Vanaf 25 mei geldt de nieuwe Europese privacywet – General Data Protection Regulation (GDPR). Iedereen die persoonsgegevens verwerkt is verplicht zich hieraan te houden. Wij als Ontwerpburo RS vinden dat een goede zaak.

Een opdrachtgever wordt gezien als verantwoordelijke voor het verwerken van de gegevens. Wij worden gezien als verwerker. En als verwerker hebben wij een verantwoordelijkheid om zo duidelijk en transparant mogelijk aan te geven hoe we onze websites maken en beheren. En op welke manier we deze zo goed mogelijk proberen in te richten om te voorkomen dat eventueel verzamelde persoonsgegevens op straat komen te liggen. Vaak afhankelijk van het soort klant, de opdracht, de gegevens die verwerkt worden en de onderhoudscontracten die opdrachtgevers bij ons hebben afgesloten. Per opdrachtgever en website bekijken we of een verwerkingsovereenkomst nodig. Maar desondanks willen we hieronder een uiteenzetting geven over hoe wij over het algemeen omgaan met de websites die we voornamelijk maken.

Over ons 
Wij zijn een klein team, gespecialiseerd in het visueel én inhoudelijk sterker maken van een bedrijf, merk, blad, instelling of organisatie. Met een goed doordacht concept als basis gaan we bepalen welke middelen nodig zijn en werken alles zorgvuldig uit. Van idee tot strategie. Van copy tot content. Van design tot development. We zijn dus geen webdesignburo pur sang. Wij maken óók websites. De meeste “in-house”, sommige besteden we uit, afhankelijk van technische wensen en budget.

CMS
Websites die wij “in-house” maken, ontwikkelen wij uitsluitend met behulp van WordPress. WordPress is het meest gebruikte Content Management Systeem gebaseerd op open-source software. WordPress maakt gebruik van de programmeertaal PHP. Alle content wordt opgeslagen in een MySQL database.

Wij werken met een multi-purpose thema dat gebruikt maakt van een ingebouwde module builder. Met deze builder kan direct ontworpen én ontwikkeld worden zonder uitgebreide kennis van ingewikkelde code, css, php of html. Vormgeving op maat is tot op zeer grote hoogte mogelijk en middels onze eigen CSS (stylesheet) kunnen we elke website exact in een benodigde huisstijl gieten.

Het multi-purpose thema bevat standaard al een breed scala aan content modules die middels een simpele “drag and drop” op de gewenste positie op een pagina geplaatst kunnen worden. Fotogallerijen, videos, maps, testimonials, blog, logins, zoekfunctie, contactformulier, header sliders, call to actions, pricing tables, e-mail optins, social media follows… Heel veel is al standaard mogelijk. Door voornamelijk gebruik te maken van deze modules zijn externe plugins over het algemeen niet nodig en dat bevorderd de veiligheid en snelheid van de website. We maken we gebruik van een aantal standaard plugins juist ter extra bevordering van de veiligheid (zie hieronder).

Verdere uitbreiding met b.v. een shop of meertaligheid behoort echter uiteraard wel tot de mogelijkheden. En waar nodig kan middels verschillende plugins nog eenvoudig verder uitgebreid en verder doorontwikkeld worden.

Er staat op deze manier vrij snel een goed uitziende, volledig functionerende, veilige website met zeer veel mogelijkheden. Direct responsive, flexibel en eenvoudig in beheer.

De voordelen voor w.b.t. veiligheid in gebruik op een rij:

  • gebaseerd op open-source software waardoor er veel support en ondersteuning vrij en openbaar voorhanden is
  • eenvoudig uit te breiden binnen de module builder zonder extra plugins en add-ons, minder kans of conflicten tussen WP, thema e plugins
  • overzichtelijk en eenvoudig Content Management Systeem t.b.v. het beheer van de website
  • responsive (optimaal zichtbaar op desktop, tablet en smartphone)
  • eenvoudig na oplevering door opdrachtgever te beheren zonder enige kennis van code, CSS, PHP of HTML

Plugins
Afhankelijk van de overeengekomen opdracht met onze opdrachtgever maken we standaard gebruik van een aantal basisplugins ter bevordering van de veiligheid. Dit zijn binnen de WordPress community veel gebruikte plugins die door de ontwikkelaar van de plugin constant up-to-date worden gehouden en een goede helpdesk en F.A.Q. bieden.

