WordPress en de AVG

Sinds 25 mei 2018 is er in Nederland een nieuwe wet ingegaan genaamd Algemene Verordening Gegevensbescherming (AVG) die grote impact geeft op iedereen die een website en een eigen bedrijf heeft. Voldoe jij al aan de eisen van de AVG met je WordPress website? Hieronder alle informatie met een uitgebreid stappenplan.

Wat moet je doen om met je WordPress website aan de AVG te voldoen?

WordPress en AVG
WordPress en AVG

Om te beginnen verwijzen we je direct door naar de algemene informatie AVG  van de Autoriteit Persoongegevens.

 

AVG stappenplan in het kort

Voor websites en online marketing hebben wij te maken met de eerste grondslag van de wetgeving: persoonsgegevens mogen verwerkt worden als er ondubbelzinnige toestemming is gegeven.

“Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt”

Wat betekent dit in de praktijk?

Iemand die een website bezoekt moet zelf de toestemming geven voor het verwerken van gegevens en daarvoor een actieve handeling doen. Dus bijvoorbeeld vooraf aangevinkte boxjes dat je voortaan de nieuwsbrief ontvangt mogen niet meer. Automatisch akkoord gaan door gebruik, wat wellicht in je voorwaarden staat, is ook niet toegestaan.

De toestemming moet in vrijheid gegeven worden. Meer vragen dan strikt noodzakelijk is (verjaardag van koper in een webshop) is niet toegestaan. En wat doe je met bezoekers die geen toestemming geven?

De toestemming die je vraagt moet zijn voor een specifieke verwerking. Het moet bezoekers duidelijk zijn wat er met de gegevens gebeurt.

De bezoeker moet duidelijk geïnformeerd zijn. Geen ingewikkelde juridische taal, maar een uitleg die helder is en op de doelgroep toegesneden.

De toestemming moet ondubbelzinnig zijn. Er is geen twijfel dat de bezoeker de toestemming bewust heeft gegeven.

Als aanbieder ligt de bewijslast van al deze eisen bij jou. Mocht er twijfel zijn, moet jij kunnen bewijzen dat je aan de regels voldaan hebt.

AVG stappenplan in het kort

 1. Verzamel alle manieren waarop je persoonsgegevens verwerkt in je bedrijfsadministratie en met je website en noteer en welke persoonsgegevens jij verzamelt, opslaat, doorstuurt en/of verwijdert.
 2. Schrijf een intern document (verwerkingsregister) waarin je beschrijft wat je met de persoonsgegevens doet. Je legt hierin onder andere uit wat je verwerkt en waarom, of andere partijen toegang hebben, de grondslag voor de verwerking, hoe lang je het bewaart en hoe je ze beveiligd.
 3. Ga na of je voor elke verwerking van een persoonsgegeven een grondslag Je mag alleen persoonsgegevens verwerken op basis van een van de 6 grondslagen.
 4. Vraag toestemming aan de betrokken personen voor het verzamelen van hun persoonsgegevens als er geen andere grondslag voor bestaat (zoals wettelijke plicht). Bijvoorbeeld met een cookiebanner met een keuzevakje voor tracking cookies, of een checkbox voor het inschrijven van een nieuwsbrief.
 5. Publiceer een privacyverklaring op je website, gebaseerd op dit verwerkingsregister (inclusief cookieverklaring, zie mijn blog over WordPress en cookies). Zet hierin ook alle rechten van de betrokkenen.
 6. Introduceer een (intern) beveiligingsbeleid, en schrijf een beveiligingsrapport waarin je ook benoemt wat er gebeurt als er een datalek is (en zorg dat je datalekken kunt identificeren door bijvoorbeeld je website te monitoren).
 7. Sluit verwerkersovereenkomsten af met derde partijen die voor jou persoonsgegevens verwerken zoals Google, Amazon en MailChimp, maar ook leveranciers, hostingbedrijf, online administratiesoftware etc.

Met een WordPress website verwerk je gegarandeerd persoonsgegevens.

Je hebt een WordPress website met 10 plugins, een nieuwsbrief, een contactformulier, een commentaar functie en analytics software. Misschien heb je zelfs wel een ledenwebsite, tientallen WordPress gebruikers, een forum, lange formulieren en een webshop.

