Inleiding

AVG/GDPR hebt u nodig voor een veilige website en webshop. Als eigenaar of beheerder bent u verantwoordelijk voor werking, veiligheid, stabiliteit en naleving van wet- en regelgeving. Deze verantwoordelijkheid begint al bij de keuze van de developer en het hostingbedrijf. Aan de developer moet u duidelijke instructies geven en controleren of deze correct zijn verwerkt. Het hostingbedrijf moet aantonen dat het aan de door u gestelde eisen voldoet, en u moet kunnen nagaan of dit daadwerkelijk het geval is.

Deze blog is onderdeel van een serie. Voor een overzicht van de onderwerpen die in deze serie besproken worden verwijzen wij naar de blog Een veilige website/ webshop – Algemeen.

Gegevens verzamelen

Om de door uw klanten gekochte producten te kunnen afleveren en voor het maken van een factuur hebt u de naam en adresgegevens van uw klanten nodig. En om met uw klanten te kunnen communiceren over de aankoop en/of voor marketingdoeleinden zijn een e-mailadres en telefoonnummer ook handig. Juridisch betekent dit dat u gegevens verzamelt en dat u moet voldoen aan de AVG, de Algemene verordening gegevensbescherming. U moet ook aan de AVG voldoen als u bij B2B gegevens opslaat van medewerkers van uw zakelijke contacten.

De belangrijkste eisen die u in dit verband moet stellen aan de developer zijn:

Privacyverklaring en Cookieverklaring

  1. Uw klanten moeten gemakkelijk informatie kunnen vinden over uw privacyverklaring. In deze verklaring, een pagina op uw site, geeft u een opsomming van alle persoonsgegevens die u van uw klanten opslaat, met de reden waarom u die opslaat.
  2. Indien u cookies gebruikt beschrijf dan ook uw cookiebeleid. Om cookies op de website van uw klanten te plaatsen, nadat ze daarin toegestemd hebben, kan de WordPress plugin Complianz (uitgebreid) of CookieYes (minder uitgebreid) gebruikt worden.
  3. Voor meer informatie over de AVG, verwijzen we naar de AP persoonsgegevens, AP cookiebeleid en naar ons blog AVG en hosting.
  4. Hoe controleert u de correcte werking?
    • Als u de website/ webshop bezoekt krijgt u een cookiebanner te zien en wordt u gevraagd om een keuze te maken (accepteren, weigeren, voorkeur instellen).
    • In de footer moeten links staan naar de privacyverklaring en de cookieverklaring.

Toestemming voor nieuwsbrieven en/ of marketing (opt-in)

  1. U mag uw bezoeker niet automatisch inschrijven voor nieuwsbrieven of marketinginformatie. Uw bezoeker moet daar zelf toestemming voor geven. U regelt dit met aanvinkvakjes in uw cookiebanner, die standaard leeg zijn.
  2. Helemaal klantvriendelijk is het om te werken met een double opt-in via een e-mailbevestiging. Verstuurde informatie voorziet u van een opt-out link.
  3. Hoe controleert u dit?
    • Voer een testbestelling uit en controleer of u niet automatisch ingeschreven wordt voor marketing.
    • Controleer of er in het bestelproces en/ of bij de accountregistratie aparte aanvinkvakjes staan.

Minimalisatie van verzamelde data

Bedenk dat u bij een onverhoopt datalek niet verantwoordelijk kunt zijn voor de data die u niet verzameld heeft. Verzamel daarom zo weinig mogelijk data van uw klanten.

  1. Voor het versturen van een factuur hebt u de naam en adresgegevens van uw klant nodig. Om eventueel vragen te stellen en om te kunnen communiceren met uw klant heeft uw een e-mailadres en/ of telefoonnummer nodig.
  2. Vraag uw developer om WooCommerce in te stellen op het minimaal aantal benodigde velden. Voeg alleen extra velden toe als u daarvoor een goede onderbouwing heeft.
  3. Hoe controleert u dit?
    • Maak een testbestelling en kijk welke velden u verplicht moet invullen.
    • Vraag de developer welke data er exact opgeslagen worden.

