Toon posts:

Is mijn website AVG proof?

Pagina: 1
Acties:

Vraag

vrijdag 10 augustus 2018 23:50

Acties:
  • 0 Henk 'm!
  • virtualite
  • Registratie: September 2011
  • Laatst online: 12-10 19:25

virtualite

Topicstarter
Vraag
Is mijn website AVG proof? Ik heb diverse acties uitgevoerd maar wil qua privacy en avg goed zitten. Zie ik nog dingen over het hoofd?

Het gaat om de website https://dannyvorst.nl/

Relevante software en hardware die ik gebruik
WordPress

Wat ik al gevonden of geprobeerd heb
  • Privacybeleid opgesteld en deze in footer op elke pagina beschikbaar gemaakt.
  • WP GDPR Compliance plugin geïnstalleerd voor toestemming vragen voor gebruik van gegevens bij plaatsen van reactie
  • Mogelijkheid tot inzage van persoonsgegevens
  • Mogelijkheid tot verwijderen van persoonsgegevens
  • Google Analytics geanonimiseerd
  • Gewisseld van anti-spam. Nieuwe anti-spam werkt met een lokale DB ipv Akismet die gebruik maakt van een Amerikaanse
  • Gravatar gegevensverwerking uitgeschakeld
Wanneer ik ben een browser add-on zoals uBlock kijk zie geen andere vormen van tracking op Analytics na. Deze is geanonimiseerd dus voldoet bij mij weten aan de AVG.

[ Voor 5% gewijzigd door virtualite op 10-08-2018 23:53 ]

Beste antwoord (via virtualite op 11-08-2018 22:16)

zaterdag 11 augustus 2018 00:17

  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Ik zou even uitzoeken wat de AVG nou eigenlijk van jou verwacht. Je hebt bijvoorbeeld geen toestemming nodig als iemand een reactie plaatst (als je denkt van wel, moet het voor een gebruiker even eenvoudig zijn om de toestemming in te trekken als dat de toestemming is gegeven). Een bepaling als "Reacties van bezoekers kunnen door een geautomatiseerde spamdetectie service geleid worden." is te vaag: je moet melden welk bedrijf dat is. Daarnaast moet je mogelijk een verwerkersovereenkomst sluiten met dat bedrijf (al lijkt er helemaal geen bedrijf te zijn omdat je spreekt van een lokale db).
Je privacybeleid moet in eenvoudig Nederlands zijn opgesteld. De gemiddelde bezoeker zal bij "Wij maken gebruik van Google Analytics." of "Als je een geregistreerde gebruiker bent en afbeeldingen naar de site upload, moet je voorkomen dat je afbeeldingen uploadt met daarin EXIF GPS locatie gegevens." geen idee hebben waar je het over hebt. De bewering "Wanneer je een reactie achterlaat op onze site, kun je aangeven of je naam, je e-mailadres en website in een cookie opgeslagen mogen worden." lijkt niet waar te zijn: ik zie niet waar je dat aan kunt geven. Bij "Wanneer je een reactie achterlaat dan wordt die reactie en de metadata van die reactie voor altijd bewaard." vraag ik mij af waarom je user-agent en ip-adres zolang moet bewaren. De reden die je opgeeft is niet valide, omdat iemands ip-adres en user-agent regelmatig veranderen. Ik heb in ieder geval niet hetzelfde ip-adres als 10 jaar geleden.