Bij WordPress moet je inloggen met je naam, email of nickname, je IP-adres wordt bewaard door analytics en beveiligingssoftware, en als bedrijf stuur je facturen met daarop de gegevens van je klant. Dat zijn allemaal persoonsgegevens die je aan het verwerken bent en waarop de AVG van toepassing is.

Gelukkig staat WordPress niet stil en hebben ze het CMS klaargestoomd voor de AVG (in het Engels GDPR). Je kunt meelezen op de WordPress roadmap for GDPR compliance en https://make.wordpress.org/core/ wat ze allemaal aan het doen zijn. Op de site van  WordPress privacy  is inmiddels veel geschreven. Ook op jouw WordPress website is er nu  een standaardtekst voor een privacyverklaring, persoonlijke data export, en het anonimiseren van reacties. Dat helpt je om te voldoen aan de AVG. Zorg er dus voor dat je je WordPress site (automatisch) update naar de laatste versie.

Met een WordPress website bedoel ik een zelf-gehoste WordPress.org website, WordPress.com heeft andere plugins die meer en andere cookies serveren en data verzamelen.

Vertrouw niet op plugins en geautomatiseerde AVG hulpmiddelen. Je moet zelf bekijken wat nodig is voor de AVG in jouw situatie.

Stroomschema's

Is de Verordening op jouw situatie van toepassing?

Is de Verordening op u van toepassing?
Is de Verordening op u van toepassing?

Welke uitvoeringswet is van toepassing?

Het onderstaande schema laat voor veelvoorkomende situaties zien welke uitvoeringswetgeving van toepassing is (de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming of de
uitvoeringswetgeving van een andere lidstaat). Houd er bij het gebruik van dit schema rekening mee dat het niet uitputtend is en dat voor de keuze van het toepasselijke recht ook de keuzes in de uitvoeringswetgeving van de andere lidstaten van belang zijn.

welke uitvoeringswet is van toepassing?
welke uitvoeringswet is van toepassing?

Ben jij een verwerkingsverantwoordelijke of verwerker?

Ben jij een verwerkingsverantwoordelijke of verwerker?
Ben jij een verwerkingsverantwoordelijke of verwerker?

Is je gegevensverwerking rechtmatig?

is je gegevensverwerking rechtmatig?
is je gegevensverwerking rechtmatig?

Wanneer moet je de betrokkene informeren over een verwerking van persoonsgegevens?

wanneer moet je de betrokkene informeren over een verwerking van persoonsgegevens?
wanneer moet je de betrokkene informeren over een verwerking van persoonsgegevens?

Stappenplan om te voldoen aan de AVG:

1 Ga na welke persoonsgegevens je verzamelt, opslaat, doorstuurt en verwijdert en waarvoor je ze gebruikt

Maak een lijst met alle dingen die je doet met persoonsgegevens op je website en met je bedrijf. Denk aan persoonsgegevens van (potentiele) klanten, medewerkers, relaties, websitebezoekers (gegevens van bedrijven of organisaties zijn geen persoonsgegevens).

‘Verwerken’ betekent alle dingen die je met een persoonsgegeven doet, zoals het versturen van een email met daarin een naam, het maken van een backup met daarin IP-gegevens van websitebezoekers, het opslaan van een naam in een klantenbestand, het verwijderen van mensen uit een nieuwsbrieflijst. Het is elke handeling rondom een persoonsgegeven. Loop dus je website en je bedrijfsactiviteiten door en bedenk of je er persoonsgegevens verwerkt.

Wat zijn persoonsgegevens?

Alle gegevens die direct en indirect te herleiden zijn naar een persoon zijn persoonsgegevens, denk aan:

 • Naam
 • E-mailadres
 • Foto
 • Vingerafdruk
 • IP-adres en geolocatie (verzameld met Google Analytics cookies)
 • Leeftijd
 • RFID tag, MAC-adres, IMEI, cookie
 • Gezondheidsgegevens
 • Politieke opinies

Welke persoonsgegevens verzamel je met een WordPress website?

