Anpassa din webbplats för GDPR
Dataskyddsförordningen och GDPR

EU reglerar hantering av personuppgifter och känslig data på webbplatser i förordningen GDPR (General Data Protection Regulation), eller Dataskyddsförordningen som den kallas i Sverige. 

GDPR måste följas i Sverige och vill du fördjupa dig i vad GDPR innebär juridiskt så finns det bra information på Regeringens webbplats https://www.regeringen.se/.../sou-201739/ och på Integritetsskyddsmyndighetens (fd Datainspektionen) sida om GDPR https://www.imy.se/.../dataskyddsforordningen-i-fulltext/

Praktiska åtgärder för att uppfylla GDPR på din webbplats

Vi ska här titta på vad du kan göra på din webbplats för att uppfylla kraven i GDPR. Praktiskt och konkret då det är det som är det viktiga i slutändan. Vi inleder med ett generell förhållningssätt som är bra att anamma vad gäller allt GDPR-arbete på din webbplats:

Data är en belastning.
Om du inte absolut behöver spara data, gör dig av med den.

Om du följer denna grundtanke så har du större möjligheter att göra rätt i GDPR regelverket. GDPR handlar om en mängd krav som ställs på dig som samlar in personlig data från besökare, så ju mindre data du samlar eller sparar destå enklare blir det att följa dessa krav.

Arbetet med GDPR på din webbplats behöver innefatta dessa steg 

Manuell Data Audit - manuell granskning av dina system

Gå igenom och granska din webbplats alla delar. Lista alla datahanterande system som används, från din egen databas till plugins och moduler från andra företag. Märk dessa som '1' eller '3' beroende på om de är förstahands- eller tredjehandshanterare av data. Förstahandshanterare är system som du själv har skapat (din databas, listor, interaktiva moduler, självtester osv). Tredjehandshanterare är system som du har hämtat från andra utvecklare, företag och organisationer (betallösningar, sociala plattformar, chat-bots, analysverktyg). 

För alla tredjehandshanterare undersöker du om de i sin tur följer GDPR, det ska tydligt framgå på deras webbplatser att GDPR efterlevs och hur de hanterar personliga uppgifter. De system som inte gör det måste tyvärr planeras att bytas ut, ersättas eller avvecklas från din webbplats. Exempel på tredjehandssystem är Analytics, Dibs, Klarna, Mailchimp, Salesforce, Live-chat, Hotjar, SurveyMonkey, MyNewsDesk osv.

När en datahanterare avslutas och ersätts, be om en kopia på all data som har samlats in hittills och begär sedan att leverantören raderar all denna data hos sig.

Datahanterare i första nivå, t.ex. webbplatsens egna databas, kan vara inställda att spara information i onödan som till exempel data från ifyllda formulär och liknande. Bäst är att tömma dessa databaser om inte insamlad data absolut måste sparas. Försök göra nya inställningar så att data inte sparas om det inte absolut behövs, eller att sätta regler för regelbunden tömning av databasen om du behöver ha tillgång till datan en kort tid.

Tjänster i tredje land

För tjänster i tredje land, till exempel amerikanska tjänster som Google, Mailchimp, Salesforce m.fl, har man tidigare kunnat använda Privacy Shield vars riktlinjer reglerar på vilket sätt personliga data ska få flyttas mellan USA och Europa. Men i en EU-dom år 2020 kallad Schrems II så ogiltigförklarades Privacy Shield. Istället hänvisas till dataskyddsförordningens kapitel V för att se vilka personuppgifter som får överföras till tredjeland. Läs mer hos Integritetsskyddsmyndigheten

Dataskyddsombud, Data Protection Officer (DPO)

Webbplatsägaren (du om du driver en egen webbplats, annars kunden eller uppdragsgivaren) ska ha en medarbetare som är utsedd till Dataskyddsombud, (eng. DPO) med ansvar att hantera GDPR frågor och säkerställa att riktlinjerna efterlevs. Kontaktuppgifter till dataskyddsombudet ska finnas på webbplatsen, exempelvis på kontaktsida och på sida med integritetspolicyn.

Integritetspolicy - Privacy Policy

Webbplatsen måste ha en sida som beskriver organisationens integritetspolicy (eng. Privacy Policy). Denna ska uppdateras med information om hur och varför användardata samlas in enligt GDPR. En kopia/nedladdningsbar version av policyn ska finnas tillgänglig och man ska berätta för besökaren att det går att få sina personliga data raderade enligt GDPR förordningen. Exempel på en privacy policy-sida https://www.fellowshipproductions.co.uk/privacy-policy/
Dessa policys måste skrivas på ett enkelt språk som alla kan förstå utan juridiska förkunskaper.

