Skip to main content

Checklist AVG

Met deze AVG checklist zorgt u ervoor dat uw Joomla website voldoet aan de AVG in 5 praktische stappen.
Vanaf 25 mei 2018 moet elke organisatie in Europa voldoen aan nieuwe wetgeving om persoonsgegevens te mogen verwerken en bewerken. Dat geldt dus ook voor persoonsgegevens op uw Joomla website. Uw website en de nieuwe wet AVG zijn onlosmakelijk met elkaar verbonden. We vertellen u hier meer over de regels met betrekking tot de wet AVG en uw website. Maar wel even een flinke disclaimer: we hebben ons verdiept in het onderwerp, maar zijn geen juristen. We delen deze informatie slechts met u maar u kunt ons nergens voor verantwoordelijk houden. Laat uw eigen documenten altijd controleren door een jurist of advocaat. Dit document kunt u gebruiken als checklist waarmee u stapsgewijs kunt nagaan of uw website aan de AVG voorwaarden voldoet.
Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

1. Inventariseren en documenteren

Beschrijf vooraf de doelgroep(en) die uw website bezoeken en noteer in een spreadsheet voor elke doelgroep welke persoonsgegevens uw website registreert. Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon of kunnen leiden naar een persoon. Dat zijn dus bijvoorbeeld naam, adres, telefoonnummer, website, BTW nummer, IP adres of meer. Door dit per doelgroep na te gaan, verkleint u de kans dat u iets over het hoofd ziet. 
Om privacygevoelige informatie te beschermen is het van belang dat uw website en e-mail uitsluitend veilig toegankelijk zijn via SSL (groen slotje in de adresbalk van de browser). Indien u elders host kunt u bij uw eigen host vragen naar de mogelijkheden.
Als u uw mails leest in de online webmail via onze Roundcube omgeving loopt uw mailverkeer automatisch via SSL. Als u uw mails binnenhaalt in een extern mailprogramma is het belangrijk om te controleren of u hier als server server-joomla-website-designer.nl heeft ingesteld voor zowel uw uitgaande als inkomende mail verkeer.
Verder hebben we op de server een extra maatregel genomen om te voorkomen dat externe partijen uw mails als spam zien en mail niet bezorgd kan worden. Alle uitgaande mail wordt eerst gecontroleerd door MailChannels.

Breid uw inventarisatie uit door onderstaande punten te doorlopen:

a. Hosting & beheer

Externe dienstverleners hebben ook toegang tot uw website. Ga na hoe zij hun zaken hebben geregeld en of u de juiste afspraken met ze heeft gemaakt. U dient met iedere partij die toegang heeft tot persoonsgegevens van uw klanten en/of personeel verwerkersovereenkomsten af te sluiten.
Voor onze klanten, indien u dit nog niet gedaan heeft: download onze verwerkersovereenkomst. Deze dient u te ondertekenen en terug te zenden (liefst per e-mail), zodat zowel u als wij over een getekend exemplaar beschikken.

Hosting partij
Uw hosting partij heeft in theorie toegang tot alle gegevens op uw website. Daarom dient u een verwerkersovereenkomst af te sluiten met uw hosting partij. Tevens dient u te controleren of uw hosting provider tijdig bijwerkt naar nieuwe PHP versies om uw site en daarmee de ingezonden persoonsgegevens veilig te houden.
Joomla Website Designer heeft alle diensten aangepast aan de privacy regelgeving en is daarmee volledig GDPR compliant. Dit betekent dat klanten die hun hosting bij ons hebben ondergebracht op dat gebied automatisch voldoen aan de wetgeving. Indien u uw hosting elders onderbrengt kunt u bij uw eigen host navragen hoe zij e.e.a. hebben geregeld.

Externe ontwikkelaars en beheerders
Welke beheerders hebben toegang tot uw Joomla website? Mogelijk huurt u bureaus (of freelancers) in voor werk aan uw website. Ook met hen dient u verwerkersovereenkomsten af te sluiten. Klanten die geen onderhoudsabonnement bij ons afnemen maar wel hosting zijn verplicht elke update aan alle geïnstalleerde software binnen 72 uur te verwerken, zie art 3 van de verwerkersovereenkomst. Alleen op die manier blijft de hele server zo veilig mogelijk en daarmee AVG proof. Een onderhoudsabonnement is vanwege licenties op uitbreidingen aan Joomla vaak voordeliger dan zelf losse updates aanschaffen.

