Dit is alweer het laatste deel van de drieluik over de AVG! Hierin kun je lezen wat ik allemaal gedaan heb achter de schermen van Janske.nl.
Het vorige deel was een overzicht van zaken welke je moet regelen volgens AVG en in dit deel zie je hoe ik het geregeld heb voor Janske.nl. Hieronder is een moment opname en ik zal hier rest van het jaar vermoedelijk nog wel eens aan moeten wijzigen om het beter te maken. Met de kennis die ik nu heb doe ik mijn best om er aan te voldoen aan de AVG wet maar ik ben natuurlijk geen jurist of deskundige! Gelukkig is het hoofddoel van de AVG dat we er allemaal wat bewuster mee omgaan en dat doel heb ik hiermee ondertussen al wel bereikt.
Hoe heb ik mijn beheerders inlog beveiligd (CMS)?
Ik heb zoals heel veel mensen website gemaakt met WordPress. En om te zorgen dat ik dit overal en altijd veilig kan inloggen en niemand mijn inloggegevens kan onderscheppen heb ik een SSL certificaat geinstalleerd (groen slotje in adresbalk). Omdat ik geen webwinkel heb met privacy gevoelige klantgegevens heb ik gekozen voor de goedkoopste (maar wel veilige) SSL certifaat die ik kon vinden een ‘Comodo PostiveSSL’. De goedkoopste aanbieder welke ik in Nederland kon vinden is Versio waar deze nog geen € 6,- per jaar kost.
TIP: Kies altijd voor de langsmogelijke looptijd. Op dit moment is dat 2 jaar, je wilt namelijk zo weinig mogelijk tijd bezig zijn met het verlengen van je Certificaat.
Hoe en wanneer maak ik backups?
Mijn website heb ik draaien bij Vimexx en de via hun Installatron tool heb ik ingesteld dat er dagelijks automatisch backups gemaakt worden. Ik heb ingesteld dat ik altijd een backup heb van 1 dag oud, eentje van 7 dagen oud en altijd eentje van 1 maand oud. Daarnaast doe ik 1x per jaar een handmatige backup downloaden.
WordPress Beveiligingsupdates
Via de Installatron tool heb ik ingesteld dat WordPress automatisch geupdate moet worden als er beveiligingsupdates zijn, dus daar heb ik verder geen omkijken naar! Ook kun je via die tool instellen dat de Plugin’s en Theme’s automatisch geupdate worden maar die heb ik bewust uitgezet. Ik wil namelijk zelf moment bepalen wanneer ik die updates ga installeren nádat ik een backup heb gemaak.
WordPress: overige beveiligingsmaatregelingen
Beheerder
Elke Content Management Systeem (CMS) zoals WordPress heeft standaard een beheerdersaccount en bij WordPress is dat standaard ‘admin’. Deze gebruikersnaam heb ik natuurlijk aangepast én er een lang wachtwoord opgezet.
TIP: Om berichten te plaatsen heb ik een andere gebruiker aangemaakt en die heeft géén ‘Beheerders’ rechten maar dat is een ‘Redacteur’. Daarmee log ik altijd in en onder deze naam worden de artikelen online gezet. Dus mijn inlognaam is makkelijk te achterhalen maar dit is dus niet de inlognaam met volledige beheerdersrechten.
Inlogpogingen limiteren
Via WordPress plugin ‘Limit Login Attempts’ wordt bijgehouden wie er ongewenst is aan het inloggen op mijn beheerdersomgeving. Ik heb ingesteld dat na 2 foutieve inlogpogingen het IP-adres 24 uur geblokkeerd wordt. Verder kan ik die blokkade lijst ook meteen zien met welke gebruikersnaam ze proberen in te loggen. Zodat ik misschien in toekomst kan besluiten om mijn gebruikersnaam weer te wijzigen.
Twee-weg authenticatie
Deze optie heb ik op dit moment niet aan staan. Als ik in de toekomst het extra willen beveiligen dan ga ik dit ook aanzetten (Jetpack’s Plugin).
TIP: Mocht jij het gaan gebruiken, registreer dan altijd 2 apparaten: dus je mobiel én je tablet! Mocht je telefoongestolen worden dan kun je nog steeds inloggen via je tablet!