Alle reacties

zaterdag 11 augustus 2018 00:17

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Ik zou even uitzoeken wat de AVG nou eigenlijk van jou verwacht. Je hebt bijvoorbeeld geen toestemming nodig als iemand een reactie plaatst (als je denkt van wel, moet het voor een gebruiker even eenvoudig zijn om de toestemming in te trekken als dat de toestemming is gegeven). Een bepaling als "Reacties van bezoekers kunnen door een geautomatiseerde spamdetectie service geleid worden." is te vaag: je moet melden welk bedrijf dat is. Daarnaast moet je mogelijk een verwerkersovereenkomst sluiten met dat bedrijf (al lijkt er helemaal geen bedrijf te zijn omdat je spreekt van een lokale db).
Je privacybeleid moet in eenvoudig Nederlands zijn opgesteld. De gemiddelde bezoeker zal bij "Wij maken gebruik van Google Analytics." of "Als je een geregistreerde gebruiker bent en afbeeldingen naar de site upload, moet je voorkomen dat je afbeeldingen uploadt met daarin EXIF GPS locatie gegevens." geen idee hebben waar je het over hebt. De bewering "Wanneer je een reactie achterlaat op onze site, kun je aangeven of je naam, je e-mailadres en website in een cookie opgeslagen mogen worden." lijkt niet waar te zijn: ik zie niet waar je dat aan kunt geven. Bij "Wanneer je een reactie achterlaat dan wordt die reactie en de metadata van die reactie voor altijd bewaard." vraag ik mij af waarom je user-agent en ip-adres zolang moet bewaren. De reden die je opgeeft is niet valide, omdat iemands ip-adres en user-agent regelmatig veranderen. Ik heb in ieder geval niet hetzelfde ip-adres als 10 jaar geleden.

zaterdag 11 augustus 2018 00:45

Acties:
  • 0 Henk 'm!
  • virtualite
  • Registratie: September 2011
  • Laatst online: 12-10 19:25

virtualite

Topicstarter
@GlowMouse Allereerst, bedankt voor je feedback. Ik heb al direct wat aanpassingen gedaan.
GlowMouse schreef op zaterdag 11 augustus 2018 @ 00:17:
Ik zou even uitzoeken wat de AVG nou eigenlijk van jou verwacht. Je hebt bijvoorbeeld geen toestemming nodig als iemand een reactie plaatst (als je denkt van wel, moet het voor een gebruiker even eenvoudig zijn om de toestemming in te trekken als dat de toestemming is gegeven). Een bepaling als "Reacties van bezoekers kunnen door een geautomatiseerde spamdetectie service geleid worden." is te vaag: je moet melden welk bedrijf dat is. Daarnaast moet je mogelijk een verwerkersovereenkomst sluiten met dat bedrijf (al lijkt er helemaal geen bedrijf te zijn omdat je spreekt van een lokale db).
Ik heb inmiddels een aanvulling gedaan dat de spamdetectie service lokaal draait. Er worden wel gegevens lokaal verwerkt dus als ik het goed begrijp dien ik dit ook kenbaar te maken
Je privacybeleid moet in eenvoudig Nederlands zijn opgesteld. De gemiddelde bezoeker zal bij "Wij maken gebruik van Google Analytics." niet begrijpen
Heb je ook helemaal gelijk in. Ik heb een korte omschrijving toegevoegd waarvoor ik Google Analytics gebruik.
of "Als je een geregistreerde gebruiker bent en afbeeldingen naar de site upload, moet je voorkomen dat je afbeeldingen uploadt met daarin EXIF GPS locatie gegevens." geen idee hebben waar je het over hebt.
Eigenlijk een zinloze bewering. Registreren staat uitgeschakeld dus bovenstaande is niet van toepassing. Inmiddels ook weggehaald uit het beleid.
De bewering "Wanneer je een reactie achterlaat op onze site, kun je aangeven of je naam, je e-mailadres en website in een cookie opgeslagen mogen worden." lijkt niet waar te zijn: ik zie niet waar je dat aan kunt geven.
Optie inmiddels toegevoegd.
Bij "Wanneer je een reactie achterlaat dan wordt die reactie en de metadata van die reactie voor altijd bewaard." vraag ik mij af waarom je user-agent en ip-adres zolang moet bewaren. De reden die je opgeeft is niet valide, omdat iemands ip-adres en user-agent regelmatig veranderen. Ik heb in ieder geval niet hetzelfde ip-adres als 10 jaar geleden.
Dit punt betwijfel ik echter. Ik ben echter geen expert op dit gebied maar beide zijn natuurlijk voor onbepaalde tijd en per bezoeker of spammer verschillend. Deze twee gegevens vormen samen met nog een aantal andere factoren een essentieel stuk in mijn anti-spam protectie. Ik ga dit nog rustig uitzoeken.

zaterdag 11 augustus 2018 09:13

Acties:
  • +1 Henk 'm!
  • frumper
  • Registratie: Februari 2008
  • Laatst online: 20:31

frumper

Die data gegevens mag je niet voor ‘altijd’ bewaren, alleen voor een bepaalde relevante periode. Je moet er een “redelijke” termijn aan hangen.

