Zo maak je jouw WordPress website AVG proof

Je hebt de afgelopen tijd vast al de nodige dingen gelezen over de AVG/GDPR. Het is een hot item en iedereen lijkt zich er volledig in te verliezen door dure consultants in te huren om die grote boetes maar te voorkomen. Maar is dat eigenlijk wel nodig? Of kan het veel makkelijker? Wij geven je graag een inkijkje in de invoering van de nieuwe privacywet bij een full service internetbureau.

Organisatie AVG-proof maken

De AVG stelt (in een notendop) dat ieder persoonsgegeven in een bedrijf beveiligd moet zijn en niet langer in dat bedrijf aanwezig mag zijn dan noodzakelijk. Op deze basis zijn we begonnen met het implementeren van de AVG. Om te beginnen is het belangrijk om te weten dat jouw website al snel voldoet aan de regels van de AVG. Maar voordat het zo ver is moet je jezelf afvragen: voldoe ik als onderneming aan de nieuwe regels? Wij hebben dat in 5 fases aangepakt:

Stap 1: Bewustzijn creëren binnen onze onderneming

De eerste en belangrijkste stap is het creëren van bewustzijn onder het personeel. Met bewustzijn bedoelen we dat iedereen op de hoogte is van wat er allemaal onder persoonsgegevens wordt verstaan én hoe je verantwoordelijk omgaat met persoonsgegevens.

Stap 2: Verwerkingsregister opstellen

Voor het opstellen van het verwerkingsregister hebben we ons een aantal vragen gesteld:

• Wat valt er allemaal onder persoonsgegevens?
• Welke gegevens verzamelen we?
• Met welke doeleinden verzamelen we bepaalde gegevens?
• Welke afdelingen zijn betrokken?

Op basis van de conclusies uit de vragen hierboven zijn we een verwerkingsregister gaan opstellen. Daarin is uitgebreid vastgelegd welke gegevens met welke doeleinden worden vastgelegd. Het verwerkingsregister is niet volledig nieuw voor ons. Deze verplichting komt namelijk voort uit de Wet Bescherming Persoonsgegevens.

Stap 3: Workflows in beeld brengen

Vervolgens hebben we de workflows binnen ons bedrijf in beeld gebracht. Van alle afdelingen (marketing, HR, financiën etc.) is in beeld gebracht welke gegevens zij verzamelen. Hierna hebben we de workflows getoetst aan de wet. Hiervoor hebben we per afdeling inzichtelijk gemaakt welke gegevens met welke doeleinden worden gebruikt.

Stap 4: Privacy beleid opstellen

De volgende stap naar compliancy is het schrijven van een privacy beleid. Je weet dankzij de voorgaande stappen welke gegevens je voor welke doeleinden verzamelt. In je privacy beleid voeg je nog een aantal dingen toe:

• Beveiligingsprotocol
• Hoe minimaliseer je data? Denk aan bewaartermijnen etc.
• Datalekprotocol
• Recht van betrokkenen
• Bewijs dat de rechten van de persoon worden nageleefd

Meldplicht datalekken

Mocht er onverhoopt een datalek plaatsvinden, heb je als organisatie een meldplicht bij de Autoriteit Persoonsgegevens. In veel gevallen moet je ook de betrokken personen op de hoogte stellen. Onze FvG is verantwoordelijk voor het toezien op een correcte uitvoering van dit proces.

Stap 5: Verwerkingsovereenkomst

Indien er sprake is van de verwerking van persoonsgegevens, is het noodzakelijk om een verwerkingsovereenkomst af te sluiten met onze partners. In de verwerkingsovereenkomst is volledig afgebakend welke taken bij de klant liggen en welke bij ons. Een belangrijke voorwaarde voor de verwerkingsovereenkomst is dat de te verwerken data betrouwbaar en transparant is.

Verwerker & verwerkingsverantwoordelijke

De wet maakt een scheiding tussen verwerkingsverantwoordelijke en verwerker. In ons geval zijn wij vaak de verwerkingsverantwoordelijke en de verwerker. Dit wordt duidelijk vastgelegd in de verwerkingsovereenkomst.

Functionaris voor Gegevensbescherming (FvG)

Wij vallen als internetbureau buiten de 3 verplichtingen om een FvG aan te stellen. Toch hebben we ervoor gekozen om een FvG in te zetten. Zo weten we zeker dat de AVG op de juiste manier wordt nageleefd.

Verwerking interne persoonsgegevens

Onze FvG houdt ook bij welke persoonsgegevens van de medewerkers gebruikt worden. Hij zorgt voor expliciete toestemming van medewerkers en zorgt dat deze gegevens op de juiste manier gearchiveerd worden.

Website AVG proof maken

Heb je bovenstaande punten op een rijtje? Dan is het tijd om de AVG te gaan implementeren op jouw website. Tijd om ervoor uit te komen dat jouw bedrijf volledig op de AVG is ingericht. Je bent er bijna, want dit is in principe het minste werk.

Privacy statement uploaden

Het privacy statement vind je op veel websites terug in de footer. Je kunt dit privacy statement op allerlei manieren schrijven, maar zorg er wel voor dat de belangrijkste 5 punten (uit voorgaande stap 4) beschreven zijn.

Gegevensverwerking vastleggen met cookies

Je kent ze vast wel: cookies. Je vindt ze tegenwoordig terug op iedere website die jouw gegevens gebruikt voor marketingdoeleinden. Voor het informeren van onze websitebezoekers gebruiken wij cookiebot. Deze site geeft cookiemeldingen en monitort automatisch de cookies op een website. Een essentieel onderdeel van cookies en de AVG is het verschil tussen zogenoemde opt-in en opt-out opties. We zullen deze varianten even toelichten:

• Opt-out is wanneer alle soorten cookies standaard aangevinkt staan
• Opt-in is wanneer het vinkje voor cookies standaard uit staat en door de bezoeker zelf aangevinkt moet worden. Deze variant moet gebruikt worden voor de AVG.

Het is ook goed om te melden dat de opt-in checkboxes uitsluitend voor marketingdoeleinden gebruikt hoeven te worden. Overige cookies zoals functionele cookies zorgen namelijk dat de website naar behoren werkt en vragen over het algemeen geen persoonsgegevens. Heb je nog vragen over de AVG of hulp nodig bij de implementatie op jouw website? Vergeet dan vooral niet contact met ons op te nemen.