Op en top beveiliging van je website

Een sterk wachtwoord. Een voor de hand liggend wachtwoord is één van de meest voorkomende oorzaken van gehackte websites. Je hebt geen idee hoe vaak zoiets als ‘wachtwoord123’ gebruikt wordt. De regel is: gebruik geen namen of woorden die in het woordenboek voorkomen. Maar willekeurige combinaties van karakters en cijfers. Liefst zo lang en ingewikkeld mogelijk. Bedenk dat ook niet zelf, er zijn websites die dat voor je genereren.
WordPress, plugins en je thema altijd bijwerken →
Gebruik plugins die je beschermen tegen allerlei verschillende vormen van hacken. Lees er hier meer over: Waarom zou jouw site nou gehackt worden? →
Een beveiligde verbinding met TLS/https. Zeker als je een webshop hebt of anderszins gevoelige gegevens verwerkt, maar in feite is het voor iedere website een aanrader. Zie ook: Deze website is niet veilig! →
2. Inventarisatie: waar op je website vraag je gegevens van je bezoekers?

Contactformulier
Reactieformulier bij blogberichten
Aanmeldformulier nieuwsbrief
Aanmeldformulier evenementen
Andere formulieren (bij mij feedback bv.)
Webshop
Wat doe je precies met die gegevens en waar blijven ze? De inzendingen op je eigen formulieren, zoals het contactformulier worden meestal bewaard in je backend en je database. Is echt het nodig om ze te bewaren?

De gegevens die je vraagt als iemand zich aanmeldt voor je e-mail nieuwsbrief komen in een database bij je email service provider, zoals Mailchimp of Active Campaign. Weet je zeker dat ze daar goed beveiligd zijn?

Met een webshop is het natuurlijk vanzelfsprekend dat je gegevens van je klanten hebt. Om de bestelling te bezorgen, om een factuur te sturen. Deze gegevens moet je natuurlijk in ieder geval bewaren voor de belastingdienst (7 jaar).

Actie:

Voeg een checkbox toe aan deze formulieren, waarmee je de bezoekers informeert en toestemming vraagt om hun gegevens te gebruiken voor het doel van dat formulier.
Plaats een link naar je privacyverklaring voor meer gedetailleerde informatie (daarover verderop nog meer).
Voor mijn eigen contactformulier heb ik het nu zo gedaan:

Contactformulier met checkbox voor AVG
Zelf makkelijk en snel een contactformulier maken mét zo’n aanvinkvakje?
Ik heb een filmpje gemaakt om je te laten zien hoe je dat doet met de plugin WPForms →

  1. Inventarisatie: deel je persoonsgegevens met anderen?

In eerste instantie zul je daar misschien ‘nee’ op antwoorden. Maar als je even iets verder denkt, blijken er allerlei diensten te zijn die ook toegang hebben tot gegevens van jouw bezoekers.

Google Analytics weet vanuit welke IP-adressen mensen op je website komen. Een IP-adres is in principe te herleiden tot een persoon. Hoe je Google Analytics goed kunt instellen, lees je in AVG en Google Analytics →
Een facebook-pixel houdt letterlijk bij welke facebook-gebruikers op je website komen. Met naam en toenaam en alles wat facebook van ze weet.
Backup: sla je die op in the cloud (Google Drive, Dropbox)? Hoe veilig zijn deze (Amerikaanse) diensten?
Facturatie/boekhoudprogramma, zoals Moneybird.
En je iDEAL payment service provider, in mijn geval Mollie.
Websitebeheer: huur je daar misschien extern iemand voor in?
Email service provider, zoals hierboven ook al genoemd.
Je hosting provider heeft in principe ook toegang tot jouw website. Meestal maken ze ook backups, waardoor alle persoonsgegevens die op jouw site staan ook bij hun ergens bewaard worden.
4. Actie: Verwerkersovereenkomsten

Met dit soort diensten zoals ik hierboven opnoem moet je een zgn. verwerkersovereenkomst aangaan. Daarin staat welke gegevens verwerkt worden, met welk doel en hoe ze beveiligd zijn. Jij blijft zelf wel altijd verantwoordelijk voor wat er gebeurt met door jou verzamelde gegevens.