Hou rekening met de rechten van klanten

Volgend se AVG/GDPR hebben uw klanten recht om de door u opgeslagen data in website of webshop in te zien, op te vragen en/ of te laten verwijderen.

Hieraan kunt u als volgt voldoen:

  • Hebt u voldoende kennis van WordPress ga dan in het WordPress-dashboard naar ‘Gereedschap’, klik op ‘Persoonlijke gegevens exporteren’ en naar ‘Gereedschap’ klik op ‘Persoonsgegevens wissen’. Om persoonsgegevens te wijzigen gaat u in WooCommerce naar ‘Klanten’. Daar kunt u de gegevens wijzigen.
  • U kunt ook de plugin WP GDPR Tools laten installeren. Deze plugin zorgt er voor dat klanten dit zelf kunnen regelen via een formulier of account. U hoeft dit dus niet handmatig te doen waardoor er minder kans is op fouten.
  • Wilt u de plugin niet gebruiken en hebt u onvoldoende ervaring met WordPress? Vraag uw developer om een hulpmiddel in te bouwen waarmee u eenvoudig kunt voldoen aan de wettelijke verplichting onder AVG/GDPR.
  • Hoe controleert u dit?
    • Maak een testaccount aan. Test de werking van exporteren, aanpassen en verwijderen.
    • Controleer na het wijzigen en/ of verwijderen of de gegevens in de database gewijzigd en/ of verwijderd zijn.

Bewaartermijnen

U mag de persoonsgegevens van uw klanten niet eeuwig bewaren.

U zou de volgende termijnen kunnen hanteren:

  1. Bestellingen die geplaatst en afgerond zijn: 7 jaar om te kunnen voldoen aan de eisen van de Belastingdienst.
  2. Bestellingen die geannuleerd of mislukt zijn worden automatisch verwijderd binnen 30 dagen na invoer van de gegevens.
  3. Klantaccounts die niet meer actief gebruikt worden en waarvoor geen afgeronde bestellingen aanwezig zijn worden op verzoek van de klant verwijderd of automatisch na 2 jaar.
  4. Nieuwsbrieven en marketing. Gegevens worden automatisch verwijderd na uitschrijven.
  5. Vraag uw developer deze bewaartermijnen in WooCommerce in te stellen.
  6.  Hoe controleert u dit?
    • Vraag uw developer om u te laten zien welke bewaartermijnen in WooCommerce ingesteld zijn.

Datalekken en logging

  1. Security: De AVG/GDPR schrijft voor dat uw website of webshop in staat moet zijn om eventuele datalekken te constateren en te melden. Daarvoor zijn meerdere plugins beschikbaar. Plugins die u kunt gebruiken zijn:
    • Als u vooral inzicht en AVG-verantwoording nodig heeft  kies dan WP activity log.
    • Wilt u een alles-in-één beveiliging met logging kies dan Wordfence.
    • Wilt u een lichte oplossing met malware scan en logging, kies dan Sucuri Security.
  2. Voor het geval dat er echt iets fout gaat hebt u back-ups nodig. Er bestaan meerdere goede back-up plugins voor WordPress en WooCommerce. Ons advies is echter om niet zelf back-ups te gaan maken. Leg de verantwoordelijkheid voor het maken en opslaan van back-ups bij uw hostingbedrijf. Wilt u persé zelf back-ups maken vraag dan advies aan uw developer over de te gebruiken plugin. Sla gemaakte back-ups op een andere server op dan de server waarop uw website draait, bij voorkeur op een server op een andere locatie.
  3. Hoe controleert u dit?
    • Vraag uw developer/ hostingbedrijf om inzage in een beveiligingslogboek en vraag hoe vaak back-ups gemaakt worden en hoe lang en waar ze bewaard worden.

Hebt u naar aanleiding van deze blog nog vragen? Neem dan contact met on op. We helpen u graag.

Deze blog is onderdeel van een serie. Wilt u meer lezen over het realiseren van een veilige website en webshop, die voldoet aan de AVG/GDPR?

Ga naar het overzicht van alle blogs over veiligheid van website en webshop