WordPress komt met oplossing voor nieuwe privacywet (AVG/GDPR)

Geschreven door Frank Spin op 14/5/2018

Vanaf 25 mei 2018 is de nieuwe privacywet van toepassing. Dit betekent dat je organisatie vanaf dat moment moet voldoen aan een behoorlijke reeks eisen. De Autoriteit Persoonsgegevens heeft een handig stappenplan online gezet om je voor te bereiden.

Eén van de dingen die je aandacht verdient, zijn de privacy gerelateerde zaken op je website. Zo is het van belang dat je een goede privacyverklaring toevoegt aan je website. Moet je in staat zijn om persoonsgegevens te overhandigen, en moeten gebruikers toestemming geven om hun privacy gegevens op te slaan.

WordPress en privacy

De aankomende update van WordPress (versie 4.9.6) staat in het teken van privacy. De nieuwe versie komt met een behoorlijk pakket aan features om je website verder AVG proof te maken. Op dit moment is de eerste testversie beschikbaar en naar verwachting volgt volgende week de definitieve versie.

Voor deze blogpost heb ik op mijn laptop de laatste testversie geïnstalleerd. Het kan zijn dat de definitieve versie uiteindelijk afwijkt. Wat direct opvalt is dat nog niet alle nieuwe functionaliteiten vertaald zijn naar het Nederlands.

Focus op privacy

Na het installeren van de nieuwe WordPress versie, verschijnt in het beheergedeelte van de website een popup die je attendeert op de nieuwe privacy gerelateerde functionaliteiten.

Nieuw is een aparte pagina onder instellingen, welke helemaal gericht is op de privacy zaken van je WordPress website. Je vindt deze pagina straks terug in het beheergedeelte van je website onder instellingen > privacy.

Aanmaken van Privacy Policy

Op de privacy pagina heb je de mogelijkheid om een nieuwe privacy policy aan te maken of een bestaande privacy policy te selecteren.

Wanneer je kiest om een nieuwe privacy policy aan te maken, genereert WordPress een uitgebreide conceptversie voor je. Op dit moment is deze conceptversie enkel nog beschikbaar in het Engels.

In de gegenereerde privacy policy komen onderwerpen naar voren zoals: reacties, media, contact formulieren, cookies en analytics. De complete Engelse conceptversie lees je hieronder.


# Who we are

Our website address is: http://avg.test.
What personal data we collect and why we collect it

## Reacties

When visitors leave comments on the site we collect the data shown in the comments form, and also the visitor’s IP address and browser user agent string to help spam detection.

An anonymized string created from your email address (also called a hash) may be provided to the Gravatar service to see if you are using it. The Gravatar service privacy policy is available here: https://automattic.com/privacy/. After approval of your comment, your profile picture is visible to the public in the context of your comment.

## Media

If you upload images to the website, you should avoid uploading images with embedded location data (EXIF GPS) included. Visitors to the website can download and extract any location data from images on the website.

## Contact forms

## Cookies

If you leave a comment on our site you may opt-in to saving your name, email address and website in cookies. These are for your convenience so that you do not have to fill in your details again when you leave another comment. These cookies will last for one year.

If you have an account and you log in to this site, we will set a temporary cookie to determine if your browser accepts cookies. This cookie contains no personal data and is discarded when you close your browser.

When you log in, we will also set up several cookies to save your login information and your screen display choices. Login cookies last for two days, and screen options cookies last for a year. If you select "Remember Me", your login will persist for two weeks. If you log out of your account, the login cookies will be removed.

If you edit or publish an article, an additional cookie will be saved in your browser. This cookie includes no personal data and simply indicates the post ID of the article you just edited. It expires after 1 day.

## Embedded content from other websites

Articles on this site may include embedded content (e.g. videos, images, articles, etc.). Embedded content from other websites behaves in the exact same way as if the visitor has visited the other website.

These websites may collect data about you, use cookies, embed additional third-party tracking, and monitor your interaction with that embedded content, including tracing your interaction with the embedded content if you have an account and are logged in to that website.

