Checklist AVG
1. Inventariseren en documenteren
Om privacygevoelige informatie te beschermen is het van belang dat uw website en e-mail uitsluitend veilig toegankelijk zijn via SSL (groen slotje in de adresbalk van de browser). Indien u elders host kunt u bij uw eigen host vragen naar de mogelijkheden.
Als u uw mails leest in de online webmail via onze Roundcube omgeving loopt uw mailverkeer automatisch via SSL. Als u uw mails binnenhaalt in een extern mailprogramma is het belangrijk om te controleren of u hier als server server-joomla-website-designer.nl heeft ingesteld voor zowel uw uitgaande als inkomende mail verkeer.
Verder hebben we op de server een extra maatregel genomen om te voorkomen dat externe partijen uw mails als spam zien en mail niet bezorgd kan worden. Alle uitgaande mail wordt eerst gecontroleerd door MailChannels.
Breid uw inventarisatie uit door onderstaande punten te doorlopen:
a. Hosting & beheer
Externe dienstverleners hebben ook toegang tot uw website. Ga na hoe zij hun zaken hebben geregeld en of u de juiste afspraken met ze heeft gemaakt. U dient met iedere partij die toegang heeft tot persoonsgegevens van uw klanten en/of personeel verwerkersovereenkomsten af te sluiten.
Voor onze klanten, indien u dit nog niet gedaan heeft: download onze verwerkersovereenkomst. Deze dient u te ondertekenen en terug te zenden (liefst per e-mail), zodat zowel u als wij over een getekend exemplaar beschikken.
Hosting partij
Uw hosting partij heeft in theorie toegang tot alle gegevens op uw website. Daarom dient u een verwerkersovereenkomst af te sluiten met uw hosting partij. Tevens dient u te controleren of uw hosting provider tijdig bijwerkt naar nieuwe PHP versies om uw site en daarmee de ingezonden persoonsgegevens veilig te houden.
Joomla Website Designer heeft alle diensten aangepast aan de privacy regelgeving en is daarmee volledig GDPR compliant. Dit betekent dat klanten die hun hosting bij ons hebben ondergebracht op dat gebied automatisch voldoen aan de wetgeving. Indien u uw hosting elders onderbrengt kunt u bij uw eigen host navragen hoe zij e.e.a. hebben geregeld.
Externe ontwikkelaars en beheerders
Welke beheerders hebben toegang tot uw Joomla website? Mogelijk huurt u bureaus (of freelancers) in voor werk aan uw website. Ook met hen dient u verwerkersovereenkomsten af te sluiten. Klanten die geen onderhoudsabonnement bij ons afnemen maar wel hosting zijn verplicht elke update aan alle geïnstalleerde software binnen 72 uur te verwerken, zie art 3 van de verwerkersovereenkomst. Alleen op die manier blijft de hele server zo veilig mogelijk en daarmee AVG proof. Een onderhoudsabonnement is vanwege licenties op uitbreidingen aan Joomla vaak voordeliger dan zelf losse updates aanschaffen.
Backup locaties
Waar en hoe worden back-ups opgeslagen door uw hosting-partij of onderhoudspartner? Als u een onderhoudsabonnement bij ons heeft maken wij elke week via het component Akeeba Backup een automatische back-up van uw website die 4 weken lang wordt opgeslagen in Dropbox.
b. Extensies
Log in als beheerder op uw Joomla website en bepaal per component welke gegevens er verzameld worden en of ze wel of niet opgeslagen worden:Contactformulieren
Het standaard Joomla contactformulier slaat persoonsgegevens niet op in de website. De gegevens worden alleen doorgestuurd naar uw mail adres.
Gebruikt u een aparte extensie (bijv. RS Forms of Breezing Forms) voor uw contactformulieren dan worden de gegevens wel in de database opgeslagen en niet verwijderd tenzij u dit zelf regelmatig doet. In dit geval is het verstandig om een extra checkbox op te nemen in uw contactformulier (en dat mag niet standaard zijn aangevinkt) waarin u expliciet om goedkeuring vraagt de gegevens op te slaan en een link verwerkt naar uw privacyverklaring. Wees er daarnaast op bedacht dat u geen extra persoonsgegevens vraagt die niet nodig zijn. Dus als u een e-book aanbiedt, mag u wel een e-mailadres vragen maar geen telefoonnummer.
Leden extensies (bijv. Community Builder of LoveFactory, etc.)
Welke profielinformatie wordt er opgeslagen per lid? En zegt het lidmaatschap op uw website verder nog iets over uw leden? Denk bijvoorbeeld aan politieke activiteiten, religieuze voorkeur, financiële situatie, of seksuele voorkeur.