Elke website verzamelt persoonsgegevens, maar zelfs als websitebouwer weet je niet altijd precies welke gegevens er door allerlei plugins en functies worden verzamelt. Het is veelal ondoorzichtig en geheimzinnig wat software achter de schermen doet. Hieronder dus mijn (niet 100% complete) lijst met plekken binnen WordPress waar je mogelijk persoonsgegevens verzamelt:

 • Nieuwsbrieven waarmee je naam en emailadres verzamelt, bijvoorbeeld MailChimp of CreateSend of JackMail.
 • Statistieken op je website, zoals Google analytics die IP-adressen opslaat in zijn database maar ook standaard statistieken die bij je hostingpakket horen zoals AWStats, Analog Stats, and Webalizer.
 • Google maps die de geolocatie van je bezoeker verzamelt.
 • Webshops zoals WooCommerce en koppelingen met boekhoudpakketten of software zoals Mollie die bank en creditcardgegevens en adressen verzamelen.
 • Leden plugins zoals Buddypress die namen en foto’s van leden opslaan.
 • Gravatar die een foto van degene die reageert laat zien.
 • Vimeo of YouTube filmpjes ge-embed op je website die tracking cookies plaatsen.
 • Facebook pixels die invasieve tracking cookies plaatst.
 • WordPress gebruikers waarvan de naam, nickname, emailadres en wachtwoord worden opgeslagen in je WordPress database.
 • Naam, nickname, IP-adres en e-mailadres van mensen die iets in de WP reacties schrijven.
 • (Contact)formulieren zoals Gravity forms die in de database worden opgeslagen. Mijn favoriete formulierenplugin Formcraft slaat bijvoorbeeld inzendingen en IP-adressen op van formulieren, maar dat kun je ook met een knop uitzetten zodat de email direct naar het emailadres wordt doorgestuurd. Contactform 7 slaat geen gegevens op in de database.
 • Beveiligingsplugins die logins en bepaalde activiteiten van gebruikers loggen zoals Loginizer. iThemes security verwerkt IP-adressen om veiligheid te waarborgen en bots te blokkeren en verkeerde inlogpogingen te loggen.
 • Backup plugins of services zoals ManageWP die alle data in je database opslaan op je server (denk na over hoe lang je die bewaard en waar die server staat).
 • Foto’s van mensen bijvoorbeeld op de “Over ons” pagina. Foto’s zijn persoonsgegevens, en moeten ook worden gedocumenteerd wanneer mensen ze zelf vrijwillig op een website hebben geplaatst.

Mis ik een plugin of andere functie die persoonsgegevens verwerkt? Laat het me weten!

2 Schrijf een document (verwerkingsregister) waarin je beschrijft wat je met de persoonsgegevens doet

Nu je alle persoonsgegevens die je verwerkt hebt geïnventariseerd kun je dit gaan documenteren. Dit is nodig omdat je moet kunnen aantonen dat je volgens de AVG werkt (verantwoordingsplicht). Dit document kun je intern bewaren en kan door de Autoriteit Persoonsgegevens worden opgevraagd, je hoeft dit niet te publiceren.

Het opschrijven hiervan kan gewoon in een (Word) document waarin je de volgende punten beschrijft in je eigen woorden (dus niet in moeilijk jargon).

Wat staat er in het verwerkingsregister?

 • Wat is het doel van de verwerking? Bijvoorbeeld een nieuwsbrief versturen, of het beveiligen van je website).
 • Welke persoonsgegevens verwerk je voor dat specifieke doel? Bijvoorbeeld naam en emailadres.
 • Wie is er verantwoordelijk is voor deze verwerking? Schrijf de naam op van de persoon en zijn/haar contactgegevens.
 • Wat is de grondslag voor het gebruik van deze gegevens? Onderbouw waarom het nodig is dat deze gegevens verzamelt (bijvoorbeeld voor de beveiliging van je site) en de grondslag (bijvoorbeeld verbetering bedrijfsvoering, of wettelijke plicht). Denk na of het überhaupt wel nodig is, volgens de AVG moet je zo min mogelijk informatie verzamelen.
 • Worden deze persoonsgegevens gepubliceerd ergens, en is deze informatie geanonimiseerd?
 • Noteer alle derde partijen die toegang tot de gegevens hebben en wellicht een deel van de verwerking doen zoals backup-software, Google Analytics en je hostingpartij. Als deze partijen buiten de EU zitten, voldoen ze dan wel aan de beveiligingseisen zoals het Privacy Shield met de VS?
 • Hoe lang bewaar je deze gegevens? Bijvoorbeeld tot 3 maanden nadat iemand de website heeft bezocht.
 • Wat doe je om deze gegevens te beveiligen? Bijvoorbeeld een SSL certificaat op je website, 2-factor authenticatie. Zie ook mijn blog over hoe beveilig ik mijn WordPress website.
 • Zorg dat deze gegevens juist zijn, en controleer ze regelmatig.

