Inleiding

Overdracht en onderhoud hebt u nodig voor een blijvend veilige website en webshop. Als eigenaar of beheerder bent u verantwoordelijk voor werking, veiligheid, stabiliteit en naleving van wet- en regelgeving. Deze verantwoordelijkheid begint al bij de keuze van de developer en het hostingbedrijf. Aan de developer moet u duidelijke instructies geven en controleren of deze correct zijn verwerkt. Het hostingbedrijf moet aantonen dat het aan de door u gestelde eisen voldoet, en u moet kunnen nagaan of dit daadwerkelijk het geval is.

Deze blog is onderdeel van een serie. Voor een overzicht van de onderwerpen die in deze serie besproken worden verwijzen wij naar de blog Een veilige website/ webshop – Algemeen.

Overdracht en onderhoud van de website

Overdracht en onderhoud van de website/ webshop zijn vaak onderschatte onderdelen bij de ontwikkeling van een website. Maar juist zij bepalen of uw website op lange termijn veilig, stabiel en bruikbaar blijft.

Overdracht van een website is belangrijk omdat uw als eigenaar altijd volledige controle moet hebben over domein, hosting, licenties en accounts. Maar u wilt ook niet tot in lengte van jaren afhankelijk blijven van de developer die uw site ontwikkeld heeft. Goede documentatie en transparantie zorgen ervoor dat u of een andere developer het beheer kan overnemen, waardoor de continuïteit van de website gewaarborgd blijft. Bovendien draagt veilige overdracht van inloggegevens en wachtwoorden bij aan naleving van de AVG en bescherming van persoonsgegevens.

Onderhoud van een website/ webshop is essentieel om beveiligingslekken te voorkomen. Daarom dienen WordPress, WooCommerce en plug-ins regelmatig updates met patches te ontvangen. Door deze updates blijft de website technisch stabiel en betrouwbaar, zodat uw klanten uw website altijd als snel en veilig ervaren. Daarnaast zorgt goed onderhoud ervoor dat de website kan blijven voldoen aan veranderende wet- en regelgeving, zoals nieuwe privacy- of btw-regels.

Binnen de kaders van Overdracht en Onderhoud hebt u als opdrachtgever een aantal documenten nodig. Daarom geven wij onderstaand een globaal overzicht van die documenten met een indicatie van hun inhoud. De keuze van de plaats van de onderwerpen in de documentatie is arbitrair. Wij hebben de documenten opgenomen op de plaats die ons het meest logisch lijkt. Overlappende informatie en doublures hebben wij proberen te vermijden.

Hebt u aanvullende en/ of detailvragen over het belang van overdracht en onderhoud voor een veilige website of webshop? Neem dan contact met ons op.

De belangrijkste eisen die u in dit verband moet stellen aan de developer zijn:

Documentatie Algemeen

In de algemene documentatie zou aandacht besteed moet worden aan:

  1. De opleverdatum en actuele versie van de website en informatie over wat er gebouwd is met opgenomen maatwerk en fixes.
  2. Licenties en Eigendom met een overzicht van betaalde thema’s, plugins en API’s, inclusief licentiesleutels eigenaarsnaam en verloopdata.
  3. Maatwerk en codebeheer, met documentatie van custom code, de locatie van broncodes en een toelichting op het onderhoud en het maken van aanpassingen in maatwerk.
  4. Technische configuratie van de inrichting van de database, eventuele cronjobs of automatiseringen.
  5. Koppelingen met externe systemen met een overzicht van alle actieve koppelingen naar boekhouding, ERP en CRM, e-mailmarketing, voorraadbeheer en logistiek. En API-sleutels en documentatie van de koppelingen.

Handleiding voor de beheerder

Een handleiding geeft de beheerder inzicht en controle over de werking van de website. Het voorkomt dat alle kennis alleen bij de developer ligt en maakt u of een andere beheerder minder afhankelijk van één persoon of partij.

De handleiding zorgt voor continuïteit, omdat daarin staat hoe updates, back-ups, beveiligingscontroles en andere beheertaken uitgevoerd moeten worden. Hierdoor kan de website veilig en stabiel blijven draaien, ook als er later een andere developer of hostingpartij bij betrokken raakt.

