Een privacyaudit voor een Wordpress-site voer je zo uit

Met de invoering van de AVG (in het Engels GDPR) moeten website-eigenaren extra stappen nemen om de privacy van hun bezoekers te waarborgen. Simpele, statische websites hoeven mogelijk niets te doen, maar als je een site hebt met contact- of reactieformulieren, mag je al aan de slag.

Hoe ziet een privacyaudit eruit?

Je begint met een privacyaudit. Daarin leg je onder andere de volgende zaken vast:

1. welke persoonsgegevens je verwerkt;
2. hoe je persoonsgegevens verwerkt;
3. wat de basis voor de verwerkingen is;
4. hoe lang je persoonsgegevens bewaart;
5. aan wie je persoonsgegevens doorgeeft; en
6. of je persoonsgegevens naar het buitenland stuurt.

De volgorde is belangrijk; eerst kijk je welke persoonsgegevens je verwerkt, vervolgens kijk je per persoonsgegeven hoe je dit verwerkt, vervolgens kijk je per verwerking wat de grondslag daarvoor is en ten slotte kijk je per grondslag hoe lang deze geldt.

Het kan bijvoorbeeld zijn, dat een verwerking meerdere grondslagen heeft. Een naam van een klant verzamel je bijvoorbeeld om op de factuur te plaatsen, maar ook om bij verzending van je product op het adreslabel te zetten. Beide grondslagen hebben hun eigen bewaartermijn.

Combinaties van gegevens kunnen ook een persoonsgegeven vormen.

De privacy-audit komt overeen met Stap 1 van het Stappenplan voor de verwerkingsverantwoordelijke van het Ministerie voor Justitie (PDF). Wat je daarna moet doen, staat ook in dat document.

Persoonsgegevens en verwerking

Voordat ik ga uitleggen hoe je het bovenstaande op een Wordpress-site toepast, wil ik wat dieper ingaan op de betekenis van bepaalde termen. Wat betekent 'persoonsgegeven' in het kader van de AVG en wat betekent 'verwerken'?

Persoonsgegevens zijn alle gegevens die te herleiden zijn tot een persoon.

Een logische conclusie die je hieruit zou kunnen trekken is dat niets een persoonsgegeven is, want – zoals het spreekwoord zegt – op het internet weet niemand dat je een hond bent. Dat ik me in een commentaar onder een blog Pietje Puk noem, betekent niet dat ik Pietje Puk ben, of dat daarmee te achterhalen is wie ik in het echt ben.

Maar een dergelijke conclusie zou maken dat de wet tandeloos is en in de jurisprudentie wordt daarom een ruimere definitie gebruikt. Alles wat gebruikt kan worden om een persoon te identificeren telt als een persoonsgegeven. Dit kunnen namen zijn, e-mailadressen, IP-nummers enzovoort.

Let met name op combinaties van gegevens. Historisch is een IP-nummer niet altijd als een persoonsgegeven gezien, maar een IP-nummer is zelden het enige gegeven dat wordt verwerkt.

Verwerken verwijst naar alles wat met een persoonsgegeven wordt gedaan. Het opvragen van contactinformatie geldt als een verwerking, net als het opslaan en verzenden ervan.

Anders gezegd, zowel 'persoonsgegeven' als 'verwerking' moeten ruim worden geïnterpreteerd.

Elementen van een Wordpress-site

Ik heb zes elementen van een Wordpress-site vastgesteld die je bij een audit minimaal moet bestuderen:

• Wordpress 'core'
• Plug-ins
• Themes
• Widgets
• Embedded content
• Hosting

Wordpress core is het basispakket dat je krijgt als je Wordpress downloadt van wordpress.org en installeert op een webserver.

Plug-ins voorzien een Wordpress-site van toegevoegde functionaliteit die gebruik maakt van de Wordpress-API, de interface die ervoor zorgt dat een plug-in dezelfde programmafuncties kan gebruiken als Wordpress zelf.

Themes bepalen het uiterlijk van een website.

Widgets zijn kleine, zeer specifieke stukjes toegevoegde functionaliteit die bovenop Wordpress worden uitgevoerd.

Embedded content is content die elders wordt gehost, en samen met jouw eigen content wordt gepresenteerd. Veel website-eigenaren zullen bijvoorbeeld een Twitter-widget gebruiken om tweets in hun artikelen te tonen.

Een webhost is een bedrijf dat jou een plek op het internet biedt om je Wordpress-site te runnen. Traditioneel houden webhosts een log bij waarin elk bezoek aan je website wordt geregistreerd. Dat is nuttig om problemen met de hosting te kunnen oplossen, maar omdat in zo'n log ook IP-nummers, bezoektijdstippen, bezochte adressen en soms gebruikersnamen voorkomen, valt een dergelijk log ook onder de AVG.