## Analytics


## Who we share your data with


## How long we retain your data

If you leave a comment, the comment and its metadata are retained indefinitely. This is so we can recognize and approve any follow-up comments automatically instead of holding them in a moderation queue.

For users that register on our website (if any), we also store the personal information they provide in their user profile. All users can see, edit, or delete their personal information at any time (except they cannot change their username). Website administrators can also see and edit that information.

What rights you have over your data

If you have an account on this site, or have left comments, you can request to receive an exported file of the personal data we hold about you, including any data you have provided to us. You can also request that we erase any personal data we hold about you. This does not include any data we are obliged to keep for administrative, legal, or security purposes.

## Where we send your data

Visitor comments may be checked through an automated spam detection service.


## Additional information

## How we protect your data

## What data breach procedures we have in place

## What third parties we receive data from

## What automated decision making and/or profiling we do with user data

## Industry regulatory disclosure requirements

Of en wanneer de tekst in het Nederlands beschikbaar komt is op dit moment nog onbekend. Het is daarnaast altijd verstandig om je privacy policy voor te leggen aan een jurist. De privacy policy welke WordPress je aanbiedt is een startpunt en geen volledige policy.

Privacy data exporteren en verwijderen

Iedereen heeft straks het recht om zijn privacy gegevens op te vragen. De nieuwe versie van WordPress maakt dit proces een beetje eenvoudiger. Binnen WordPress heb je als beheerder de mogelijkheid om een export te maken van alle persoonlijke data van een gebruiker.

Het proces werkt vrij eenvoudig. Een beheerder vult een gebruikersnaam of email in en de desbetreffende gebruiker krijgt vervolgens een bevestigingsmail. Wanneer de gebruiker het verzoek accepteert krijgt hij vervolgens een email met overzicht van zijn data.

Voorbeeld van export persoonsgegevens in WordPress

Naast het exporteren van privacy gegevens biedt de nieuwe versie van WordPress ook de mogelijkheid om persoonsgegevens compleet te verwijderen. Het principe werkt hetzelfde als de aanvraag om gegevens te exporteren.

Wanneer de gebruiker aangeeft dat hij/zij zijn gegevens wilt verwijderen, worden automatisch alle gerelateerde persoonsgegevens verwijderd.

Gebruikersnamen worden bijvoorbeeld verwijderd bij reacties op artikelen. Het is overigens niet zo dat de complete reacties worden verwijderd, alleen de gerelateerde persoonsgegevens.

Comments worden anoniem na verzoek om data te verwijderen

Opt-in bij verzamelen persoonsgegevens

Tenslotte voegt deze update een expliciete opt-in toe aan reactieformulieren op je WordPress website. Gebruikers van je website moeten nu expliciet toestemming geven om hun data op te slaan in een tijdelijke cookie.

Opt-in bij reacties

Met deze nieuwe update richt WordPress zich op het verbeteren van de privacy. Verwacht wordt dat versie 4.9.6 volgende week nog uitkomt. Net op tijd voor de naderende deadline van de nieuwe privacywet op 25 mei 2018.

Update: 18 mei 2018

Versie 4.9.6 van WordPress is nu te downloaden en komt ook met een Nederlandse Privacy Policy tekst. Deze tekst vind je hieronder.


## Wie zijn we

Ons website-adres is: http://avg.test.

Welke persoonlijke data we verzamelen en waarom we het verzamelen


## Reacties

Als bezoekers reacties achterlaten op de site, verzamelen we de data getoond in het reactieformulier en ook het IP-adres van de bezoeker en de browser gebruikersagent string om spam opsporing te helpen.

Een geanonimiseerde string, gemaakt op basis van je e-mailadres (dit wordt ook een hash genoemd) kan worden gestuurd naar de Gravatar service indien je dit gebruikt. De privacybeleidspagina kun je hier vinden: https://automattic.com/privacy/. Nadat je reactie is goedgekeurd, is je profielfoto publiekelijk zichtbaar in de context van je reactie.