Daarnaast helpt een duidelijke handleiding om te voldoen aan compliance en AVG-verplichtingen, omdat de beheerder weet waar persoonsgegevens staan, hoe ze beveiligd worden en welke procedures gevolgd moeten worden bij onderhoud of incidenten.

Onderdelen voor de beheerdershandleiding voor een website zijn onder andere:

  1. Algemene Informatie met contactgegevens en een overzicht van de gebruikte systemen.
  2. Toegang en Accounts met een veilige overdracht van logins.
  3. Technische Infrastructuur, voor zover van toepassing.
  4. Beveiliging met inlogprocedures, security plugins met hun instellingen, procedures bij incidenten en datalekken.
  5. Websitebeheer met gegevens over updaten, performance optimalisatie en het beheer van media.
  6. Webshopbeheer met een uitleg over het toevoegen, wijzigen en verwijderen van producten, orderverwerking, voorraadbeheer en beheer van klantenaccounts.
  7. Betalingen met informatie over de PSP, het beheer van betaalplugins en refunds, testprocedures voor betalingen.
  8. AVG en Privacy met uitleg over het geven van inzage, het wijzigen en verwijderen van persoonsgegevens, logging en cookiebanner.
  9. Instelgegevens van e-mailmeldingen en/ of Slack alerts.
  10. Bewaartermijnen van logginggegevens.
  11. Onderhoudsprocedures met periodieke taken als updates en instructies over hoe te handelen bij storingen of downtime.
  12. Overdracht en Versiebeheer met gegevens over de plaats van documentatie en bronbestanden, versiegeschiedenis en toegang voor nieuwe developers.

Onderhoudsplan

Bij de overdracht van een website hoort naast de handleiding en documentatie ook een onderhoudsplan. Dat plan beschrijft wie wat wanneer doet om de website veilig, stabiel en actueel te houden. Het onderhoudsplan beschrijft dus alle terugkerende taken, verantwoordelijkheden en procedures om de website veilig, stabiel en wettelijk in orde te houden. Zo blijft de website niet alleen bij oplevering goed draaien, maar ook op de lange termijn.

Onderwerpen die in het plan aan de orde moeten komen, zijn onder andere:

  1. Updates, hoe vaak moeten WordPress, WooCommerce en de pluginsgeüpdatet worden, dat eerst testen in de stagingomgeving uitgevoerd moeten worden en wie verantwoordelijk is voor de uitvoering.
  2. Back-ups. Wij zijn van mening dat u het maken van back-ups moet overlaten aan uw hostingbedrijf. Daarover moet u wel afspraken maken. Wij bespreken dit onderwerp uitvoerig in een nog te publiceren blog.
  3. Beveiliging met een advies voor de frequentie van het uitvoeren van een security-audits. Zie ook punt 2.d.
  4. Performance en Techniek met controles op snelheid, laadtijden, database-optimalisatie, broken links en foutmeldingen.
  5. Wet- en Regelgeving met periodieke controle op AVG-compliance, controle op factuur en btw-instellingen en aanpassingen bij wetswijzigingen.
  6. Monitoring en Rapportage, met controles op actualiteit en gebruik van de rapportages.
  7. Incidenten en Storingen met controles op de actualiteit van procedures als het escalatieplan bij storingen of hacks en meldingen van datalekken.
  8. Verantwoordelijkheden met betrekking tot de uitvoering van taken door de eigenaar/ beheerder, het hostingbedrijf de developer en de onderhoudsprovider.
  9. Evaluatie en Doorontwikkeling zoals het bespreken van verbeteringen en uitbreidingen in de toekomst.

Back-upstrategie

Een back-upstrategie is cruciaal bij de overdracht van een website, want zonder een goed plan bent u bij een fout, hack of crash direct veel kwijt.

Een goede back-upstrategie gaat dus niet alleen over het maken van kopieën, maar ook over frequentie, opslag, testen en herstellen, én over wie waar verantwoordelijk voor is. Alleen dan hebt u de zekerheid dat uw website bij problemen snel weer online is zonder dataverlies.

Wij schreven het al, wij zijn er geen voorstander van dat u zelf back-ups maakt. Wij zijn van mening dat u de verantwoordelijkheid voor het maken van back-ups bij uw hostingbedrijf moet leggen.

