ICT Ready - wij bouwen en hosten websites, apps en webshops
Ondersteuning PHP5

Wij als software ontwikkelaars werken met veel dynamische programmeertalen en platformen. Onze systemen zijn daardoor voortdurend onderhevig aan ontwikkelingen van externe softwareleveranciers.

In de meeste gevallen merkt u als klant hier nauwelijks iets van. Echter hebben sommige updates grote gevolgen voor bepaalde (vaak verouderde) systemen.
Afgelopen jaar is een van de belangrijkste PHP-versies 5 (de basis van veel websites) uitgefaseerd.

Vrijwel alle websites op onze servers draaien op PHP, een open-source programmeertaal die gebruikt wordt om onder andere dynamische websites/applicaties te ontwikkelen.

Voor ons is het belangrijk dat we meegaan met de tijd, ook met het oogpunt op de beveiliging.
Doordat PHP5 is uitgefaseerd, zullen er ook geen (beveiliging) updates meer worden uitgebracht.

Voor mogelijke kwaadwillenden zou dit vrijspel betekenen.
Het is dus belangrijk om over te stappen naar de laatste versie van PHP.

De laatste versie van PHP is tevens ook een stuk sneller dan de voorganger.

In de afgelopen tijd zijn wij druk geweest om alle websites over te zetten naar een nieuwe omgeving, met de laatste versie: PHP7.
Vrijwel alle websites zijn vlekkeloos overgegaan, op enkele na.

Klanten waarvan de website niet meer functioneert op PHP7 zijn hierover geïnformeerd.

Mocht u naar aanleiding van dit bericht nog vragen hebben dan horen wij dat uiteraard graag.

Zoals je wellicht weet gaat op 25 mei 2018 de nieuwe privacy-wet (AVG) van kracht. Vanaf dan gelden dezelfde privacy-regels voor heel Europa. De Nederlandse Wbp komt dan te vervallen en er gaan nieuwe regels gelden voor het verwerken en bewerken van persoonsgegevens. Dit is ook van toepassing op jouw website, bijvoorbeeld als je een contactformulier hebt, Google Analytics gebruikt, of als je een webshop hebt. In dit bericht leggen uit we hoe de nieuwe privacy-wet werkt en waar je op moet letten met betrekking tot jouw website.

Van bewerkersovereenkomst naar verwerkersovereenkomst

De oude privacy-wet vereiste al dat het bewerken van persoonsgegevens veilig moet gebeuren, door middel van een bewerkersovereenkomst. De nieuwe wet verplicht dat elke organisatie in Europa op verzoek moet kunnen verantwoorden dat persoonsgegevens die door de organisatie stromen goed beschermd zijn. Dat wordt geregeld in een verwerkersovereenkomst. Allereerst betekent dit dat je als organisatie intern een helder beeld moet hebben wat betreft de persoonsgegevens die je verzamelt.

Ten tweede moet je verantwoorden dat persoonsgegevens die je verstrekt aan andere partijen veilig zijn. Denk bijvoorbeeld aan persoonsgegevens die terechtkomen bij je boekhouder, in je CRM of in je e-mailmarketingsoftware. Dit geldt ook voor software buiten Europa (bijv. software van Amerikaanse bedrijven); als Europese organisatie ben je verplicht om die afspraken te maken met al je leveranciers. In de praktijk betekent dit dus dat de AVG wereldwijd impact heeft op het privacy-beleid van organisaties.

En zo moet je ook voor je website afspraken maken met andere partijen die toegang hebben tot jouw website. Denk aan je hostingpartij (wij), redactie-leden, beheerders en partijen die bijv. middels een plug-in toegang hebben tot persoonsgegevens.

We hebben de verwerkersovereenkomst verwerkt in onze aangepaste Algemene Voorwaarden.
Uiteraard vind je zowel de vernieuwde Algemene Voorwaarden als onze privcay disclaimer op deze website.

Wat zijn persoonsgegevens?

Wanneer hebben we het eigenlijk over persoonsgegevens? En wanneer zijn deze privacy-gevoelig? Kortweg zijn persoonsgegevens alle gegevens waarmee personen individueel te identificeren zijn, bijvoorbeeld wanneer iemand een contactformulier invult op je website. Denk bijvoorbeeld aan gegevens zoals:

  • Naam
  • Postadres
  • E-mailadres
  • Locatie data (bijv. GPS coördinaten)
  • IP-adressen (website statistieken)

Goed om te weten: Bedrijfsinformatie (bijv. organisatienaam, e-mailadres, postadres, etc.) valt niet onder persoonsgegevens.

Wanneer zijn persoonsgegevens extra privacy-gevoelig?

