Website veilig buiten gebruik stellen volgens de avg
Wanneer je besluit een website offline te halen, moet je meer doen dan alleen de stekker uit de hosting trekken. Zeker als je persoonsgegevens verwerkt, gelden er strikte verplichtingen vanuit de AVG. In dit artikel leggen we stap voor stap uit hoe je een website veilig buiten gebruik stelt en welke dataverwijdering nodig is om aan de wet te voldoen.
Waarom een simpele 404-pagina niet genoeg is
Veel ondernemers denken dat het verwijderen van bestanden of het tonen van een 404-pagina voldoende is. In werkelijkheid blijven databases, backups, logs en externe koppelingen vaak gewoon persoonsgegevens bevatten. Volgens de AVG ben je verantwoordelijk voor al deze data, ook als de site niet meer publiek bereikbaar is. Daarom is het essentieel om vooraf een duidelijk plan te maken voor de uitfasering van je website.
Inventariseer alle plekken waar persoonsgegevens staan
Een veilige offline-stelling begint met een volledige inventarisatie. Breng in kaart waar gegevens van bezoekers, klanten of gebruikers precies worden opgeslagen. Denk aan database-tabellen met accountgegevens, bestellingen, contactformulieren en nieuwsbriefinschrijvingen. Vergeet ook serverlogbestanden niet, waarin ip-adressen, user agents en bezochte pagina’s kunnen staan.
Vergeet backups en externe diensten niet
Backups vormen een vaak onderschat risico. In een eerdere blog schreven we al over het belang van goede backups en veilig herstel, zoals besproken in dit artikel over het belang van backups maken. Bij het uitzetten van een website moet je bepalen welke backups nog echt nodig zijn en hoe lang je deze volgens je bewaartermijnen mag bewaren. Controleer ook externe diensten zoals analytics, e-mailmarketingtools en betaalproviders, omdat daar eveneens persoonsgegevens kunnen staan.
Website technisch offline halen zonder datalek
Als duidelijk is waar alle data staat, kun je de website gecontroleerd offline halen. Doe dit bij voorkeur niet halsoverkop, maar plan een moment waarop er weinig verkeer is en informeer eventueel gebruikers tijdig. Begin met het uitschakelen van inlogmogelijkheden en formulieren, zodat er geen nieuwe data meer binnenkomt, en zet daarna pas de publieke toegang dicht.
Toegang beperken en serverconfiguratie aanpassen
Een veilige aanpak is om de site eerst achter ip-whitelisting of een onderhoudspagina te plaatsen, zodat alleen bevoegde personen de omgeving nog kunnen benaderen. Daarna kun je stap voor stap content en functionaliteit afbouwen. Controleer ook de configuratie van je hostingomgeving of cloud vps en minimaliseer openstaande poorten en diensten. Op de website van PC Patrol vind je meer informatie over veilige hostingoplossingen, bijvoorbeeld op de pagina over managed webhosting.
Data verwijderen, anonimiseren en documenteren
Na het technisch offline halen van de site volgt de juridische en organisatorische afronding. De AVG vereist dat je persoonsgegevens niet langer bewaart dan noodzakelijk. Dat betekent dat je kritisch moet kijken welke gegevens nog een legitiem doel hebben en welke niet. Onnodige data moet je verwijderen of anonimiseren.
Bewaartermijnen en verwerkingsregister bijwerken
Controleer je bewaartermijnen voor bijvoorbeeld factuurgegevens, supporttickets of gebruikersaccounts. Sommige data moet je om fiscale redenen nog bewaren, maar toegang daartoe kun je wel beperken. Werk je verwerkingsregister bij, zodat daarin duidelijk staat dat deze website buiten gebruik is gesteld en welke gegevens zijn verwijderd. Zorg ervoor dat betrokkenen hun rechten, zoals inzage of verwijdering, nog steeds kunnen uitoefenen via een bereikbaar contactpunt.