Grondslagen die je moet hebben om persoonsgegevens legaal te verzamelen

Voor elke verwerking van een persoonsgegeven is een grondslag nodig, oftewel een hele goede reden waarom je het verzamelt. Zomaar data verzamelen voor het geval je het later nodig hebt mag niet meer met de AVG. Dit zijn de grondslagen die je kunt gebruiken in je verwerkingsregister.

 1. Wettelijke plicht (bijvoorbeeld factuurinformatie verwerken en 7 jaar bewaren voor de belastingdienst).
 2. Overeenkomst met de betrokkene (zoals lidmaatschap of financiële opdracht).
 3. Eigen legitiem belang (beschermen van eigendommen, verbetering bedrijfsvoering, marketing), alleen geldig wanneer de privacy van een persoon niet te zwaar weegt (bijvoorbeeld met tracking op internet). Dan is expliciet toestemming nodig.
 4. Toestemming van de betrokkene. Als je geen van bovenstaande grondslagen kunt aantonen dan moet je toestemming hebben. Je moet kunnen aantonen dat ze de toestemming vrijwillig hebben gegeven en hierover in makkelijke taal duidelijk en transparant geinformeerd zijn.

Zie ook de 6 grondslagen die nodig zijn om persoonsgegevens te verwerken op de website van de Autoriteit Persoonsgegevens.

3 Informeer je bezoekers en publiceer een privacyverklaring op jouw website

Een belangrijke eis van de AVG is dat je transparant bent over alles wat je doet tegenover je klanten en bezoekers van je site. Dat moet je wel in normale taal uitleggen, zodat iedereen het kan begrijpen. Dat informeren doe je niet alleen op het moment dat je persoonsgegevens verzamelt, zoals bijvoorbeeld een tekstje naast een nieuwsbrief inschrijflink met daarin precies wat je met de gegevens doet.

Je informeert alle bezoekers van je website ook in een algemene privacyverklaring. Deze publiceer je op je website, waar deze makkelijk te vinden moet zijn. Deze privacyverklaring is gebaseerd op de informatie die je hebt verzameld in het verwerkingsregister.  JanDesign kan voor je deze algemen privacyverklaring opzetten. Er zijn ook diverse andere verwerkers te vinden. Zorg er wel voor dat het allemaal goed leesbaar en duidelijk is.

Vraag toestemming voor het verwerken van persoonsgegevens als ze niet per se nodig zijn of de privacy van een persoon kunnen schaden.

Heb je geen goede reden (grondslag) om persoonsgegevens te verwerken? Wil je bijvoorbeeld persoonsgegevens verzamelen voor een nog onbekend doel, zoals het versturen van een nieuwsbrief in de toekomst, of verzamel je gegevens die een grote impact hebben op de privacy van je websitebezoekers, zoals Facebook tracking cookies? Dan heb je toestemming nodig van de personen van wie je de gegevens verwerkt. Voordat je die data gaat verzamelen moeten zij vrijwillig en expliciet toestemming geven. Lees hier meer over in het kader over nieuwsbrieven hieronder.