E-commerce (bijv. Virtuemart)
Denk aan NAW- en bankgegevens van uw klanten, maar ook aan het soort bestelde producten. Verkoopt u bijv. politiek gekleurde magazines of erotische artikelen, deze zijn extra privacy gevoelig?
E-mailmarketing extensies (bijv. inschrijven bij MailChimp of AcyMailing)
Welke informatie vraagt u op? Wat doet u vervolgens met die informatie? En naar welke diensten wordt die informatie verstuurd?
Koppelingen met externe diensten zoals boekhoudpakketten
Bijv. een koppeling tussen Virtuemart en uw boekhoudprogramma of MyParcel.
Reactie plugins
Bijv. in uw blog, hier worden reacties, e-mailadressen en IP-adressen van uw bezoekers gebruikt om spam te filteren.
Veiligheid
Veiligheidsplugins zoals RS Firewall verwerken onder andere IP-adressen en locaties van bezoekers.
Backup componenten
Complete kopieën van uw website zijn privacy gevoelig als ze in verkeerde handen vallen. Waar worden back-ups opgeslagen en hoe worden ze beveiligd?
Statistieken
Denk aan Google Analytics of Google Tag Manager: heeft u in kaart welke gegevens er opgeslagen worden van uw gebruikers en bezoekers? Zorg dat statistieken programma's correct zijn ingesteld. In de PDF download ‘Instellen Google Analytics AVG’ wordt dit uitvoerig beschreven. Ook dit artikel geeft nuttige informatie.
Logging
Denk aan activiteitenmonitors die gebruikersactiviteiten registreren.
c. Diensten buiten de EU
Controleer of u gebruikmaakt van diensten buiten de EU. Denk aan Amerikaanse dienstverleners die gegevens van uw website kunnen verwerken. Ga na of ze voldoen aan de AVG (GDPR in het Engels).d. Duur
Ga na hoelang de persoonsgegevens worden bewaard en of dit niet langer dan noodzakelijk is. In de volgende stap zult u namelijk moeten overwegen of deze duur te rechtvaardigen is.e. Overig
Welke gebruikers hebben toegang tot uw website, en hoe staat het met hun wachtwoorden? Maakt u gebruik van marketing automation of A/B-testing? En zo ja, zijn de proefpersonen op de hoogte?2. Legitimeren
a. Omdat dit is afgesproken in een overeenkomst
Denk bijvoorbeeld aan betaalde abonnementen op uw website waarvoor u bankgegevens van personen nodig hebt.b. Omdat de wet van u vereist om dit vast te leggen
Denk aan facturen met klantgegevens in uw Virtuemart winkel die u ook voor uw boekhouding nodig heeft volgens de regels van de belastingdienst.c. Omdat u expliciet toestemming hebt gekregen om dit te doen
Denk aan een cookie melding op uw website of een inschrijfformulier op uw nieuwsbrief. Let erop dat:- De toestemming vrijwillig is gegeven (men kan niet misleid of gedwongen worden)
- De toestemming expliciet is (geen vooraf aangevinkte checkbox dus!)
- De toestemming per onderdeel gegeven moet worden (bijv. als men zich aanmeldt voor een evenement, én men zich tegelijk kan inschrijven op de nieuwsbrief)
- De organisaties genoemd worden die de gegevens zullen verwerken
- De toestemming weer ingetrokken moet kunnen worden
d. Omdat het verzamelen te rechtvaardigen is
Denk aan het afvangen van de locatie van een inloggende gebruiker zodat u als extra veiligheidscontrole kan controleren of de gebruiker zich op een logische plek in de wereld bevindt. Het is natuurlijk wel een grijs gebied om te bepalen wat te ‘rechtvaardigen’ is. Schrijf daarom altijd uit waarom u van mening bent dat het te rechtvaardigen is. En schakel bij twijfel een jurist in.Doorloop de inventarisatielijst uit stap 1 en ga voor elke rij na of u de gegevens kunt legitimeren.
3. Beperken
4. Procedures opstellen
- Verzoeken van personen
Personen kunnen om toegang vragen tot hun persoonsgegevens in uw Joomla website, maar ook om het bewerken of verwijderen ervan. - Veiligheid
Leg vast hoe u ervoor zorgt dat gegevens veilig blijven, ook in de toekomst. Denk bijvoorbeeld aan een consequent update-beleid voor uw Joomla website, extensies en template, juiste PHP versie, maar ook aan veilige opslag van back-ups en een complex wachtwoord-beleid voor elke nieuwe gebruiker die u toevoegt. - Datalekken
In het geval van datalekken moet u volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren. Zorg er dus voor dat u vast hebt gelegd welke stappen u moet nemen, omdat tijd op zo’n moment kostbaar is.