Blogs
Chi Webhosting
WP onderhoud
Carlo

Jouw website compliant met de AVG-wetgeving.

Geen reacties

Jouw website compliant met de AVG-wetgeving.

Voor zelfstandigen (freelance), klein zakelijk, MKB, voor elke bedrijf geldt zins 25 mei 2018 de Algemene verordening gegevens bescherming (AVG). Als je een website hebt (maakt niet uit klein of groot van een simpel visitekaartje tot grote webshop). Dien je te voldoen aan deze wettelijke regelgeving.

De AVG ook wel bekend als de General Data Protection Regulation (GDPR) vereist het beter waarborgen van de privacy van burgers. Alle vormen van persoonsgegevens die je op enige manier verwerkt van een simpel contact formulier tot in jouw klanten dossier of webbestellingen dien je op een veilige manier te verwerken.

Doe je dit niet, dan kan je hoge boetes opgelegd krijgen.

Wat heb je in ieder geval nodig om jouw website AVG-proof te maken

De AVG stelt geen specifieke technische eisen aan je website, dit is een beetje flauw omdat er wel van je wordt verwacht dat je de beveiliging en verwerking van persoonsgegevens beschermt. Dit zal op den duur vast wel worden aangepast naar een algemene standaard en met de komst van NIS2 zal dit op een gegeven moment verder worden ontwikkeld.

Dat gezegt zijn er een aantal universele beveiligings taken die je nu kan toepassen op jouw website om compliant te zijn met de AVG-wetgeving. Daarnaast is het belangrijk om bij jouw brancheorganisatie te informeren of er nog meer voorwaarden zijn waaraan jij je moet houden.

Naast jouw website geldt de AVG-wetgeving ook voor jouw apparaten en bijvoorbeeld jouw e-mail, cloud opslag (meestal Microsoft 365 voor Bedrijven). Kortom er komt best veel bekijken en het is belangrijk dat je naast deze takenlijst voldoende advies opvraagt om alles voor jouw bedrijf te realiseren.

  1. Zorg voor een duidelijke privacy verklaring.

Een beetje vergelijkbaar aan algemene voorwaarden is de privacy verklaring bedoelt waarin je duidelijk aangeeft hoe de persoonsgegevens van een website bezoeker (of klant) worden verwerkt door jouw website en jouw bedrijf. Zie ook de checklist van Charlottelaw https://www.charlotteslaw.nl/is-privacyverklaring-al-avg-gdpr-ready/

In de meeste gevallen heeft jouw branche organisatie een privacy verklaring die je kan gebruiken voor jouw bedrijf.

  1. Vraag om toestemming voor het verwerken van gegevens.

Zoiets simpels als een nieuwsbrief, contact formulier of webshop bestelling. Je dient een website bezoeker duidelijk te informeren dat hun gegevens worden verwerkt en dat ze akkoord gaan met het verwerken van hun gegevens.

Voor een nieuwsbrief: je hebt een dubbele bevestiging nodig dat je het e-mailadres mag gebruiken om jouw nieuwsbrief toe te sturen. Een abonnee van jouw nieuwsbrief dient altijd de mogelijkheid te hebben om zich af te melden van jouw nieuwsbrief met een link in de nieuwsbrief.

Hiervoor heb je een nieuwsbrief systeem nodig bijv. Mailpoet voor WordPress.

Contact formulieren: onder elk formulier meestal bij de algemene voorwaarden duidelijk aangegeven bij het gebruiken van dit formulier gaat u ermee akkoord dat uw gegevens worden verwerkt volgens onze privacy voorwaarden.

Webshop: hetzelfde als het contact formulier een extra checkbox voordat de bestelling wordt voltooit dat de koper akkoord gaat met het verwerken van zijn/haar gegevens.