Standaard privacyverklaring van WordPress

WordPress maakt  het je makkelijker om een privacyverklaring te schrijven en  te publiceren. Ze hebben een template ontwikkeld voor een privacyverklaring (ook in het Nederlands) die je op je website kunt zetten via het menu: Instellingen > Privacy. Bekijk het template voor de privacyverklaring op je eigen website via deze link: JOUWDOMEINNAAM.NL/wp-admin/tools.php?wp-privacy-policy-guide

Cookies

Gebruik je cookies op je website? Zorg er dan voor dat je altijd expliciet toestemming hebt voordat je persoonsgegevens zoals IP-adressen gaat verzamelen of invasieve cookies plaatst. Een standaard cookiebanner waarop je meld dat als iemand je website bezoekt impliciet toestemming geeft voor het opslaan van cookies voldoet straks niet meer. Meer weten over of je cookies serveert, hoe je er vanaf komt en hoe je bezoekers informeert? Zie mijn blog over cookies, de cookiewet en de AVG.

Sommige cookies vallen ook onder de AVG, vraag dus vooraf toestemming.

Wat staat er in een Privacyverklaring?

 • Wie je bent: naam organisatie of persoon, website adres, contactfinformatie.
 • Welke persoonlijke gegevens jij (of je website of plugins) verzamelt, en waarom. Bijvoorbeeld de naam van iemand op een contactformulier of reactie op een blog, analytics, accountvoorkeuren, betalingsgegevens, cookie informatie.
 • Wat is de grondslag dat je deze gegevens verzamelt? Bijvoorbeeld het beveiligen van je website (legitiem eigen belang), een wettelijke plicht of een overeenkomst die je met de klant aangaat.
 • Cookie informatie. Hier vertel je ook hoe het zit met cookies die persoonsgegevens verzamelen, dit kan eventueel ook apart in een cookiedisclaimer.
 • Met welke externe partijen je persoonsgegevens deelt, zoals MailChimp, Google, DropBox, Amazon AWS, je hostingbedrijf. En specificeer de bedrijven die niet in de EU zitten en hoe zij met bijvoorbeeld Privacy Shield voldoen aan de AVG (GDPR in het Engels).
 • Hoe lang je de persoonsgegevens bewaart en waarom.
 • De rechten die de bezoeker heeft, zoals het recht op inzage, correctie en verwijdering.
 • Hoe bezoekers een klacht in kunnen dienen bij de Autoriteit Persoonsgegevens.
 • Hoe je de data beveiligd. Met bijvoorbeeld technische maatregelen als 2-factor authenticatie. Zie voor alle beveiligingsmaatregelen ook mijn blog over beveiliging van je WordPress website.
 • De procedures voor het omgaan met een datalek.
 • Welke automatische beslissingen er worden genomen met de persoonlijke gegevens van je bezoekers (voor een simpele website zonder advertenties en social media niet van toepassing).

4 Zorg ervoor dat personen hun data kunnen inzien, corrigeren en verwijderen

Naast het informeren over hun rechten van inzage, correctie en verwijdering, moet je vervolgens ook op zo’n verzoek in kunnen spelen. Houd hier rekening mee wanneer op je website mensen zich kunnen inschrijven, comments geven of gebruiker zijn. Je moet ze een mogelijkheid geven om al hun persoonlijke gegevens die worden opgeslagen (zoals IP-adres, comments, loginggegevens, emailadres, voorkeuren) te kunnen inzien, corrigeren, downloaden of opsturen en verwijderen.

Inzage en export van WordPress gebruikers

In de laatste 4.9.6 update van WordPress kun je nu persoonlijke data van een gebruiker exporteren en wissen via het nieuwe menu-item genaamd ‘Hulpmiddelen’. Mensen hebben ook recht op dataportabiliteit: ze moeten hun data gemakkelijk kunnen doorgeven naar een andere organisatie. Hoe dat eruit zou zien voor een (WordPress) website is niet duidelijk. Er zijn hier ook al wat externe plugins voor WordPress voor ontwikkeld (al heb ik ze zelf nog niet getest): WP GDPR compliance en de GDPR plugin. Er is ook een betaalde plugin WP upgrader die veelbelovend lijkt.

5 Maak je beveiliging op orde

De beveiliging van deze persoonsgegevens moet goed geregeld zijn en je moet dit (intern) documenteren. Maak een beveiligingsplan voor het beschermen van je (gevoelige) data, en schijf dat op in een rapport waarin je uitlegt in normale taal welke stappen je hebt uitgevoerd om persoonsgegevens te beveiligen. Zie mijn voorbeeld op: www.jandesign.nl/privacy/. Neem daarin ook een beleid op voor datalekken.

