GDPR

Anpassa din webbplats för GDPR

Så uppfyller din webbplats nya GDPR / dataskyddsförordningen

Vad är GDPR?

Det finns nya EU-regler för hantering av personuppgifter och känslig data på webbplatser. Dessa regler sammanfattas i GDPR - General Data Protection Regulation, eller Dataskyddsförordningen som den kallas i Sverige, vilken gäller från och med 25 maj, 2018. GDPR gäller i Sverige, men vill du ha djupare insikt i vad GDPR innebär juridiskt och läsa mer om förordningen ur ett svenskt perspektiv så finns det bra information på Regeringens webbplats https://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/2017/05/sou-201739/

Ett annat bra tips är Datainspektionens sida om GDPR  https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/

Där hittar du också denna överskådliga GDPR-guide till små- och medelstora företag https://www.datainspektionen.se/Documents/Dataskydd%20-%20B%C3%A4ttre%20...

Praktiska åtgärder för att uppfylla GDPR på din webbplats

Vi ska här titta på vad du kan göra på din webbplats för att uppfylla kraven i GDPR. Praktiskt och konkret då det ändå är det som är det viktiga i slutändan. Vi inleder med en generell inställning vad gäller allt GDPR-arbete på din webbplats:

Data är en belastning.
Om du inte absolut behöver spara data, gör dig av med den.

Låter det hårt, kanske fyrkantigt? Det är det också, men läs vidare vilka åtgärder som måste göras så blir det tydligt att det ligger en hel del i detta tankesätt.

Detta behöver du göra på din webbplats:

Manuell Data Audit

Gå igenom och granska din webbplats. Lista alla datahanterande system som används och markera dessa med 1 eller 3 beroende på om de är förstahands- eller tredjehandshanterare.

För alla tredjehands, undersök om de följer GDPR. De som inte gör det måste bytas ut. Gäller alla system som Analytics, Dibs, Klarna, Mailchimp, Live-chat osv.

När en datahanterare avslutas och ersätts, be om en kopia på all data som har samlats in hittills och begär sedan att leverantören raderar all denna data hos sig.

Datahanterare i förstahand, t.ex. webbplatsens egna databas, kan spara information i onödan som till exempel data från ifyllda formulär och liknande. Bäst är att på en gång tömma alla dessa databaser om inte datat måste sparas till varje pris. Försök göra inställningar så data inte sparas om det inte behövs, eller att databasen töms regelbundet.

Amerikanska tjänster (Google, Mailchimp, Salesforce m.fl) bör också följa Privacy Shield riktlinjerna som reglerar på vilket sätt personliga data ska flöda mellan USA och Europa. Läs mer på https://www.privacyshield.gov

Dataskyddsombud, Data Protection Officer (DPO)

Webbplatsägaren (kunden, uppdragsgivare) ska ha en medarbetare som är utsedd till Dataskyddsombud, (eng. DPO) med ansvar att hantera GDPR frågor och säkerställa att riktlinjerna efterlevs. Kontaktuppgifter till dataskyddsombudet ska finnas på webbplatsen, exempelvis på kontaktsida och på sida med integritetspolicyn.

Integritetspolicy, PRIVACY POLICY

Uppdatera webbplatsens sida som beskriver integritetspolicyn (Privacy Policy). Berätta hur och varför användardata samlas in, erbjud en kopia/nedladdningsbar version av policyn och berätta att det går att få sin data raderad enligt GDPR. Exempel på en privacy policy-sida https://www.fellowshipproductions.co.uk/privacy-policy/
Dessa policys måste skrivas på ett enkelt språk som alla kan förstå utan juridiska förkunskaper.

Cookie-information och User Compliance

Villkor för cookies och användandet av webbplatsen måste synas direkt på webbplatsen, t.ex. i en så kallad cookie-bar. Även om besökaren en gång accepterat villkoren för webbplatsen så måste det vara lätt att ändra sig, återgå till checkrutan för acceptering av villkoren och ändra valet till att inte acceptera dem.

