De GDPR is een Europese algemene verordening gegevensbescherming (ookwel AVG). Deze privacy verordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.
Voor meer informatie zie
NB: Onderstaande is ter informatie en ondersteuning bij de invoering van de GDPR in combinatie met het cms. U, als eigenaar van de website en daarmee volgens de GDRP de 'verwerkingsverantwoordelijke', bent zelf verantwoordelijk voor het nemen van de juiste maatregelen om te voldoen aan de GDPR.
Waar nodig en gevraagd zullen wij, als de hostingpartij en volgens de GDPR 'verwerker', u daarbij ondersteunen.
De GDPR is opgebouwd rondom zes principes:
Volgens de wet: "Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, dienen passende technische en organisatorische maatregelen getroffen te worden om een op het risico afgestemd beveiligingsniveau te waarborgen." Praktisch: afhankelijk van de gevoeligheid van de gegevens die gevraagd worden (alleen naam en telefoonummer of ook geslacht, geloofsovertuiging en IBAN?) dienen de gegevens afdoende beschermd te worden tegen ongeoorloogd gebruik.
Hieronder volgt per punt wat u kunt doen en welke mogelijkheden het cms daarbij biedt:
Via het cms kunt u zelf pagina's maken om de algemene voorwaarden, privacy en cookie statement op te nemen. Ook bij een formulier op een pagina kunt u eventueel een inleidiende tekst opnemen over waarom welke gegevens gevraagd worden.
Verschillende modules van het cms gebruiken cookies. Dit zijn uitsluitend functionele cookies waar u (vooraf) geen toestemming voor hoeft te vragen. De cookies bevatten ook geen persoonlijke gegevens.
Uitzondering hierop is de statistieken-module van het cms die een tracking-cookie gebruikt. Via Instellingen > Website-instellingen > Statistieken kunt u voor deze module het gebruik van cookies uitschakelen.
Let op: maakt u gebruik van externe diensten als Google Analytics, Hotjar, Youtube, Vimeo, etc. of plug ins voor social media, polls, forums, etc.? Deze kunnen allemaal eigen cookies plaatsen. U dient dan zelf na te gaan welke dat zijn en of u deze moet vermelden en/of toestemming dient te vragen.
Als u gebruik maakt van formulieren, controleer dan of er geen gegevens worden gevraagd die er niet toe doen. Hier is geen vuistregel voor te geven, gebruik gezond verstand.
Via de formulierenmodule kunt u gegevens laten opslaan in een CSV-bestand. Als de gegevens al worden doorgestuurd of gemailed, is opslaan dan nodig? Als niet, ze de optie dan uit, zo voorkomt u een wildgroei aan data(bestanden) die u moet beheren en raadplegen. Zie ook volgende punt.
Personen hebben het recht alle betreffende informatie op te vragen, te laten corrigeren of te laten verwijderen. In het verlengde van het vorige punt: des te minder/korter u opslaat, des te kleiner de kans dat u relatief veel moet regelen als een persoon een verzoek doet. Wilt u gegevens voor statistische doeleiden bewaren (bijv. bijhouden hoe vaak een formulier is ingevuld), dan kunt u in plaats van verwijderen gegevens ook anonimiseren (zodat ze niet meer tot een persoon te herleiden zijn).
Via de formulierenmodule kunt u het e.e.a. regelen:
Bij overige modules als Shop-module, Nieuwsbrieven-module, Reactie-per-pagina-module, etc. heeft u ook de mogelijkheid alle gegevens te downloaden, aan te passen of te verwijderen.
Verkregen gegevens dienen ook niet langer opgeslagen te worden dan nodig voor het beoogde doel. Simpel voorbeeld: u heeft op de website een 'bel mij terug'-formulier. Meer dan onderwerp, naam en telefoonnummer hoeft u voor het doel niet te vragen. Als u de klant vervolgens heeft gebeld en het doel daarmee is uitgevoerd dienen de gegevens weer verwijderd te worden.
U dient zelf te bepalen welke gegevens relevant zijn voor het doel en hoe lang deze dan (na uitvoering) nog bewaard dienen te blijven.
Via de Shop-module en Formulieren-module kunt u gegevens automatisch laten verwijderen na een ingesteld periode.
Wat | Waarom | Hoelang |
---|---|---|
Logbestanden webserver(s) | Vastleggen bezoekersverkeer op website(s) en fraude/inbraakpreventie. Bevat ip-adres en gegevens browser van bezoeker. | 4 dagen |
Statistieken bezoekersverkeer website(s) | Vastleggen en inzicht bezoekersverkeer op website(s). Bevat geen persoonsgegevens (ip-adressen zijn geanonimiseerd). | Onbeperkt |
Logbestanden mailserver(s) | Vastleggen mailverkeer voor statistieken en raadpleging. Bevat e-mailadressen. | 4 weken |
Shop-module | Vastleggen geplaatste bestellingen. Tevens kunnen klanten een account aanmaken op eigen verzoek, met e-mailadres en wachtwoord (versleuteld). | Instelbaar (tenzij account, dan onbeperkt tot verwijderen) |
Formulieren-module | Vastleggen ingezonden gegevens. | Instelbaar (Standaard: onbeperkt) |
Nieuwsbrieven-module | Vastleggen aanmeldingen bezoekers die nieuwsbrief wensen te ontvangen. Bevat minimaal e-mailadressen en eventueel extra gevraagde informatie (instelbaar). Statistieken bevatten e-mailadressen. | Onbeperkt (tot afmelden of verwijderen). Statistieken: instelbaar |
Forum-module en Reacties-per-pagina-module | Vastleggen geplaatste berichten met e-mailadres en ip-adres (om te herleiden wie heeft geplaats en blokkering ongewenste bezoekers). | Onbeperkt (tot verwijderen) |
Poll-module | Vastleggen deelname polls met ip-adres (ter voorkoming van meer dan eens stemmen). | Onbeperkt (tot verwijderen) |
Beveiligde-toegang-module | Vastelggen loginnaam (kan e-mailadres zijn) en wachtwoord (versleuteld) en eventueel extra gevraagde informatie (instelbaar). Gegevens kunnen persoonsgegevens bevatten, maar zijn vereist voor uitvoeren doel. | Onbeperkt (tot verwijderen) |
De verordening stelt dat, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Technisch gezien zijn redelijke maatregelen getroffen om de systemen afdoende te beveiligen. Zo is al het verkeer van en naar de servers beveiligd/versleuteld, is software actief of inbraken de detecteren en voorkomen, draaien de servers in datacenters die voldoen aan certificeringen als ISO 9001 en 27001, NEN 7510, PCI DDS, worden frequent backups gemaakt (en off-site bewaard).
Organisatorisch hebben slechts een beperkt aantal mensen toegang tot systemen en zijn deze gehouden aan een geheimhoudingsplicht.