Het hebben van ideeën over een back-upstrategie is natuurlijk wel wenselijk op het moment dat u het gesprek daarover aangaat met uw hostingbedrijf.

Hier zijn de onderwerpen die in de back-upstrategie beschreven moeten worden:

  1. Wat wordt er geback-upt? Denk aan bestanden van de website, de database, configuratiebestanden en de maatwerkcode.
  2. Met welke frequentie wordt er geback-upt? Doet u het dagelijks, wekelijks of maandelijks en maakt u volledige back-ups of incrementele. Een volledige back-ups heeft als voordeel dat herstel eenvoudig en snel verloopt en als nadeel dat het veel tijd en ruimte kost en herstel meer tijd kost en foutgevoelig is. De meeste professionele partijen combineren beide strategieën.
  3. Opslaglocatie. Bewaar de back-up niet alleen op de server waarop uw website draait, maar ook op een andere server, bij voorkeur op een andere locatie. Met betrekking tot de keuze van die locatie moet u voldoen aan de richtlijn van de AVG/GDPR. Op basis van die richtlijn mogen persoonsgegevens alleen naar landen buiten de EU/EER worden doorgegeven als daar een passend beschermingsniveau geldt.
  4. Ons advies: kies de veiligste optie. kies een EU-gebaseerde hostingpartij, bij voorkeur in Nederland of Duitsland die niet onder Amerikaanse wetgeving valt.
  5. Wilt uw toch een Amerikaanse provider gebruiken, zoals Microsoft Azure, AWS of Google Cloud? Controleer dan of ze zijn gecertificeerd onder het EU-US Data Privacy Framework. Sluit altijd een verwerkersovereenkomst, een data processing agreement (DPA) af. En documenteer de juridische grondslag, bij voorbeeld er is een gerechtvaardigd belang.
  6. Bewaartermijn. Spreek af hoe lang uw back-ups voor u beschikbaar blijven en wat het beleid is voor het verwijderen van oude back-ups.
  7. Herstelprocedure. Maak afspraken over hoe een back-up wordt teruggezet, welke tools daarvoor gebruikt worden, wie verantwoordelijk is voor de uitvoering van het herstel en binnen welke tijd de back-up teruggezet is.
  8. Testen van back-ups. Hoe vaak wordt getest of de back-ups ook echt werken op de stagingomgeving? Wie voert die controles uit en hoe wordt het resultaat gedocumenteerd?
  9. Verantwoordelijkheden. Maak duidelijke afspraken over wie waarvoor verantwoordelijk is en leg de afspraken vast.
  10. AVG/GDPR-aspecten. Back-ups bevatten persoonsgegevens. Maak dus ook beleid voor het bewaren en vernietigen van back-ups.

Overdracht en onderhoud van toegangsbeheer van uw website/ webshop

Na oplevering van uw website/ webshop moet u de volledige eigenaar zijn en in staat zijn om uw website te beheren. Dus u moet er zeker van zijn dat u eigenaar bent van alle accounts en licenties. De beveiliging, wachtwoorden, 2FA en toegangsrechten zijn ingesteld. De documentatie is compleet zodat u of een andere partij de website zelfstandig kunnen beheren.

  1. Accounts en Eigendom. Alle accounts moeten op naam van de eigenaar staan. Denk daarbij aan het domeinnaamregistratie-account, het WordPress-admin account, het WooCommerce-beheersaccount, de accounts bij Payment Service Providers en de factuur- en boekhoudkoppelingen.
  2. Beveiliging van de toegang. Alle wachtwoorden worden bij overdracht gewijzigd, 2FA wordt ingesteld voor alle kritieke accounts. Gedocumenteerd wordt wie toegang heeft tot welke systemen en er zijn afspraken gemaakt over de intrekking van de toegangsrechten van de developer.
  3. API-sleutels en integraties. De API-sleutels worden overgedragen en er is duidelijk gedocumenteerd welke sleutel bij welke API hoort. De sleutels en documentatie worden opgeslagen op een veilige plek, bij voorbeeld een password manager.
  4. Documentatie van de toegang is gereed. Er is een lijst van alle systemen met de inlog-URL, de accountnaam en de wijze van inloggen. Procedures voor het veilig delen van inloggegevens zijn vastgelegd.

Hoe kunt u als opdrachtgever controleren of overdracht en onderhoud van uw website/ webshop goed geregeld zijn?

  1.  Documentatie Algemeen
    • Opleverdatum en versie/maatwerk. Vraag om een versie-overzicht of changelog in PDF. Check of de datum en de beschrijving van het maatwerk erin staat.
    • Licenties en eigendom. Vraag de licentiesleutels en inloggegevens van accounts, WooCommerce, API, etc.. Controleer of de licenties op uw bedrijfsnaam staan.
    • Maatwerk en codebeheer. Vraag naar de broncode. Controleer ook of er uitleg bij zit en of beschreven is welke bestanden maatwerk zijn.
    • Technische configuratie. Vraag, indien er al een keuze gemaakt is voor een hostingbedrijf, een overzicht van de hostinginstellingen, de PHP-versie, databaseversie en cronjobs. Check in uw hosting-dashboard of dit klopt.
    • Koppelingen externe systemen. Maak een test bij voorbeeld: laat een factuur doorsturen naar het boekhoudpakket, laat een nieuwsbrief aanmelden in uw e-mailprogramma, laat een order doorsturen naar de verzenddienst.
  2. Handleiding Beheerder
    • Check of er een document is in PDF met duidelijke hoofdstukken, algemeen, accounts, beveiliging, websitebeheer, betalingen, AVG, onderhoud en overdracht.
    • Test een paar onderdelen: Kunt u zelf een product toevoegen met de handleiding erbij? Kunt u een testrefund uitvoeren met de beschrijving in de handleiding?
    • Kijk of AVG-onderdelen genoemd zijn: inzage, wijzigen, verwijderen en de cookiebanner.
  3. Onderhoudsplan
    • Updates. Vraag wanneer de laatste updates gedaan zijn en laat de developer aanwijzen hoe u dat kunt zien in het WordPress via Dashboard en Updates.
    • Back-ups. Vraag ook bewijs van het hostingbedrijf bij voorbeeld met een screenshot of overzicht waarop het tijdstip van de laatste back-up staat.
    • Security-audit. Vraag om een rapport van de laatste audit of scan.
    • Performance. Test de snelheid via tools als GTMetrix of PageSpeed Insights.
    • Wet- en regelgeving. Controleer of facturen voldoen aan btw-regels.
    • Incidenten en storingen. Vraag om het escalatieplan, wie belt u bij een hack of downtime.
  4. Back-upstrategie
    • Wat wordt geback-upt. Vraag om een lijst met daarop de bestanden en de  database.
    • Frequentie. Vraag om het logboek of schema van de hostingpartij.
    •  Opslaglocatie. Laat het hostingbedrijf bevestigen waar de back-ups staan. In de EU bij voorkeur in Nederland of Duistsland.
    • Bewaartermijn. Vraag hoe lang u in de tijd kunt herstellen.
    • Herstelprocedure. Laat de developer of host één test-restore uitvoeren op de stagingomgeving.
    • Testen. Vraag om bewijs van een testrapport of logboek.
    • AVG-aspecten. Vraag om een verklaring dat back-ups binnen EU blijven of onder een DPA met een gecertificeerd niet-EU-bedrijf vallen.
  5. Toegangsbeheer en Overdracht
    • Accounts en eigendom. Log zelf in op alle accounts, het domein, de hosting en de PSP. Controleer dat u de beheerder/eigenaar bent en de developer zo nodig slechts subgebruiker.
    • Beveiliging. Controleer of de wachtwoorden veranderd zijn en 2FA ingesteld is. Probeer zelf in te loggen.
    • API-sleutels. Vraag de lijst met de sleutels, controleer of ze werken door bij voorbeeld een testbetaling te doen of de werking van een koppeling te testen.
    • Documentatie en toegang. Vraag om een compleet overzicht van inlog-URL’s, gebruikers en manier van inloggen. Controleer of u alles zelf kunt bereiken.

Hebt u nog vragen over overdracht en onderhoud van uw website/ webshop? Neem contact met ons op.

Ga naar het overzicht van alle blogs over veiligheid van website en webshop