Bovenop deze ‘standaard’ persoonsgegevens is er ook nog de categorie ‘gevoelige’ persoonsgegevens. Wanneer je binnen je organisatie met deze categorie te maken krijgt, worden er extra eisen gesteld aan hoe je hiermee om moet gaan. Die extra eisen zijn ook van toepassing op je website, bijvoorbeeld wanneer je gegevens verzamelt zoals:

  • BSN
  • Ras
  • Medische informatie
  • Seksuele voorkeuren
  • Religie/ politieke voorkeur

Welke rechten hebben consumenten?

Zoals gezegd is het doel van de nieuwe privacy-wetgeving (AVG) om de eindgebruiker (consument) te beschermen in zijn rechten. Dat zijn dus ook bezoekers van jouw website. Maar welke rechten hebben ze precies, en wat mogen ze vragen aan jou als organisatie?

Informeren, toestemmen en weigeren

Personen hebben het recht om geïnformeerd te worden voordat hun gegevens op je website verzameld, bewerkt en verwerkt worden. Bovendien moeten gebruikers hier ook expliciet toestemming voor hebben gegeven. Denk aan zaken zoals een akkoord op de cookie-melding onderin je website, of een extra vinkje om je aan te melden op de nieuwsbrief (dat standaard niet aan mag staan!). Tot slot moeten gebruikers het instemmen later ook weer kunnen weigeren, bijvoorbeeld door zich weer uit te kunnen schrijven, of door cookie-instellingen te kunnen herzien.

Eenvoudige toegang

Personen waarvan je websitegegevens verzamelt, mogen deze gegevens bij je opvragen. Als organisatie moet je deze gegevens binnen een maand overhandigen. Hiervoor mag je in principe geen kosten rekenen. Bovendien geldt het recht op data-portabiliteit: de persoonsgegevens moeten op een redelijke manier ingezien kunnen worden. Een Excel-sheet of CSV-bestand zijn bijvoorbeeld vrij eenvoudig te openen, maar een directe database-dump niet.

Bewerken, beperken en verwijderen

De consument mag je vragen om eventuele foutieve informatie te rectificeren, én mag je verzoeken om persoonsgegevens verder niet meer te bewerken (maar nog wel op te slaan). Daarnaast heeft elke persoon ‘het recht om vergeten te worden’. Met andere woorden: op verzoek moet je de gegevens van een persoon ook volledig kunnen verwijderen.

De AVG en marketing automation

Mogelijk maak je in je website ook gebruik van marketing automation. Denk bijvoorbeeld aan e-mailmarketingsoftware die je eraan herinnert als je nog niet hebt gereageerd, of juist een tweede e-mail stuurt als de eerste is bekeken. Of denk aan advertenties die getoond worden op basis van bezoekersgedrag.

Personen hebben het recht om van je te eisen dat software geen geautomatiseerd besluit mag nemen op basis van hun gegevens en/of gedrag, tenzij je hier vooraf expliciet om toestemming hebt gevraagd. Zorg er – zeker in het geval van marketing automation – daarom voor dat je op je WordPress website altijd expliciet toestemming hebt gevraagd aan je bezoekers, én dat ze weten dat op basis van hun persoonsgegevens geautomatiseerd beslissingen worden gemaakt.

Wat gaan wij doen?

Wij gaan ons best doen om onze eigen systemen AVG-proof te maken. Gezien het voor ons ook allemaal vrij nieuw is, zal dit naar alle waarschijnlijkheid stap voor stap gaan. De eerste stappen zijn in ieder geval genomen.

We gaan geen website statistieken meer bijhouden op onze eigen servers. Vrijwel niemand gebruikt deze functionaliteit dus de impact hiervan is erg klein. Deze maatregel is onlangs doorgevoerd.

Op elke website die wij maken installeren wij standaard Google Analytics. Dit is een externe applicatie van Google waarmee de bezoekersstatistieken bijgehouden worden. Op dit moment worden ook de IP-adressen van de betreffende bezoeker opgeslagen. We hebben ervoor gekozen om de IP-adressen te anonimiseren. Dit betekent dat we de aantal bezoekers kunnen bijhouden maar niet waarvan ze vandaan komen. Specifieke informatie over de bezoeker is dus niet meer zichtbaar.

Mocht je toch IP-adressen willen bijhouden, dan dien je dit aan te geven in een verwerkingsovereenkomst met daarin een gegronde reden waarom en waarvoor.

Op de server zelf houden wij nog wel (beperkt) IP-adressen van bezoekers bij. Dit doen wij in het oogpunt van beveiliging. Indien er een aanval plaatsvindt, is het voor ons van essentieel belang om de “dader” te kunnen traceren. Dit kan alleen op basis van een IP-adres.

Je bent als website eigenaar zelf verantwoordelijk voor het goed naleven van de betreffende AVG-wetgeving. Op het gebied van hosting hebben wij een gedeelde verantwoordelijkheid. Van beide kanten moet het goed geregeld zijn.