Beveiliging van je WordPress website

Neem maatregelen om je website beter te beveiligen, bijvoorbeeld door een SSL-certificaat aan je website te koppelen. Denk aan encryptie van je laptop (b.v. met Bitlocker of VeraCrypt), two-factor authentication voor WordPress en andere services die je gebruikt zoals Mailchimp of Enormail, je hostingprovider, en DropBox.  Zie voor alle beveiligingsmaatregelen ook mijn blog over beveiliging van je WordPress website:

Het is ook een goed idee om de toegang tot je website te monitoren, je moet immers wel weten wanneer er zich een datalek voordoet. Je kunt met beveiligingsplugins zoals iThemes Security en Wordfence bijvoorbeeld de logins monitoren en automatisch een email laten versturen als er zich problemen voordoen, zoals iemand die probeert in te loggen met een verkeerd wachtwoord. Verzamel je veel (gevoelige) persoonsgegevens van heel veel mensen, dan kun je  uiteraard ook diverse beveiligingspakketten aanschaffen. Mocht u hier meer over willen weten, neem dan contact met me op.

Beveiliging betekent ook het niet onbeheerd achterlaten van papieren of computers.

Je kunt niet achterover hangen wanneer je eenmalig je website hebt geoptimaliseerd. Beveiliging is meer dan een plugin. Zorg bijvoorbeeld ook dat je computer of andere apparaten die toegang hebben tot je website of bestanden een sterk wachtwoord hebben. Veilige data betekend ook dat beheerders van je websites niet weglopen van hun ingelogde computer in een coffeeshop, dat kan ook leiden tot een datalek en is soms een groter risico dan hackers.

Lees meer in mijn blog over hoe je jouw WordPress website beveiligd.

6 Sluit verwerkersovereenkomsten af met partijen die je gebruikt om data te verwerken

Zijn er andere partijen die persoonsgegevens voor je verwerken of opslaan? Denk aan je webmaster, hostingbedrijf, cloud-opslag, backup services, Google suite (email), MailChimp Amazon, Dropbox, Trello, en Cloudflare maar ook een online boekhoud- of administratiesysteem, of een accountantbureau. Neem deze dan ook op in je privacyverklaring en verwijs naar hun privacyreglement.

Met al deze bedrijven moet je in feite een verwerkersovereenkomst sluiten. De grote bedrijven doen dit grotendeels automatisch, je hoeft meestal alleen een vinkje te zetten ergens.

Zorg voor goede afspraken buiten Europa

Vaak gebruik je op het internet Amerikaanse diensten zoals Google voor je e-mail, Amazon en Dropbox voor backups, Trello of Slack met je collega’s. In de Verenigde Staten houd de overheid wat minder van privacy, dus officieel mag je met landen buiten Europa geen persoonsgegevens delen tenzij je expliciet toestemming hiervoor hebt.

Een backup van een factuur op Dropbox zetten zou dus niet mogen. Gelukkig voldoen al die grote bedrijven inmiddels aan de Privacy Shield overeenkomst met Europa, en kun je gewoon zaken met ze doen. Zorg dat je een verwerkersovereenkomst met ze aangaat, dat ze zorgvuldig met je data omgaan en breng je klanten en bezoekers hiervan op de hoogte in je privacyverklaring.

Nieuwsbrieven versturen met MailChimp en de AVG

Heb je een nieuwsbrief? Dan gaat er wat veranderen over de manier waarop je mensen mag blijven e-mailen. Lezers moeten zich actief hebben ingeschreven en moet je kunnen bewijzen dat ze dat hebben gedaan.  Expliciete toestemming betekend dat keuzevakjes niet al aangevinkt mogen zijn, mensen moeten het zelf bewust aanvinken.