En traditionell cookie-bar och sk ‘soft compliance’ (information i stil med att om du fortsätter på webbplatsen så accepterar du automatiskt villkoren) räcker inte enbart. En cookie-bar måste också ha två val, att acceptera eller inte acceptera. Valet att inte acceptera kan förslagsvis leda till en avskalad sida (som inte använder cookies) med info om GDPR och vilka rättigheter användaren nu har och hur användaren blockerar cookies från webbplatsen. Cookie-baren eller motsvarande plats för acceptansval får aldrig försvinna utan måste alltid vara nåbar på något tydligt sätt på siten (kanske genom en länk i sidhuvudet).

Att använda siten utan cookies

Det ska gå att använda siten utan cookies, men då räcker det med att vara tydlig med att viss funktionalitet uteblir (funktionalitet som samlar eller hanterar personliga uppgifter ska då ej vara tillgänglig).

SSL-certifikat

SSL är nödvändigt för att uppfylla GDPR. Din webbplats webbadress ska alltså börja med https, inte endast http.

Pseudonymisation

Pseudonymity eller pseudonymisation innebär anonymisering av personupgifter och kopplad data, något som ditt CMS helst ska stödja framöver. Det är en högre nivå att nå inom GDPR och bör planeras för direkt. Användare ska kunna identifieras endast med ett användarnamn och övrig insamlad data ska vara krypterad så det inte finns någon möjlighet att göra en koppling mellan en användare och sparad information.

Nyhetsbrev

Nyhetsbrev måste ha länk till förklaring vilken information du sparar och hur den hanteras. Inga formulär får ha redan ikryssade rutor för att samtidigt ta emot nyhetsbrev. Finns flera nyhetsbrev måste vart och ett få en egen checkbox (det räcker inte att inhämta ett enda okej för flera olika nyhetsbrev och typer av utskick). Varje nyhetsbrev måste innehålla tydlig Unsubscribe, avsändarinformation och kontaktinformation.

Handlingsplan för överträdelser

Det måste finnas en fördefinierad handlingsplan för att upptäcka, rapportera och undersöka överträdelser vid hantering av användardata, s.k. data breaches. Planen ska vara upprättad i huvudsak av webbplatsägaren, men det är bra om webbyrån känner till den också för att kunna vara behjälplig. Om allvarlig överträdelse skett då individers rättigheter riskerar att ha komprometterats skall detta anmälas. Datainspektionen har en bra förteckning om vart man vänder sig i olika fall: https://www.datainspektionen.se/om-oss/det-har-gor-vi-inte/
Är risken allvarlig kan de drabbade individerna behöva informeras också. Att inte göra anmälan kan medföra böter i sig, utöver eventuella böter för att inte ha uppfyllt GDPR.

Testa din site

Gå gärna igenom denna guide för att se hur väl er webbplats uppfyller GDPR
https://ico.org.uk/for-organisations/resources-and-support/data-protecti...

Använder du Drupal

Här är några moduler att titta närmare på för att öka säkerhetsnivån på din webbplats och för data som hanteras genom den

Encrypt
https://www.drupal.org/project/encrypt

Real AES
https://www.drupal.org/project/real_aes

Key
https://www.drupal.org/project/key

Password Policy
https://www.drupal.org/project/password_policy

Two-factor Authentication (TFA)
https://www.drupal.org/project/tfa


Källor:

https://www.aubergine262.com/website-gdpr-compliance-practical-checklist/
https://www.fellowshipproductions.co.uk/make-your-website-gdpr-compliant/
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-p...
https://blog.woodpecker.co/cold-email/general-data-protection-regulation/

 

Författare: Stefan Hamilton

Scrum, GDPR, HTML5?

Vi förklarar

Was it good for you too?

Dela. Gilla. Tipsa.