Backup locaties
Waar en hoe worden back-ups opgeslagen door uw hosting-partij of onderhoudspartner? Als u een onderhoudsabonnement bij ons heeft maken wij elke week via het component Akeeba Backup een automatische back-up van uw website die 4 weken lang wordt opgeslagen in Dropbox.

b. Extensies

Log in als beheerder op uw Joomla website en bepaal per component welke gegevens er verzameld worden en of ze wel of niet opgeslagen worden:

Contactformulieren
Het standaard Joomla contactformulier slaat persoonsgegevens niet op in de website. De gegevens worden alleen doorgestuurd naar uw mail adres.
Gebruikt u een aparte extensie (bijv. RS Forms of Breezing Forms) voor uw contactformulieren dan worden de gegevens wel in de database opgeslagen en niet verwijderd tenzij u dit zelf regelmatig doet. In dit geval is het verstandig om een extra checkbox op te nemen in uw contactformulier (en dat mag niet standaard zijn aangevinkt) waarin u expliciet om goedkeuring vraagt de gegevens op te slaan en een link verwerkt naar uw privacyverklaring. Wees er daarnaast op bedacht dat u geen extra persoonsgegevens vraagt die niet nodig zijn. Dus als u een e-book aanbiedt, mag u wel een e-mailadres vragen maar geen telefoonnummer.

Leden extensies (bijv. Community Builder of LoveFactory, etc.)
Welke profielinformatie wordt er opgeslagen per lid? En zegt het lidmaatschap op uw website verder nog iets over uw leden? Denk bijvoorbeeld aan politieke activiteiten, religieuze voorkeur, financiële situatie, of seksuele voorkeur.

E-commerce (bijv. Virtuemart)
Denk aan NAW- en bankgegevens van uw klanten, maar ook aan het soort bestelde producten. Verkoopt u bijv. politiek gekleurde magazines of erotische artikelen, deze zijn extra privacy gevoelig?

E-mailmarketing extensies (bijv. inschrijven bij MailChimp of AcyMailing)
Welke informatie vraagt u op? Wat doet u vervolgens met die informatie? En naar welke diensten wordt die informatie verstuurd?

Koppelingen met externe diensten zoals boekhoudpakketten
Bijv. een koppeling tussen Virtuemart en uw boekhoudprogramma of MyParcel.

Reactie plugins
Bijv. in uw blog, hier worden reacties, e-mailadressen en IP-adressen van uw bezoekers gebruikt om spam te filteren.

Veiligheid
Veiligheidsplugins zoals RS Firewall verwerken onder andere IP-adressen en locaties van bezoekers.

Backup componenten
Complete kopieën van uw website zijn privacy gevoelig als ze in verkeerde handen vallen. Waar worden back-ups opgeslagen en hoe worden ze beveiligd?

Statistieken
Denk aan Google Analytics of Google Tag Manager: heeft u in kaart welke gegevens er opgeslagen worden van uw gebruikers en bezoekers? Zorg dat statistieken programma's correct zijn ingesteld. In de PDF download ‘Instellen Google Analytics AVG’ wordt dit uitvoerig beschreven. Ook dit artikel geeft nuttige informatie.

Logging
Denk aan activiteitenmonitors die gebruikersactiviteiten registreren.

c. Diensten buiten de EU

Controleer of u gebruikmaakt van diensten buiten de EU. Denk aan Amerikaanse dienstverleners die gegevens van uw website kunnen verwerken. Ga na of ze voldoen aan de AVG (GDPR in het Engels).

d. Duur

Ga na hoelang de persoonsgegevens worden bewaard en of dit niet langer dan noodzakelijk is. In de volgende stap zult u namelijk moeten overwegen of deze duur te rechtvaardigen is.

e. Overig

Welke gebruikers hebben toegang tot uw website, en hoe staat het met hun wachtwoorden? Maakt u gebruik van marketing automation of A/B-testing? En zo ja, zijn de proefpersonen op de hoogte?

2. Legitimeren

Voor alle gegevens die u verzamelt op uw Joomla website, moet u kunnen legitimeren waarom u die verzamelt. Verzeker uzelf er daarom van dat u binnen de kaders van de wet blijft met de gegevens die u verzamelt. Als je gegevens verzamelt en bewaart, mag dat alleen als één van onderstaande redenen van toepassing is:

a. Omdat dit is afgesproken in een overeenkomst

Denk bijvoorbeeld aan betaalde abonnementen op uw website waarvoor u bankgegevens van personen nodig hebt.

b. Omdat de wet van u vereist om dit vast te leggen

Denk aan facturen met klantgegevens in uw Virtuemart winkel die u ook voor uw boekhouding nodig heeft volgens de regels van de belastingdienst.

c. Omdat u expliciet toestemming hebt gekregen om dit te doen

Denk aan een cookie melding op uw website of een inschrijfformulier op uw nieuwsbrief. Let erop dat:
  • De toestemming vrijwillig is gegeven (men kan niet misleid of gedwongen worden)
  • De toestemming expliciet is (geen vooraf aangevinkte checkbox dus!)
  • De toestemming per onderdeel gegeven moet worden (bijv. als men zich aanmeldt voor een evenement, én men zich tegelijk kan inschrijven op de nieuwsbrief)
  • De organisaties genoemd worden die de gegevens zullen verwerken
  • De toestemming weer ingetrokken moet kunnen worden

d. Omdat het verzamelen te rechtvaardigen is

Denk aan het afvangen van de locatie van een inloggende gebruiker zodat u als extra veiligheidscontrole kan controleren of de gebruiker zich op een logische plek in de wereld bevindt. Het is natuurlijk wel een grijs gebied om te bepalen wat te ‘rechtvaardigen’ is. Schrijf daarom altijd uit waarom u van mening bent dat het te rechtvaardigen is. En schakel bij twijfel een jurist in.
Doorloop de inventarisatielijst uit stap 1 en ga voor elke rij na of u de gegevens kunt legitimeren.

3. Beperken

Verwijder de persoonsgegevens waarvan u niet kunt legitimeren dat uw Joomla website ze verzamelt en opslaat. Schakel ook de extensies uit die dit doen, of ga op zoek naar alternatieve extensies die zich wel aan bovenstaande regels houden.

4. Procedures opstellen

Leg protocollen vast voor de verschillende situaties waar u mee te maken kunt krijgen in de toekomst. Zorg dat u helder hebt welke informatie zich op welke plekken bevindt, zodat u dat niet later hoeft uit te zoeken. Leg in elk geval de volgende procedures vast:
  • Verzoeken van personen
    Personen kunnen om toegang vragen tot hun persoonsgegevens in uw Joomla website, maar ook om het bewerken of verwijderen ervan.
  • Veiligheid
    Leg vast hoe u ervoor zorgt dat gegevens veilig blijven, ook in de toekomst. Denk bijvoorbeeld aan een consequent update-beleid voor uw Joomla website, extensies en template, juiste PHP versie, maar ook aan veilige opslag van back-ups en een complex wachtwoord-beleid voor elke nieuwe gebruiker die u toevoegt.
  • Datalekken
    In het geval van datalekken moet u volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren. Zorg er dus voor dat u vast hebt gelegd welke stappen u moet nemen, omdat tijd op zo’n moment kostbaar is.

5. Informeren en om toestemming vragen - Privacyverklaring

Informeer de bezoekers van uw website helder en transparant. Dit kan bijvoorbeeld in een privacyverklaring, waar u duidelijk naar verwijst, bijvoorbeeld in de footer van uw website. Vraag de bezoekers op uw website bovendien ook expliciet om toestemming op de activiteiten die u hebt vastgelegd in uw privacyverklaring. Zorg ervoor dat u toestemming vraagt op een manier die is beschreven in stap 2c.
Wellicht ook interessant om te lezen:
SSL certificaat Joomla
SSL certificaten
Sinds de nieuwe privacywet in werking is getreden is voor de meeste websites en webshops een SSL certificaat verplicht.
Joomla onderhoud
Joomla onderhoud
Neem geen risico met uw website en kies voor een onderhoudsabonnement. Veel licenties zijn inbegrepen.
Joomla hosting
Joomla hosting
U bent niet verplicht om de hosting en domeinregistratie bij ons onder te brengen maar het biedt zeker voordelen.