Verwerkingsregister (Excel)
Veel van onderstaande paragrafen zijn verwerkt in een zogenaamde ‘verwerkingsregister’. Dit is een eenvoudige Excel tabel met gegevens die je verzameld, voor welk doel en tijdsduur. Dit is verplichte samen te stellen lijst. Ik heb er mijn eigen versie van gemaakt (zodat ik het nog een beetje snap). Mocht je interesse hebben dan kun je via het contactformulier vragen naar het AVG Excel bestand.
Verwijderingsprocedure Verzoek
Als iemand in de toekomst een verzoek zou indienen tot ‘verwijdering van persoonsgegevens’ dan heb ik hiervan al een procedure voor geschreven. In principe is het niet meer dan noteren waar en hoe ik dat moet doen. Dus zoiets als:
Stap 1. Foto’s: Blur de persoon op foto of verwijder de opgegeven foto
Stap 2. Berichtcommentaren: In WordPress naar menu ‘Reacties’: zoek opgegeven e-mailadres en/of naam, verwijder berichten
Stap 3. Nieuwsbrief: Login bij Mailchimp.com en verwijder het e-mailadres
Stap 4. Inlogaccount: n.v.t.
Opmerking Stap 4: heb ik er voor de volledigheid maar even bijgezet maar bij mij kan niemand anders inloggen
Opmerking Stap 1: Hier heb ik nog wel wat vragen over. Want wanneer is een verwijderingsverzoek wettelijk verplicht bij foto’s die in het openbaar gemaakt zijn en wanneer niet? Mogelijk is onderstaande allemaal niet verplicht?
A Een foto van voetballer bij een voedbalclub training?
B Een foto van voetballer bij een voetbalSTADION wedstrijd?
C Een foto van een supporter/toeschouwer bij een voetbalSTADION wedstrijd?
D Een foto van winkelend publiek?
(deze procedure vindt je ook terug in mijn AVG Excel bestand)
Gegevens inzien Verzoek
Als iemand mij zou vragen om zijn persoonlijke gegevens dan zal ik dit ook aan moeten voldoen. Dan betekend het dat ik de gegevens bij elkaar moet gaan zoeken bij blogreactie’s en nieuwsbrief contact gegevens en nog meer zaken. Dit heb ik uitgewerkt als een soort checklist in mijn AVG Excel lijst (tabblad ‘Gegevens inzien VERZOEK’)
Verwerkersovereenkomsten
Omdat ik persoonsgegevens uitwissel met Google Analytics en MailChimp heb ik een zogenaamde ‘Verwerkersovereenkomst’ nodig. Want zij verwerken mijn gegevens met hun handige tools. In zo’n overeenkomst staan afspraken over het gebruik van de data en de bescherming hiervan om de privacy te waarborgen.
MAILCHIMP
Bij MailChimp weet ik wel waar ik ze kan downloaden maar het formulier lijkt mij buiten werking,oeps! Dus hier ga ik volgende week nog eens naar kijken of ik hem kan downloaden: https://mailchimp.com/legal/forms/data-processing-agreement/
GOOGLE ANALYTICS
Google Analytics heeft in haar Analytics omgeving een verwerkersovereenkomst klaarstaan. Deze moet je als volgt accepteren:
1.log in op je Google Analytics account (https://analytics.google.com)
2.ga naar je BEHEERDER
3. Accountinstellingen
3. scroll naar beneden om de overeenkomst te accepteren
(beide zaken vindt je ook terug in de AVG Excel bestand)
Tijdsduur gegevens bewaren: Mailchimp
Bij Mailchimp worden e-mailadressen voor altijd bewaard totdat iemand zich uitgeschrijft voor de nieuwsbrief of hij me een verwijderverzoek stuurd.
Tijdsduur gegevens bewaren: Google Analytics
Bij Google Analytics staat die op onbeperkt. Mocht je het willen wijzigen naar bijvoorbeeld een aantal maanden of jaren, dan kan je dat als volgt doen:
– inloggen
– linksonder BEHEERDER
– bij je propertie van je website kies: Trackinginfo
– Gegevensbehoud
– kies daar: 14, 26, 38 of 50 maanden
Gegevens anonimiseren in Google Analytics
Een IP-adres is persoonsgegeven en als je wilt kun je in google dit gedeeltelijk onzichtbaar maken. Maar dat heeft nogal wat nadelen:
– uitsluiten IP-adressen niet meer mogelijk
– exacte geografische locatie is iets minder nauwkeurig
– volgens mij ook geen inzicht in leeftijden, geslacht en interesses
Ik wil dit juist allemaal kunnen zien, maar dat betekend wel dat ik er toestemming om moet vragen bij elke bezoeker. Mocht je dat niet willen dan kun je bij Autoriteitpersoonsgegevens een PDF handleiding downloaden om het uit te zetten.