Google Analytics: waar je de verwerkersovereenkomst vindt, kun je lezen in AVG en Google Analytics →
Mailchimp heeft een verwerkersovereenkomst op de website →
Moneybird: de verwerkersovereenkomst vind je via deze pagina op de website →
Mollie biedt geen verwerkersovereenkomst →
Op de website van de overheid kun je zelf modelovereenkomsten downloaden →

  1. Actie: Privacyverklaring

Onder de AVG ben je verplicht je klanten en websitebezoekers duidelijk te informeren over wat je met hun gegevens doet. Volgens de Autoriteit Persoonsgegevens is “in de praktijk een online privacyverklaring de meest handige manier om hier aan te voldoen”. Op hun website staat ook precies uitgelegd wat er in zo’n privacyverklaring moet staan →

Zelf aan de slag? Veiliginternetten.nl heeft een privacyverklaring-generator →

In veel gevallen is het handig om het echt door een jurist te laten doen of in ieder geval te laten checken.

Je kunt hiervoor terecht bij Charlotte’s Law →

Of bij Mariëlle Leijstra → Zij geeft workshops over de AVG waarin je onder begeleiding je eigen privacyverklaring kunt opstellen en natuurlijk persoonlijk advies op maat.

  1. Cookies

Als je cookies gebruikt op je website moet je daar je bezoekers uiteraard ook over informeren. Dat moest al, maar nu mag dat niet meer met een algemene cookie melding of een zgn. cookie wall.

Een cookie melding zie je vaak onderaan een webpagina staan, met een tekst als “Deze website gebruikt cookies. Als je de website verder gebruikt ga je hiermee akkoord”.

Een cookie wall zorgt ervoor dat je niet eens verder kunt op een website voordat je toestemming hebt gegeven voor het gebruik van cookies.

Al dit soort meldingen vertellen je niets over wat voor cookies dat dan zijn, waarvoor ze gebruikt worden en wat ze met je gegevens doen. Dat moet dus binnenkort duidelijker en specifieker.

Er bestaan verschillende soorten cookies:

Functionele cookies zijn nodig om een website te laten werken. Denk bv. aan het winkelmandje van een webshop. Zodra je iets bestelt slaat je browser een cookie op op je computer. Je aankopen blijven daardoor bewaard in het winkelmandje zodat je ze ook kunt afrekenen. Voor dit soort cookies hoef je geen toestemming te vragen.

Analytische cookies zijn er om bezoekersaantallen en -gedrag op je site in kaart te brengen. Omdat ze worden gebruikt om een website en de gebruikerservaring te verbeteren hoef je hier ook geen toestemming voor te vragen. Maar je moet je bezoekers er wel over informeren in een cookie- of privacyverklaring.

Het wordt ook aanbevolen om het IP-adres van bezoekers te anonimiseren. Als je Google Analytics gebruikt kun je dat doen door een stukje code toe te voegen aan de tracking code of er zijn plugins die daarvoor kunnen zorgen. Hoe je dat precies doet, lees je in AVG en Google Analytics →

Dan zijn er nog de tracking cookies, die gebruikt worden remarketing en retargeting, ofwel advertenties. Hiermee worden echt persoonsgegevens verzameld en bewaard, deze cookies mogen dan ook alleen worden gebruikt met toestemming van je bezoeker.

Dit laatste betekent dat je ervoor moet zorgen dat je website het verder wel helemaal goed doet en dat bepaalde scripts alleen maar geladen worden op het moment dat iemand daar toestemming voor geeft. Ik ken tot nu toe één plugin die dat voor je kan regelen: GDPR Consent plugin →

De Europese commissie wil dat deze toestemming in de browsers geregeld kan gaan worden. Het hoeft je dan niet meer op iedere website apart gevraagd te worden, maar je kiest in je eigen browserinstellingen of je privacy gevoelige cookies accepteert of niet.