Er is een sterke gelijkenis tussen plug-ins, themes, widgets en embedded content, zo sterk zelfs, dat het onderscheid eerder conceptueel dan technologisch is. Maar wat voor een sitebeheerder belangrijk is, is dat deze vier elementen allemaal op verschillende plaatsen binnen Wordpress worden beheerd.

Wordpress core

Als je alleen Wordpress installeert, geen plugins gebruikt, een van de meegeleverde themes gebruikt, geen widgets gebruikt en nooit content van derden inzet, dan heb ik goed nieuws voor je. Wordpress wordt sinds versie 4.9.6 standaard met een privacy policy meegeleverd. Daar staat in wat Wordpress core met persoonsgegevens doet.

Je kunt je privacy audit dan aan de hand van deze privacy policy uitvoeren.

De privacy policy staat standaard uit. Om hem aan te zetten, ga je als sitebeheerder naar Settings / Privacy en klikt daar op Create New Page.

Dezelfde beheerpagina linkt ook naar een gids met uitleg over de privacypolicy. De gids kan fragmenten bevatten die door pluginmakers ter beschikking zijn gesteld, maar ga daar niet vanuit. Ook kan een bestaand fragment verouderd zijn.

Plugindevelopers hebben beschikking over de PHP-functie wp_add_privacy_policy_content() om een fragment aan deze gids toe te voegen.

Daarnaast biedt Wordpress ook werktuigen om gegevens van gebruikers te exporteren en te verwijderen.

Overige elementen

Wat betreft plug-ins, themes en widgets ga je eerst kijken welke er zijn en welke daarvan actief zijn.

Op de beheerpagina van je website vind je:

• plug-ins onder Plugins,
• themes onder Appearance / Themes, en
• widgets onder Appearance / Widgets.

Deze pagina's laten je meteen de status van respectievelijk plug-ins, themes en widgets zien.

Embedded content, zoals Youtube-filmpjes of Google-plattegronden, kan overal voorkomen en is daarom lastiger op te sporen. In elk geval kunnen je pagina's en postings embedded content bevatten en daarnaast zijn widgets en settings goede plekken om te zoeken.

Veel van dergelijke content maakt gebruik van iframes of Javascript. Je voorkomt dus al veel problemen door de redacteuren en leden van je website niet zomaar Javascript of iframes te laten gebruiken.

Na de audit

Mijn ervaring leert me dat je per actieve plug-in, theme en widget gemiddeld zo'n 15 minuten kwijt bent in je audit.

Van veel elementen is meteen duidelijk dat je er geen persoonsgegevens mee verwerkt en die kosten dan ook niet veel tijd. Met name bij plugins die gebruik maken van externe diensten ben je de eerste keer al gauw een uurtje kwijt om uit te zoeken welke gegevens die dienst verwerkt.

Is jouw website door iemand anders ontwikkeld, dan zou je moeten overwegen deze persoon of dit bedrijf ook je audit te laten uitvoeren.

Gezien de tijd die in zo'n audit gaat zitten, is dit een goed moment om jezelf ook eens af te vragen of je al die functionaliteit wel nodig hebt.

Welke voordelen geniet je bijvoorbeeld van een Google-plattegrond die je bij een statisch plaatje niet krijgt? En een tweet bevat maximaal 140 tekens, maar de code die Twitter gebruikt om die tweet op je website te laten zien, neemt 1000 maal meer tekens in beslag en je hebt geen flauw idee wat die code allemaal nog meer doet. Is het dan niet makkelijker, beter en veiliger om de tekst van de tweet naar je website te kopiëren zonder een Twitter-widget te gebruiken?

Overigens is het maar de vraag of Twitter, Google en Facebook onder jouw verantwoordelijkheid vallen, want zij verwerken de persoonsgegevens van jouw bezoekers niet onder jouw gezag. Maar ik zou, als relatieve leek op het vlak van privacywetgeving, ook niet durven stellen dat je op dit punt helemaal geen verantwoordelijkheid hebt.

De privacyaudit vormt de basis voor al je verplichtingen die uit de AVG volgen. Het zou te ver voeren om hier op te sommen wat die verplichtingen zijn. Gelukkig hebben zowel Arnoud Engelfriet als Charlotte Meindersma hierover handige stukjes voor bloggers geschreven. Anderen moeten eens bij de Autoriteit Persoonsgegevens kijken.

Branko Collin is een freelance webdeveloper in Amsterdam. Hij werkt onder andere aan Wordpress-websites.