwoorden om vergelijkbare posts te vinden:

Word je website de baas. Neem vandaag nog contact op!

Contact Information

WordXPression 
Imkersdreef 525
7328DG Apeldoorn
06-10449807 (van 9:00 tot 17:00 van ma-vr)

KVK : 75580152 

Social media
Stuur een bericht

Flinke kortingen op cursussen van WordXPression.