Life is what happens while you're busy making other plans

zaterdag 11 augustus 2018 09:17

Acties:
  • +1 Henk 'm!
  • slaay
  • Registratie: September 2001
  • Laatst online: 20:30

slaay

Natuurbeleven.com

Met betrekking tot Google Analytics heeft de Autoriteit Persoonsgegevens een handig document gemaakt met wat je allemaal moet instellen en vermelden op je website:
https://autoriteitpersoon...le_analytics_mrt_2018.pdf

Dich bis echt unne foëzen haas

zaterdag 11 augustus 2018 10:31

Acties:
  • +1 Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

virtualite schreef op zaterdag 11 augustus 2018 @ 00:45:
[...]

Ik heb inmiddels een aanvulling gedaan dat de spamdetectie service lokaal draait. Er worden wel gegevens lokaal verwerkt dus als ik het goed begrijp dien ik dit ook kenbaar te maken
Het kopje "Waar we jouw data naartoe sturen" klopt nu niet meer. Daaronder zou ik eerder GA verwachten. De vraag is of een gebruiker "Deze spamservice draait lokaal op DannyVorst.nl." begrijpt.
Dit bevat geen gegevens die we verplicht moeten bewaren in verband met administratieve, wettelijke of beveiligings doeleinden.
Of ter uitvoering van een overeenkomst, of als de verwerking verband houdt met de vrijheid van meningsuiting.

zaterdag 11 augustus 2018 22:16

Acties:
  • 0 Henk 'm!
  • virtualite
  • Registratie: September 2011
  • Laatst online: 12-10 19:25

virtualite

Topicstarter
Allemaal bedankt voor jullie tips en informatie. Hieronder even mijn reactie en acties op basis van jullie feedback.
slaay schreef op zaterdag 11 augustus 2018 @ 09:17:
Met betrekking tot Google Analytics heeft de Autoriteit Persoonsgegevens een handig document gemaakt met wat je allemaal moet instellen en vermelden op je website:
https://autoriteitpersoon...le_analytics_mrt_2018.pdf
Bedankt voor deze info. Ik heb alvast een deel van mijn privacybeleid hierop aangepast. De opt-out mogelijkheid ga ik later deze week ook bekijken. Zojuist ook toegepast.
GlowMouse schreef op zaterdag 11 augustus 2018 @ 10:31:
[...]

Het kopje "Waar we jouw data naartoe sturen" klopt nu niet meer. Daaronder zou ik eerder GA verwachten. De vraag is of een gebruiker "Deze spamservice draait lokaal op DannyVorst.nl." begrijpt.

[...]

Of ter uitvoering van een overeenkomst, of als de verwerking verband houdt met de vrijheid van meningsuiting.
Nogmaals bedankt. Ook hier heb je natuurlijk helemaal gelijk. Ik heb Google Analytics aangevult en verplaatst naar het kopje Waar we jouw data naartoe sturen. Het stuk over de spamservice heb ik verwijderd. Ook heb ik je aanvulling erbij geplaatst.
frumper schreef op zaterdag 11 augustus 2018 @ 09:13:
Die data gegevens mag je niet voor ‘altijd’ bewaren, alleen voor een bepaalde relevante periode. Je moet er een “redelijke” termijn aan hangen.
Ik ga de mogelijkheden onderzoeken. Dit is waarschijnlijk de meest lastige aangezien het hier volgens mij over standaard functionaliteit van WordPress gaat.

Persoonlijk leek mij "voor altijd" een relevante periode maar wellicht dat ik de meta gegevens los moet gaan koppelen van de overige gegevens zoals de naam, het bericht en het mailadres. Mocht jij (of iemand anders) hier ervaring en tips mee hebben hoor ik het uiteraard graag.
Inmiddels ook het laatste punt aangepast. Ik bewaar de meta gegevens nog 60 dagen.

Zijn er nog meer tips of aandachtspunten? Zover ik nu kan beoordelen lijk ik eindelijk AVG proof.

[ Voor 7% gewijzigd door virtualite op 13-08-2018 09:53 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq