Joomla AVG instellingen

25 mei 2018 is de AVG / GDPR van kracht geworden. Waarschijnlijk is jouw mailbox ook overspoeld met wijzigingen in het privacybeleid van verschillende bedrijven. Eigenlijk was het voor Joomla de planning om zich te focussen op de Joomla 4.x serie, maar voor enkele Joomla ontwikkelaars een reden om een nieuwe versie in te lassen met nieuwe privacy-mogelijkheden.

Wat verandert er in Joomla door de AVG?

Joomla 3.9 biedt drie nieuwe op AVG functies:

1. Gebruikers kunnen eenvoudiger informatieverzoeken indienen en hun gegevens downloaden.
2. Er komt een API voor extensieontwikkelaars zodat ze de gegevens die ze verzamelen kunnen rapporteren. Deze info kan worden weergegeven in een nieuwe extensie com_privacy.
3. Site-eigenaren kunnen via nieuwe mogelijkheden toestemming (consent) krijgen van de geregistreerde gebruikers krijgen.

Joomla AVG functie #1: Beheer gebruikers informatieverzoeken

Volgens de wet heeft iedereen recht op inzage, recht op rectificatie en recht op vergetelheid. Dit betekent dat gebruikers zelf alle persoonlijke data over hen moeten kunnen bekijken, aanpassen en verwijderen.

In Joomla 3.9 kun je een nieuw menu-item type aanmaken genaamd User information Request wat onder het com_privacy component valt. Dit menu-item mag alleen getoond worden aan mensen die toegang hebben tot de website (standaard: registered). In dit scherm kun je jouw gegevens exporteren of verwijderen.

Wanneer je op submit klikt wordt er een controle uitgevoerd of het ingevulde e-mailadres overeenkomt met hetgeen wat in jouw profiel is ingevoerd. Daarna ontvang je een e-mail met token. Dit token is slechts 24 uur geldig, daarna moet je een nieuw verzoek indienen. Klik je op de link in de e-mail dan ga je terug naar de pagina waar je het verzoek definitief kunt afronden. Dit is vergelijkbaar met de manier waarop je een vergeten wachtwoord kunt herstellen.

Kies je voor exporteren dan ontvangt de gebruiker een .xml bestand met alle informatie die over hem is opgeslagen. Hierin zit naast naam en emailadres ook de notities en custom fields die bij een gebruiker horen, de parameters zoals voorkeurtaal en zaken als registratiedatum en laatste bezoek.

Voor de beheerders is er een overzicht van alle verzoeken te vinden onder componenten > privacy

Joomla AVG functie #2: API voor extensieontwikkelaars

In het 2e scherm (capabilities) krijg je een overzicht van alle persoonsgegevens die opgeslagen worden.

Niet alleen gegevens uit de Joomla core extensies (zoals de taalvoorkeuren) kun je hierin terugvinden maar ook alle derde partijextensies kunnen via de API aangeven welke privacygerelateerde informatie er op de website of in cookies op jouw computer terug te vinden is. Dit overzicht zou een goed beeld moeten kunnen geven wat jij ook in de privacyverklaring op jouw website zou moeten verwerken.

Gebruikersactiviteiten bijhouden

Een ander onderdeel van de API is de User Actions Log. Via componenten > User Actions Log kun je bijhouden wat iedere bezoeker op jouw website heeft aangepast.

 Op dit moment werkt dit alleen voor Joomla core activiteiten, maar ook hier kunnen extensie-ontwikkelaars op aanhaken via een aparte plugin.

De regels in dit scherm kun je met 1 druk op de knop ook exporteren naar een .csv bestand.

De de plugin "System - Actions Log" kun je instellen hoe lang de gegevens bewaard mogen worden.

Ontvang een e-mail bij een gebruikersactiviteit

Wil je actief op de hoogte gehouden worden als beheerder van een website, dan kan dat ook door middel van email-notificaties.

Hiervoor log je in aan de voorkant van de website en je gaat naar de pagina om je profiel te bewerken ( index.php?option=com_users&view=profile&layout=edit )

Je zet notifications op JA en selecteert de componenten waar je bericht over wil ontvangen. Op het moment dat ik alleen "installer" selecteer dan ontvang ik een mail wanneer iemand (bijvoorbeeld een andere beheerder) een nieuwe extensie installeert.

Waarschijnlijk zullen deze opties ook nog aan het profiel in de backend toegevoegd worden, maar dat is op moment van schrijven nog niet het geval.

Joomla AVG functie #3: Consent

In de AVG is te lezen dat de bezoeker toestemming moet geven voor het gebruik van zijn gegevens.

Hiervoor zijn 2 nieuwe plugins ontwikkeld.

Akkoord gaan met het privacy verklaring voor geregistreerde gebruikers

Met de eerste plugin moeten gebruikers na het inloggen eenmalig akkoord gaan met de privacy policy.

Dit geldt niet alleen voor nieuwe gebruikers, maar ook bezoekers die al eerder lid zijn geworden van de website moeten na de installatie van Joomla 3.9 akkoord gaan met de privacyverklaring.

In de system - privacy consent plugin zie je hieronder dat je het bericht, de verwijziging naar het artikel met de privacy verklaring en het bevestigingsbericht kunt aanpassen.

Deze toestemming moet worden opgeslagen, dat wordt ook gedaan in het privacy component.

Akkoord gaan met het privacy verklaring in het contactformulier

Ook wanneer je via het Joomla contactformulier een bericht wil versturen dan moet je volgens de AVG akkoord gaan met de privacyverklaring.

Onder het contactformulier komt een extra checkbox-veld wat de bezoeker eerst moet aanklikken voordat het formulier verzonden wordt.

Hiervoor moet je een 2de plugin activeren.  (Content - Confirm Consent). Ook in deze plugin kun je de tekst aanpassen en een link naar het privacy artikel selecteren.

Natuurlijk is dit niet alles wat je moet doen voor de AVG wetgeving. Je zal zelf een privacy verklaring moeten schrijven, zelf een cookie-melding moeten maken en zelf een verwerkersregister moeten opstellen. Maar Joomla helpt je op deze manier wel een heel eind op weg om jouw website AVG proof te maken.