AVG To Do lijst
Ik heb nu al veel geregeld voor de AVG maar nog niet alles is zoals het zou moeten. Daarom heb ik een To Do lijst gemaakt met actiepunten. In mijn AVG Excel heb ik het volgende genoteerd:
– WordPress website updaten volgende maand
– Plugins onderzoeken, en heb ik daarvan ook een Verwerkersovereenkomst nodig?
Privacy verklaring
Om transparantie te geven naar elke bezoeker heb ik dus ook vanaf 25 mei 2018 een echte ‘Privacy verklaring‘ online staan. Hierin heb ik allemaal genoteerd welke gegevens in verzamel, in eenvoudige Nederlandse taal. Het vervelende bijkomstigheid is dat deze gegevens voor een gedeelte overlapt met mijn AVG Excel tabblad ‘Inventarisatie’. Maar ik moet meer noteren in de Excel dan ik wil opnemen in de Privacy verklaring.
Cookies
Het mag sinds 25 mei 2018 niet meer om persoonsgegevens te verzamelen vóórdat de bezoekers hier voor toestemming hebben gegeven. En als ik iemand de toegang ontzeg als hij niet al mijn cookies accepteert dan ben ik ook nog eens strafbaar. Dus moet ik website eerst tonen met alleen met functionele cookies en als gebruiker toestemming geeft dan mag ik ook de Marketing, statistieken en advertenties cookies gebruiken. Hoewel ik nog steeds op zoek ben naar de allerbeste betaalbare Cookie Plugin heb ik voorlopig even gekozen voor Cookie Notice (by dFactory).
Toekomst?
Gelukkig heeft Minister Dekker in mei 2018 gezegd dat er schappelijk wordt omgegaan met de nieuwe privacywet en zeker in het begin geen boetes zullen volgen. De Autoriteit Persoonsgegevens hebben nu al te weinig mensen en geld, dus zo’n vaart gaat het allemaal niet lopen! Ik heb zo’n vermoeden dat alleen de mega-grote bedrijven komende jaren gecontroleerd gaan worden, dus de bedrijven waar heel heel veel persoonlijke gegevens zijn opgeslagen. En dus niet de websites van elke schilder en bloggers.
De tijd zal het uitwijzen!
Handige links:
Test je website op AVG / GDPR compliant
https://gdprcookiescan.eu/
AVG-checker vragenlijst
https://avg.pluform.com/checker
Heel handig overzicht, wat betreft Google analytics. Je kan nog steeds ipadressen uitsluiten na anonimiseren. Zoals je eigen ip adres. Ze blijven ook gewoon weergegeven onder reacties want die worden opgeslagen in WordPress en niet ga. Maar dat is eigen gebruik en niet met derde. Ook kan je gewoon geslacht en leeftijd blijcen zien. Dat blijft hij geeoon meten je mag het alleen niet meer herleiden naar een persoon. Daarom anonimiseren.
Dank je wel voor alle blogs in Jip en Janneke taal. En een heldere privacy verklaring. Zag dat ik nog wat miste, dus dat ga ik in de loop van de tijd toevoegen.
WordPress heeft trouwens ook veel ingebouwd in de nieuwe update (niet wachten… nu updaten, duurt nog geen 7 seconden). Het voldoen aan een verwijderingsverzoek voor bijvoorbeeld reacties kan via wordpress gedaan worden.
Ook kan je via WordPress een AVG verklarind genereren in het Nederlands (of in welke taat je installatie is geinstalleerd).
Dus: updaten zsm.
Elke keer als ik een artikel over de AVG lees, denk ik: o ja, dat hoort er ook nog bij, moet ik wat mee!
Ach, het houdt ons lekker van de straat… Nu ontdekte ik ergens anders weer dat je embedded youtube-filmpjes ook in een privacymodus moet zetten (of vooraf toestemming vragen aan bezoekers).