AVG: Technische en Organisatorische maatregelen voor WordPress

Per 25 mei 2018 is de Algemene Verordening Persoonsgegevens van kracht in Europa. Deze verplicht ondernemers om technische en organisatorische maatregelen. Deze technische en organisatorische maatregelen treffen ook uw website. Ze zijn er om te garanderen dat persoonsgegevens veilig worden opgeslagen.

Een formulier van uw website verwijderen is geen oplossing om minder maatregelen te treffen. Is uw website gehackt, kan een hacker ook gewoon een formulier plaatsen om persoonsgegevens uit te vragen.

Wat kunt u zelf doen voor de AVG – Organisatorische maatregelen

Vooral op het gebied van organisatorische maatregelen, kunt u een aantal dingen zelf doen binnen WordPress. Deze zaken hebben te maken met de houding van u en uw werknemers ten opzichte van de website.

  • Zorg dat iedere medewerker een eigen account heeft op de website
  • Werknemer uit dienst? Account in WordPress direct blokkeren (of liever nog wat eerder)
  • Werknemers die niets te zoeken hebben op de site, geen actieve account geven
  • Na het muteren van de WordPress website, gelieve dan keurig uit te loggen
  • Hanteer sterke wachtwoorden binnen de organisatie
  • Even naar de WC of koffie halen? Zet uw computer op standby
  • Werk alleen op computers met anti-virus en anti-malware software erop
  • Werk alleen met computers die de laatste updates van Windows en andere software hebben
  • Voer audits uit op uw ICT leveranciers

Organisatorische Maatregelen voor de AVG

Binnen ieder WebsiteNazorg abonnement nemen wij organisatorische maatregelen om uw WordPress website veilig te houden.

WordPress Updates

Het Nederlandse team van WebsiteNazorg checkt met grote regelmaat de beschikbaarheid van updates voor uw website. Soms meerdere keren per dag. Binnen het Essential pakket garanderen we 15 checks per maand. Binnen het Premium en Professional abonnement hanteren we minimaal 20 checks per maand.

WordPress Backups

De WordPress backups die we maken, slaan we op onze eigen server op. In Nijmegen. Deze server is niet toegankelijk voor externe organisaties en personen. Wij zijn dus wel uw dataverwerker, maar kennen voor de backups geen subverwerkers. Let hierop wanneer U diensten als de onze vergelijkt. Het opslaan op externe cloud severs in de VS is veel goedkoper. Wij kiezen hier bewust niet voor.

Checks voor bekende veiligheidsproblemen

WPScan houdt een enorme database bij van bekende veiligheidsproblemen in plugins. Door deze te matchen met de plugins op uw website, komen potentiële veiligheidsproblemen sneller bovenwater en kunnen wij sneller reageren.

AVG Rapportages

Als organisatie moet u in staat zijn een verwerkersregister te overhandigen. Om deze te ondersteunen, ontvangt u van ons een maandelijkse AVG rapportage. Hierin staat precies wat we hebben uitgevoerd met betrekking tot organisatorische en technische maatregelen op uw website. Bij ieder abonnement ontvangt u van ons deze maandelijkse rapportages.

Technische Maatregelen voor de AVG

Binnen ieder WebsiteNazorg abonnement nemen wij technische maatregelen om uw WordPress website veilig te houden. Omdat wij veel technologie zelf ontwikkelen en inkopen, hangt het beveiligingsniveau af van het pakket dat u bij ons inkoopt. De autoriteit zal niet verwachten dat u voor uw website dezelfde investeringen maakt als een bank. Echter zal de autoriteit meer verwachten van een webshop dan van een gewone website. En mogelijk zal de autoriteit ook per branche verschillende verwachtingen stellen. Er is geen vaste omlijning, dus selecteer verstandig.

Tip – Kijk welk abonnement bij u past, of ga in gesprek om een abonnement op maat (Professional) aan te laten maken. Wij sturen u graag een offerte.

Passieve beveiliging (Essential, Premium & Professional)

Uw website wordt uitgerust met de Alpine Pro Security technologie die WebsiteNazorg heeft laten ontwikkelen voor deze diensten. Alpine Pro noemen we een passieve beveiliging omdat deze vooral gemaakt is om gaten in WordPress en bepaalde plugins te dichten. Het maakt het aantal mogelijkheden voor hackers om binnen te komen, een stuk kleiner.

Passieve beveiligingsscan (Essential, Premium & Professional)

Iedere website die voor het eerst bij ons wordt aangenomen, krijgt meteen een scan op passieve veiligheidsproblemen. Deze lossen we dan meteen op. Wanneer we nieuwe elementen aan de scanner toevoegen, scannen we de website opnieuw.

Drie maanden gratis ons Essential abonnement? Gebruik code AGVOKE. Ook goed voor 50% korting op de andere pakketten.

Actieve beveiliging (Premium & Professional)

Onze actieve beveiliging vormt een solide tweede laag. Het aantal beveiligingsmogelijkheden van deze tool is enorm. We noemen niet alle mogelijkheden op, maar dit zijn een aantal zaken die we mogelijk maken:

  • Twee-staps authenticatie met een app of e-mail
  • Rate limiting op alle plekken waar ingelogd kan worden
  • IP blacklisting
  • IP whitelisting (bijvoorbeeld alleen toegang vanuit kantoor op de backend)
  • IP checks op een netwerk van aangesloten sites om hackers sneller te identificeren
  • 404 detectie
  • Beperkingen op inlogmomenten (bijvoorbeeld alleen tijdens kantoortijden)
  • Maandelijkse scan op malware

Geofencing (Professional)

Als alternatief op IP Whitelisting, maken we het mogelijk om op landelijk niveau IP adressen te weren van zowel de backend als de frontend van de website.

Account safety checks (Professional)

Er zijn een aantal grote hacks geweest de laatste jaren. Deze vonden plaats op websites als dei van Adobe, Ashley Madison, Dropbox, LinkedIn en vele anderen. Wanneer een gebruiker wordt aangemaakt, doet het systeem een check of de combinatie gebruikersnaam/e-mail adres en wachtwoord bij die grote hacks zijn gelekt.

Intensieve malware checks (Professional)

Dagelijks tot meerdere malen per dag laten we de site scannen op malware.

Bot trap (Professional)

Net als zoekmachines, gebruiken hackers bots (of spiders) om uw website te onderzoeken. Echter onderzoeken zij uw website om veiligheidslekken zodat ze gemakkelijk binnen kunnen komen. Met onze bot trap proberen we deze bots zoveel mogelijk af te vangen en van bergen aan foutieve informatie te voorzien. Zo zetten we de hacker op het verkeerde spoor.

Blacklist monitoring (Professional)

Dagelijks laten we meerdere balcklists controleren op aanwezigheid van uw website en mailservers.

Let op: De teksten op deze pagina mogen nooit als ‘bindend’ juridisch advies gelezen worden. Het is onze interpretatie van de teksten verstrekt door de Autoriteit Persoonsgegevens. Naarmate deze verder worden vormgegeven, updaten we ook deze pagina. Let op: u bent ten alle tijden zelf verantwoordelijk voor hoe uw organisatie met de AVG omgaat. 

Heeft U nog vragen over de AVG? Bezoek dan ook onze AVG Kennisbank. Hier proberen we veelgestelde vragen op te helderen.