Deze basisplugins zijn:

  • captcha (beschermde inlog CMS)
  • password protection (afgeschermde testomgeving frontend)
  • members (extended user roles gebruikers)
  • yoast SEO (t.b.v. SEO instellingen)
  • cookie consent (t.b.v. cookie wetgeving)

Hosting
Voor een aantal websites verzorgen wij ook de webhosting. De hostingpakketten hiervoor kopen we in bij externe hosting providers. Het soort hostingpakket is afhankelijk van het soort website, de wens van de opdrachtgever en het budget. De voornaamste hosting providers waar wij mee werken zijn TransIP en Webstekker. Hoe zij omgang met privacy kun je lezen op onderstaande links:
transip.nl/legal-and-security/privacy-policy/
webstekker.nl/over-ons/privacy-statement/

Control Panel
Inloggegevens voor een Control Panel van een domein (door onze hosting providers aan ons verstrekt worden) gebruiken we louter voor het aanmaken van een MySQL database en een FTP login om WordPress te installeren zodat wij de betreffende website kunnen gaan ontwikkelen. Deze inlogggevens verstrekken wij nooit aan derden mits onze opdrachtgever hier uitdrukkelijk om vraagt. Op dat moment vervalt onze verantwoordelijk voor het beschermen van deze gegevens.

Database
Ten behoeve van de ontwikkeling van WordPress sites is een MySQL database nodig. Waar nodig maken wij de database aan. Verdere aanpassingen binnen de database middels een PhP admin behoren niet tot onze diensten.

FTP
Ten behoeve van de ontwikkeling van WordPress sites is een FTP server nodig. Waar nodig maken wij de server aan. Verdere aanpassingen binnen de FTP server middels het Control Panel behoort niet tot onze diensten.

E-mail
Desgewenst maken wij ook e-mailadressen via het Control Panel op het betreffende domein aan. Ook deze inlogggevens verstrekken wij nooit aan derden of gebruiken we niet om zelf toegang te krijgen tot het mailaccount mits onze opdrachtgever hier uitdrukkelijk om vraagt. Op dat moment vervalt onze verantwoordelijk voor het beschermen van deze gegevens.

DNS
Aanpassingen aan de DNS (Domain Name Server) instellingen behoren in principe niet tot onze diensten. Alléén op uitdrukkelijk verzoek van een opdrachtgever brengen wij wijzigingen hierop aan. Op dat moment vervalt onze verantwoordelijk voor deze gegevens.

SSL
Wij adviseren om altijd een SSL certificaat af te sluiten voor een website. Bij elke nieuwe website waarvoor wij de hosting verzorgen bieden we dit al automatisch, standaard aan middels Let’s Encrypt. Waar nodig en naar wens van een opdrachtgever sluiten we een ander certificaat af. Websites waar we de hosting niet voor verzorgen adviseren we wel om een certificaat af te sluiten maar de verantwoordelijkheid hiervoor ligt bij de opdrachtgever. De opdrachtgever moet dit zelf met zijn host of andere externe partij regelen.

Inloggegevens
Alle inloggegevens omtrent een domein bewaren wij op onze eigen (middels ID en wachtwoord) beveiligde computers (Apple MacBook Pro), een beveiligde externe server backup schijf LaCie en beveiligde cloud omgeving van TransIP (STACK). Inlogggevens verstrekken wij nooit aan derden mits onze opdrachtgever hier uitdrukkelijk om vraagt. Op dat moment vervalt onze verantwoordelijk voor het beschermen van deze gegevens.

Cookies
WordPress en het door ons gebruikte maakt gebruik van functionele cookies. Dit zijn cookies die ervoor zorgen dat de website goed functioneert (inlog-doeleinden, lettergrootte, taalvoorkeuren, etc.). Deze cookies worden niet gebruikt om bezoekers te identificeren, maar om de website zo goed mogelijk te laten werken voor de bezoeker. Voor deze cookies is een cookiemelding niet verplicht. Wij adviseren wel altijd om een Cookie Consent te plaatsen. Bij alle nieuwe websites doen wij dit standaard.

Google Analytics
Een Google Analytics account beheren wij in principe nooit voor onze opdrachtgevers en dit behoort derhalve niet tot onze diensten. Wij hebben dus geen inzage in de gegevens die Google verzamelt van een bepaalde website omdat wij hier simpelweg de toegang niet tot hebben. Wij koppelen wel een account aan een website middels een tracking code. Voor het gebruik van Google Analytics adviseren we opdrachtgevers om een verwerkersovereenkomst met Google af te sluiten en het delen van gegevens (bijvoorbeeld een IP adres) met Google uit te zetten.

Privacy statement
Als een website persoonsgegevens verzamelt adviseren we om altijd een privacy statement te plaatsen. In deze statement benoemd worden waarom de gegevens verzameld worden, hoe dit gebeurt en hoe dit verwerkt wordt. De verantwoordelijkheid voor de uitvoering en de inhoud hiervan ligt bij de opdrachtgever.