Cookie information och User Compliance

Villkor för cookies och användandet av webbplatsen måste synas direkt på webbplatsen, t.ex. i en så kallad cookie bar. Även om besökaren en gång accepterat villkoren för webbplatsen så måste det vara lätt att ändra sig, återgå till checkrutan för acceptering av villkoren och ändra valet till att inte acceptera dem.

En traditionell cookie bar och så kallad ‘soft compliance’ (information i stil med att om du fortsätter på webbplatsen så accepterar du automatiskt villkoren, utan att aktivt klicka för godkännande) räcker inte enbart. En cookie bar måste också ha två val, att acceptera eller att inte acceptera sparandet av cookies. Valet att inte acceptera kan förslagsvis leda till en avskalad sida (som i sig inte använder cookies) med info om GDPR och vilka rättigheter användaren har och hur användaren blockerar cookies från webbplatsen. Cookie baren eller den plats för acceptansval som finns får aldrig försvinna helt utan måste alltid vara nåbar på något tydligt sätt på siten (kanske genom en länk i sidhuvudet).

Att använda siten utan cookies

Det ska gå att använda siten utan cookies, men då räcker det med att vara tydlig med att viss funktionalitet uteblir som kräver cookies. Funktionalitet som samlar eller hanterar personliga uppgifter ska då ej vara tillgänglig.

SSL/TLS-certifikat

SSL- eller TLS-certifikat för krypterad informationsöverföring mellan besökaren och webbplatsen är nödvändigt för att uppfylla GDPR. Din webbplats webbadress ska alltså börja med https, inte endast http. Man kan även som användare titta efter en ikon föreställande ett lås framför webbadressen i webbläsaren vilket indikerar att ett certifikat utfärdats.

Pseudonymisation

Pseudonymity eller pseudonymisation innebär en anonymisering av personupgifter och data kopplad till denna. Alltså att relationen mellan en person och det man känner till om honom/henne är anonym och skyddad. Pseudonymisation är en högre nivå att nå inom GDPR men man bör planera för det redan nu. Användare ska kunna identifieras endast med ett användarnamn och övrig insamlad data ska vara krypterad så det inte finns någon möjlighet att göra en koppling mellan en användare och sparad information.

Nyhetsbrev

Nyhetsbrev måste innehålla en länk till en förklaring över vilken information du sparar och hur den hanteras. Inga formulär får ha redan ikryssade rutor för att samtidigt ta emot nyhetsbrev eller erbjudanden. Finns det flera nyhetsbrev måste vart och ett av dessa få en egen checkbox för att börja prenumerera (det räcker inte att endast inhämta ett enda okej med en enda kryssruta för flera olika nyhetsbrev och utskick). Varje nyhetsbrev måste innehålla tydlig Unsubscribe/avanmälningsinformation, avsändarinformation och kontaktinformation.

Handlingsplan för överträdelser

Det måste finnas en fördefinierad handlingsplan för att upptäcka, rapportera och undersöka överträdelser vid hantering av användardata. Vid så kallade data breaches. Planen ska vara upprättad i huvudsak av webbplatsägaren, men det är bra om webbyrån också känner till den för att kunna vara behjälplig. Om allvarlig överträdelse skett då individers rättigheter riskerar att ha komprometterats skall detta anmälas till Integritetsskyddsmyndigheten inom 72 timmar. IMY förklarar närmare när det är aktuellt att anmäla en händelse: https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/personuppgiftsincidenter/da-ska-ni-anmala-en-personuppgiftsincident/ 
Är risken allvarlig kan de drabbade individerna behöva informeras också. Att inte göra anmälan kan medföra böter i sig, utöver eventuella böter för att inte ha uppfyllt GDPR. Man ska alltid dokumentera varför man inte valt att göra anmälan.

Testa din site

Gå gärna igenom denna guide för att se hur väl er webbplats uppfyller GDPR
https://ico.org.uk/for-organisations/resources-and-support/data-protecti...

Använder du Drupal

Här är några moduler att titta närmare på för att öka säkerhetsnivån på din webbplats och för data som hanteras genom den

Encrypt
https://www.drupal.org/project/encrypt

Real AES
https://www.drupal.org/project/real_aes

Key
https://www.drupal.org/project/key

Password Policy
https://www.drupal.org/project/password_policy

Two-factor Authentication (TFA)
https://www.drupal.org/project/tfa


Källor utöver nämnda i artikeln:

https://www.aubergine262.com/website-gdpr-compliance-practical-checklist/
https://www.fellowshipproductions.co.uk/make-your-website-gdpr-compliant/
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-p...
https://blog.woodpecker.co/cold-email/general-data-protection-regulation/

 

Författare: Stefan Hamilton

GDPR