Ik neem even MailChimp als voorbeeld met wat je moet doen om aan de AVG te voldoen met je nieuwsbrief:

 1. Stuur alleen mensen een nieuwsbrief die zich actief en specifiek voor die nieuwsbrief hebben ingeschreven. Doe je dat niet, dan kun je een boete krijgen.
 2. Informeer eerst helder over welke persoonsgegevens je van ze verzamelt als ze zich inschrijven en zorg dat ze je privacyverklaring lezen.
  • Je kunt hiervoor deze voorbeeldtekst gebruiken: “Ik wil graag de wekelijkse nieuwsbrief van jullie website ontvangen met daarin nieuws en de laatste artikelen die op de website zijn verschenen. [checkbox, nog niet aangevinkt] U kunt zich op elk moment afmelden voor de nieuwsbrief met de link onderaan de email. Zie ook onze privacyverklaring [met link naar je eigen privacyverklaring].”
 3. Een dubbele opt-in voor elke aanmelding is hiervoor de beste manier. Dat houdt in dat mensen die zich inschrijven eerst een keuzevakje aanvinken en dat daarna een tweede keer bevestigen in een email. Dit kan gemakkelijk met MailChimp. Ze hebben ook een opt-in functie voor mensen die offline zijn ingeschreven of nu al op een nieuwsbrief staan maar waarvan je nu met de AVG extra toestemming nodig hebt.
 4. Bewaar al die inschrijvingen en het tijdstip ervan, je moet kunnen bewijzen tegenover de Autoriteit Persoonsgegevens dat je toestemming hebt gekregen voor het versturen van je nieuwsbrief. Dit kan waarschijnlijk ook door te laten zien dat je een dubbele opt-in functie hebt voor je nieuwsbrief.
 5. Beveilig die lijst met namen en emailadressen die je hebt verzamelt met bijvoorbeeld de 2-factor authentication van MailChimp.
 6. Ga een verwerkersovereenkomst aan met MailChimp.
 7. Lees de informatie over de AVG van MailChimp.

Is het jaren geleden dat bezoekers van je site zich inschreven op je nieuwsbrief? Dan moet je opnieuw toestemming vragen en hen anders uit je nieuwsbrief verwijderen. Je zult vast al veel van dit soort e-mails hebben gekregen.

Voorbeeldtekst:

Je ontvangt dit bericht omdat de Algemene Verordening Gegevensbescherming (AVG) van kracht is. Zonder jouw toestemming kunnen we je onze nieuwsbrief niet meer toesturen. Voor meer informatie over de AVG, zie de website van de Autoriteit Persoonsgegevens.

We willen je in de toekomst graag onze nieuwsbrieven blijven sturen. Wil jij onze nieuwsbrief vol waardevolle informatie blijven ontvangen, bevestig dit dan via onderstaande knop:

[Ja, blijf mij nieuwsbrieven versturen]

Als je géén nieuwsbrieven meer wilt ontvangen, dan hoef je niets te doen. Als je niet op de knop drukt sturen wij je geen nieuwsbrieven meer na […benoem datum].

Meer lezen over MailChimp en de AVG:

7 Blijf alert en meld datalekken aan de Autoriteit Persoonsgegevens

Nu je bovenstaande stappen bent doorgelopen en je helemaal AVG-proof bent kun je nog niet helemaal achterover leunen. Je moet telkens blijven controleren of je niet nieuwe persoonsgegevens bent gaan verzamelen en je verwerkingsregister bijwerken.

Ben je een USB stick kwijt met je klantenbestand of is je website met klantenprofielen gehackt? Dan moet je dit datalek melden aan de Autoriteit Persoonsgegevens.

Onderneem vandaag nog actie!

Iedereen moet zich aan de wet houden, en kunnen er boetes gaan vallen die kunnen oplopen tot 20 miljoen euro (paniek!). Denk dus na over persoonsgegevens, documenteer alles, informeer je klanten en plaats een privacyverklaring en voer alle beveiligingsstappen uit. Dan voldoe je straks volledig aan deze wet en kun je rustig slapen!

Wil je weten of je aan de AVG voldoet?

Doe dan de AVG check van pluform.

Nogmaals: dit is geen juridisch advies en ik ben geen advocaat. Deze blog is ontstaan omdat ik mijn eigen klanten wil informeren over deze wet. Hiervoor heb ik heb zelf juridisch advies gevraagd, het boek over de AVG gelezen en privacy documenten opgesteld. Verder heb ik een cursus Privacy Officer (LG) in de praktijk gevolgd en mijn certificaat in mei 2018 ontvangen.  Ik kan je verder helpen om de zaak goed  op orde te krijgen.