## Media

Als je een geregistreerde gebruiker bent en afbeeldingen naar de site upload, moet je voorkomen dat je afbeeldingen upload met daarin EXIF GPS locatie gegevens. Bezoekers van de website kunnen de afbeeldingen van de website downloaden en de locatiegegevens inzien.

## Contactformulieren

## Cookies

Wanneer je een reactie achterlaat op onze site, kun je aangeven of we je naam, je e-mailadres en website in een cookie opgeslagen mogen worden. Dit doen we voor jouw gemak zodat je deze gegevens niet opnieuw hoeft in te vullen voor een nieuwe reactie. Deze cookies zijn een jaar lang geldig.

Indien je een account hebt en je logt in op deze site, slaan we een tijdelijk cookie op om te bepalen of jouw browser cookies accepteert. Dit cookie bevat geen persoonlijke data en wordt weggegooid zodra je je browser sluit.

Zodra je inlogt, zullen we enkele cookies bewaren in verband met jouw login informatie en schermweergave opties. Login cookies zijn 2 dagen geldig en cookies voor schermweergave opties 1 jaar. Als je "Herinner mij" selecteert, wordt je login 2 weken bewaart. Zodra je uitlogt van jouw account, worden login cookies verwijderd.

Wanneer je een bericht wijzigt of publiceert wordt een aanvullende cookie door je browser opgeslagen. Deze cookie bevat geen persoonlijke data en heeft enkel het post ID van het artikel wat je hebt bewerkt in zich. Deze cookie is na een dag verlopen.

Ingesloten inhoud van andere websites
Berichten op deze site kunnen ingesloten (embedded) inhoud tonen. Bijvoorbeeld video's, afbeeldingen, berichten). Ingesloten inhoud van andere websites gedraagd zich exact hetzelfde als alsof de bezoeker deze andere heeft website bezocht.

Deze websites kunnen data over jou verzamelen, cookies gebruiken, tracking van derde partijen insluiten en je interactie met deze ingesloten inhoud monitoren, inclusief de interactie met ingesloten inhoud als je een account hebt en ingelogd bent op die website.

## Analytics


## Met wie we jouw data delen


## Hoe lang we jouw data bewaren

Wanneer je een reactie achterlaat dan wordt die reactie en de metadata van die reactie voor altijd bewaard. Op deze maniier kunnen we vervolgreacties automatisch herkennen en goedkeuren in plaats van dat we ze moeten modereren.

Voor gebruikers die geregistreerd op onze website (indien van toepassing), bewaren we ook persoonlijke informatie in hun gebruikersprofiel. Alle gebruikers kunnen hun persoonlijke informatie bekijken, wijzigen of verwijderen op ieder moment (de gebruikersnaam kan niet gewijzigd worden). Website beheerders kunnen deze informatie ook bekijken en wijzigen.

## Welke rechten je hebt over je data

Als je een account hebt op deze site of je hebt reacties achter gelaten, kan je verzoeken om een exportbestand van je persoonlijke data die we van je hebben, inclusief alle data die je ons opgegeven hebt. Je kan ook verzoeken dat we enige persoonlijke data die we van je hebben verwijderen. Dit bevat geen data die we verplicht moeten bewaren in verband met administratieve, wettelijke of beveiligings doeleinden.

## Waar we jouw data naartoe sturen

Reacties van bezoekers kunnen door een geautomatiseerde spam detectie service geleid worden.

## Jouw contactinformatie

## Aanvullende informatie

### Hoe we jouw data beveiligen

### Welke datalek procedures we geïmplementeerd hebben

### Van welke derde partijen we data ontvangen

### Wat voor geautomatiseerde besluiten we nemen en profilering we doen met gebruikersdata

### Openbaarmakingsverplichtingen van de industrie

Frank Spin
Designer, developer en ondernemer

Vanuit mijn kantoor in Groningen, werk ik voor verschillende nationale en internationale klanten. Ik help deze organisaties voornamelijk met design en development. Daarnaast houd ik mij bezig met het bouwen van online software.