Wij willen je zo goed mogelijk op weg helpen met de juiste tools.

Wij kunnen je website voorzien van een aantal makkelijke plug-ins/toevoegingen:

  • Formulier voor het verwijderen en opvragen van klantgegevens
    • Dit formulier kan door de bezoeker worden ingevuld
    • Aan de hand van de opgegeven informatie kan je de klant verwijderen of zijn/haar gegevens aanleveren
    • Het aanleveren van klantgegevens zal in de meeste gevallen via ons gaan; wij zorgen voor een export
  • Privacy policy pop-up
    • Een privacy policy melding met daarin relevante informatie over de opgeslagen klantgegevens (Bestellingen, ontvangen contactformulieren, Google Analytics); men kan deze verklaring weigeren of accepteren
    • Pagina aanmaken met uitgebreide informatie over de privacy policy

Het wil niet zeggen dat met deze aanpassingen je website meteen AVG-proof is. Maar de eerste stap is dan alvast gezet.

Let op: wij verlenen geen juridische dienstverlening. De AVG-wetgeving is niet alleen gericht op websites maar over je gehele bedrijfsvoering.

Wil je een kostenoverzicht voor de bovenstaande toevoegingen of heb je nog vragen/opmerkingen? We kunnen altijd een afspraak plannen hier op kantoor om alle zaken door te nemen.

Geachte klant,

Via deze weg willen wij u mededelen dat we donderdag 25 januari 2018 aanstaande om 22.00 uur server 3 gaan upgraden.
Wegens een toenemend aantal klanten/websites zijn wij genoodzaakt de hardeschijfruimte te vergroten.

Hierdoor is de betreffende server gedurende ongeveer 30 minuten niet bereikbaar.
Alvast onze excuses voor het ongemak.

Beste klant(en),

Afgelopen weekend hebben wij een nieuw SSL-certificaat geïnstalleerd. Dit certificaat zorgt onder andere voor een beveiligde verbinding tussen uw apparaat (bijv. mobiele telefoon of laptop) en onze (mail) server.

Het oude certificaat is hierdoor niet meer geldig. Op sommige apparaten, waaronder de iPhone, kan er een melding (pop-up) opkomen bij het binnenhalen van mail. U kunt deze melding accepteren door op “Ga door” te tappen. Uw verbinding wordt daarmee hersteld.

Aanbevolen instellingen

Server inkomende mail/post: mail.ictready.nl
Gebruikersnaam: uw@email.nl
Wachtwoord: uwwachtwoord
SSL inschakelen
Serverpoort: 993

Server uitgaande mail/post: mail.ictready.nl
Gebruikersnaam: uw@email.nl
Wachtwoord: uwwachtwoord
SSL inschakelen
Serverpoort: 26 (optioneel)

iPhone

Ga naar “Instellingen”
Tap op “Mail”
Tap op “Accounts”
Tap hier op uw e-mailadres
Tap vervolgens op “Account”

Android

Ga naar “Instellingen”
Tap op “Accounts”
Tap op “E-mail”
Tap op “Accountinstellingen”
Tap hier op uw e-mailadres
Tap op “Instellingen inkomend” en/of “Instellingen uitgaand”

Mochten er nog vragen zijn dan horen we dat uiteraard graag.

Beste klant(en),

De Fraudehelpdesk ontvangt momenteel een groot aantal meldingen over een valse e-mail die bij veel bedrijven in hun inbox is beland.

Het zou gaan om een ‘goedbedoelde’ betaalherinnering. In werkelijkheid hopen de afzenders dat u de bijlage opent. Het gaat om een bestand dat lijkt op een Word-document. Als het bestand wordt geopend worden zogeheten macro’s uitgevoerd. Dat zijn kleine programmaatjes die opdrachten kunnen uitvoeren. In dit geval worden ze ingezet om ransomware te downloaden.

Bekijk hier een voorbeeld van de e-mail:

De mail is opvallend, omdat de inhoud van elk bericht telkens net iets anders is. Verschillende bedrijven hebben contact gezocht met de Fraudehelpdesk omdat ze hun bedrijfsgegevens onder verschillende mails aantroffen. Deze bedrijven werden weer vanuit andere bedrijven gebeld omdat deze verhaal wilden halen over de betaalherinnering.

Wat verder opvalt is dat al deze mails zijn verstuurd van een e-mailadres dat eindigt op @t-online.de.

Advies
Heeft u ook zo’n e-mail gekregen? Open dan niet de bijlage. Heeft u twijfels over een openstaande rekening bij een bedrijf waar u zaken mee doet? Neem telefonisch contact met ze op via de gegevens die bij u bekend zijn, niet een telefoonnummer dat in de e-mail staat.