Complianz cookie bar

  1. Vraag actief toestemming met een Cookie bar.

Op dit moment geldt voor cookies de Nederlandse cookiewet. Deze zal naar verwachting in 2019 plaatsmaken voor de e-Privacyverordening (EPV). Dit duurt nog even, maar het is handig om de nieuwe regels direct mee te nemen in je privacybeleid. De EPV zal namelijk naast de AVG van kracht zijn. Er bestaan verschillende soorten cookies:

  • Functionele cookies – Deze cookies zijn nodig om je website te laten werken. Denk aan het tonen van een product in het winkelmandje.
  • Analytische cookies – Hiermee krijg je inzicht in de statistieken van je website. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies.
  • Marketing-cookies (ook wel tracking-cookies genoemd) – Met deze cookies volg je het surfgedrag van bezoekers. Bedrijven kunnen met deze informatie gerichte aanbiedingen doen. (denk aan Google, Facebook en insInstagram avertenties.)

Cookies mogen momenteel worden geplaatst, mits er toestemming voor is verkregen, ze functioneel van aard zijn of ze geen/geringe invloed hebben op de persoonlijke levenssfeer van de betrokkene (ICTRecht, website ICTRecht:  13 januari  2017). Ook in de nieuwe situatie hoeven je websitegebruikers geen toestemming te geven voor functionele cookies. Analytische cookies mag je toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics? Stel Google Analytics dan ‘privacy vriendelijk’ in.

Wat rest zijn de marketing-cookies. Voor het gebruik van deze cookies moet je toestemming blijven vragen. Bovendien kunnen internetgebruikers met ingang van de EPV via hun browserinstellingen marketing-cookies accepteren of weigeren. De instellingen mogen niet worden genegeerd, wel mag je vragen of een gebruiker alsnog de marketing-cookies wil toestaan. Een cookie-wall – het niet weergeven van de website voor bezoekers die niet akkoord gaan met cookies – is niet langer toegestaan. (bron: Hostnet)

Je kan dit onder andere realiseren door de complianz cookie bar te gebruiken voor WordPress. Dus plugin maakt automatisch een cookie beleid waarin duidelijk wordt beschermen welke cookies jouw website allemaal gebruikt.

Je kan daarbij burst statics gebruiken als alternatief voor Google Analytics.

  1. Zorg voor optimale beveiliging van jouw website.

Dit zijn meer technische zaken die je kan toepassen voor jouw website. Vraag altijd ondersteuning van jouw ICT partner of hosting maatschappij als je zelf niet voldoende kennis hebt. Het is belangrijk dat jouw website voldoet aan de moderne internet standaard.

Ga naar : https://internet.nl/ om jouw website te testen. Onderstaande onderdelen worden onder andere gecontroleerd.

SSL certificaat.

Het SSL-certificaat is bij de meeste hosting pakketten standaard inbegrepen. Dit zorgt voor een veilige verbinding op jouw website (slotjes in de browser) Het is belangrijk dat jouw website volledig gebruik maakt van de versleutelde verbinding om datalekken te voorkomen.

Je kan dit onder andere instellen met de really simple SSL plugin.

IPv6.

Dankzij het internetprotocol (IP) kunnen computers met elkaar communiceren. Op dit moment kennen we 2 versies van het internetprotocol: versie 4 en versie 6. Internetprotocol versie 4 noemen we IPv4, en internetprotocol versie 6 heet IPv6. IPv6 is voornamelijk ontwikkeld om het tekort aan beschikbare IP-adressen te verhelpen. IPv6 levert geen directe bijdrage aan de veiligheid van een website en is daarom niet van belang voor de AVG.

HSTS.

HSTS staat voor ‘HTTP strict transport security’. Dit is een beveiligingsmechanisme tegen zogeheten downgrade-aanvallen. Door het mechanisme kunnen webservers vereisen dat webbrowsers alleen beveiligde https-verbindingen kunnen gebruiken, in plaats van het onveilige http-protocol. Zoals gezegd is een https-verbinding aan te raden, maar geen vereiste voor de AVG. Dit geldt ook voor HSTS.

DNSSEC.

Domain Name System (DNS) is het systeem dat wordt gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en omgekeerd. Met DNSSEC ben je er zeker van dat de DNS naar het juiste IP-adres wordt doorgezet. Goed om te weten: bijna alle domeinen die Hostnet aanbiedt, zijn standaard beveiligd met DNSSEC.