Onderhoudscontract
We vragen onze opdrachtgevers om een onderhoudscontract af te sluiten om zo WordPress, het thema en plugins up-to-date te houden. Regelmatig brengt WordPress updates uit. Wij voeren die updates door en controleren of er geen conflicten ontstaan binnen de site met het thema, het content management systeem en de plugins. Zo zorgen we dat de website zo veilig en up-to-date mogelijk blijft. Op die manier kunnen wij ons zo goed mogelijk aan de wettelijke voorschriften te houden. De verantwoordelijkheid om dit onderhoudscontract af te sluiten ligt bij de opdrachtgever.

Verwerkingsovereenkomst
Een verwerkingsovereenkomst is de overeenkomst waarin wordt vastgelegd hoe we met de persoonsgegevens van een bepaalde website omgaan. Het is de verantwoordelijkheid van de opdrachtgever dat deze overeenkomst er komt. Wij zien het wel als onze verantwoordelijkheid om onze opdrachtgevers hierop te wijzen en stellen deze, als nodig, graag in onderling overleg met onze opdrachtgevers op. Desgewenst leveren wij een conceptovereenkomst aan, door beide partijen nader in te vullen.

Verwerkingregister
Conform een verwerkingsovereenkomst kunnen wij een verwerkingsregister opstellen waarin we alle gegevens van de betreffende website opslaan, alsmede de inschakeling van derden (bijvoorbeeld een hosting provider), updates van WordPress, thema en plugins (mits een onderhoudscontract is afgesloten.

AVG / General Data Protection Regulation (GDPR)
Wij zijn geen juridisch specialisten maar proberen van onze kant zo open en transparant mogelijk te zijn over onze werkwijze om ons zoveel mogelijk aan de nieuwe wet te kunnen houden. Wil je als opdrachtgever weten of je je moet houden aan de nieuwe wet en of je hier klaar voor bent? Bekijk dan eens de checklist van één van onze hosts (TransIP): https://www.transip.nl/blog/gdpr-checklist-2018/.

Om te voldoen aan de nieuwe privacy-richtlijnen, raden we opdrachtgevers verder aan het volgende aan te passen op hun website (mits nog niet gedaan):

1. Privacyverklaring
Geef met simpel taalgebruik aan welke informatie verzamelt wordt, waarom, op welke manier en hoe de bezoeker deze kan wijzigen of laten verwijderen.

2. Cookiemelding
Er zijn twee soorten cookies: functionele (die ervoor zorgen dat je website goed functioneert maar geen bezoekers identificeert) en niet functionele (die slaan gegevens op met als doel om bezoekers commercieel verleiden). De cookiemelding is alleen verplicht als er niet functionele cookies worden bewaard. Wij adviseren echter om altijd minimaal een Cookie Consent melding te plaatsen. Met een Cookie Consent melding informeer je de bezoeker over het gebruik van cookies waarbij de bezoeker kan aangeven dat hij of zij dit begrijpt zonder dat akkoord te hoeven geven.

3. Google Analytics
Gebruik je Google Analytics, sluit dan een verwerkersovereenkomst met Google af en zet het delen van gegevens (bijvoorbeeld een IP adres) met Google uit. Op deze manier is een Cookie Consent ook afdoende. Check Google Analytics Help voor meer info: https://support.google.com/analytics/topic/2919631?hl=nl&ref_topic=1008008.

4. Formulieren
Zet bij elk contactformulier duidelijk wat je met de gegevens doet en laat bezoekers dit ter akkoord aanvinken. Is het een aanmeldformulier voor een mailing? Geef dan een exacte beschrijving van het onderwerp van je nieuwsbrief en de frequentie waarmee je ze wilt gaan versturen. Toon aan dat iemand zichzelf heeft aangemeld

5. Verwerkingsovereenkomst opstellen
Stel een verwerkingsovereenkomst op waarin wordt vastgelegd hoe we met de persoonsgegevens van een bepaalde website omgegaan. Dit kan in onderling overleg met ons gebeuren. Bij zeer grootschalige dataverzameling raden we aan een gespecialiseerd jurist in te schakelen.

De verantwoordelijkheid voor de uitvoering en de inhoud van deze stappen ligt bij de opdrachtgever.

Rechten en plichten
Bovenstaande statement is aan wijzigingen onderhevig en er kunnen geen rechten aan worden ontleend. Wij zien het als onze plicht om onze opdrachtgevers te informeren maar zijn niet verantwoordelijk voor opvolging of enige gevolgschade aangaande de inhoud hiervan.