Het serveren van onjuiste DNS-records door kwaadwillende is een lastige klus en komt om die reden bijna niet voor. Daarnaast zullen gebruikers nooit een geldig SSL-certificaat tegenkomen op verkeerd geserveerde domeinnamen. Het risico op hacks en datalekken is zonder het gebruik van DNSSEC daarom erg klein. DNSSEC is dus een kleine stap naar een veiligere website, maar is niet nodig om te kunnen voldoen aan de AVG. (bron: hostnet)

Deze instellingen worden in orde gemaakt door jouw webhosting maatschappij en juist configureren van jouw SSL certificaat. Als eruit de test blijkt dat bepaalde onderdelen niet goed functioneren kan je het beste contact opnemen met jouw webhosting maatschappij.

updraft back-up

  1. Extra bescherming voor jouw website.

Het is van belang om jouw website goed te beschermen eigenlijk hetzelfde als jouw computer, e-mail, cloud opslag enz.

  • Gebruik altijd sterke wachtwoorden voor jouw website.

Net zoals met elk account die je hebt is het belangrijk om sterke wachtwoorden te gebruiken. WordPress maakt standaard sterke wachtwoorden als je een gebruiker aanmaakt. Echter blijft het belangrijk om dit te controleren zodat iemand anders niet zomaar toegang krijgt tot jouw account.

  • Gebruik 2 staps verificatie als een extra bescherming laag (verplicht voor beheerders).

Voor de meeste is het ondertussen wel bekend, zie het maar als je digid als je aanmeldt krijg je ter bevestiging een sms-code of je gebruikt de digid app om jouw identiteit te verifiëren. Hetzelfde geldt voor jouw website als iemand jouw wachtwoord weet kunnen ze toegang krijgen tot jouw website en dit wil je voorkomen. Dit is onder andere mogelijk met Wordfence of ons WordPress onderhoud pakket met defender Pro.

  • Maak regelmatig back-ups van jouw website.

Als er iets mis gaat met jouw website, dan is het wel zo fijn als je een back-up hebt om fouten snel te kunnen herstellen. Een van de voorwaarde van de AVG-wetgeving is dat je een back-up hebt van jouw website die wordt opgeslagen op een externe locatie. (dus niet op jouw webhosting) Dit is onder andere mogelijk met Updraft of Duplicator, deze service is ook inbegrepen in ons WordPress onderhoud pakket.

  • Installeer regelmatig updates (min. Maandelijks).

Net zoals updates voor jouw computer, notebook, tablet en smartphone heeft een WordPress website regelmatig updates die helpen met het optimaliseren van de website en er worden regelmatig Beveiliging’s lekken gefixt om problemen te voorkomen. Het is belangrijk om regelmatig updates te installeren, minimaal een keer per maand.

  • Scan jouw website op beveiliging lekken of problemen.

Voorkomen is beter dan genezen, met een Beveiliging’s scan kan je controleren of er geen Beveiliging’s lekken aanwezig zijn op jouw website waar misbruik van gemaakt kan worden. Je kan onder andere met de Really Simple SSL een scan instellen die regelmatig jouw website controleert.

Tegenwoordig komt er steeds meer bekijken als je een website host op het internet. Je kan veel van deze taken voor jezelf gaan regelen, echter als je bezig bent met jouw onderneming heb je niet overal tijd voor. Met ons WordPress onderhoud pakket kan je de meeste taken eenvoudig uitbesteden.

Vorig bericht
Hoe kan je het beste een back-up maken van jouw WordPress website?

Wellicht ook interessant:

Carlo Konijn chi computers ict advies

Computerhulp op afstand

Heb je naar aanleiding van dit blog bericht nog vragen of extra hulp nodig om jouw probleem op te lossen. Plan eenvoudig een afspraak met mij voor een adviesgesprek of computerhulp op afstand.

Chat met mij
Plan een afspraak

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Dit is een verplicht veld
Dit is een verplicht veld
Geef een geldig e-mailadres op.
Accepteer de voorwaarden om door te gaan

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.