Har du en hjemmeside, og driver du virksomhed, så har du sikkert stiftet bekendtskab med GDPR – Den nye EU persondataforordning, der træder i kraft den 25. maj 2018. Du har sikkert også hørt, at der vanker gigantbøder, hvis du overtræder persondataforordningen.

Du risikerer bøder på op til 4% af din årsomsætning, hvis du overtræder persondataforordningen

Forhåbentlig er du kommet langt i arbejdet, ellers er det nu, du skal til at tage stilling til, hvad der skal gøres for at få din hjemmeside gjort GDPR-kompatibel. GDPR går selvfølgelig langt udover hvad der foregår på din hjemmeside, men det er for omfattende, og udenfor omfi’s område, til at jeg kan komme ind på det. I denne artikel forholder jeg mig kun til, hvad du skal gøre med din hjemmeside.

 

Jeg vil forsøge at holde dette blogindlæg så praktisk som muligt, vil du læse mere om indholdet i GDPR findes der en lang række gode artikler derude. De centrale elementer som du skal sikre dig er:

  • Du skal sikre data
  • Du skal sikre, at du får accept til at registrere persondata
  • Du skal ikke indsamle flere data, end højst nødvendigt
  • Du skal gøre det klart, og ikke mindst muligt, for brugeren at hun kan få indsigt i sine data, og få dem slettet eller rettet om nødvendigt.
  • Du skal også sikre dig, at 3. parts tjenester overholder persondataforordningen

Vil du holde dig opdateret på spændende emner som GDPR? Så kig forbi omfi’s lukkede Facebookgruppe for online iværksættere og hjemmesideejere her!


 

Sådan sikrer du data

Du skal sikre dig, at ingen kan få adgang til eventuelle persondata, som du måtte opsamle. Det kan være persondata i en webshop, emailadresser fra nyhedsbrevstilmeldinger eller data som er opsamlet i kontaktformularer. Men det kan også være data som IP-adresser, der logges i din database, eksempelvis i plugins.

Sørg for SSL mellem din hjemmeside og brugeren

Hvis du ikke allerede har det, skal du sørge for at din hjemmeside kun kan ses via. en SSL sikret forbindelse. Det kan du let se, ved at kigge i browserens adresselinje. Er der en grøn hængelås? Så er du home safe på den del. Er der ikke, så tag kontakt til din webhost, og få opsat SSL hurtigst muligt.

Hold din hjemmeside opdateret

Måske bruger du et system baseret på Open Source, som eksempelvis WordPress? Så er det meget vigtigt, at du holder kernen samt alle plugins og temaer opdateret. Det kan også være, at din webdesigner har brugt forældede biblioteker til eksempelvis editors eller andet – Dem skal du også sørge for at holde opdateret.


Open Source er kendetegnet ved, at kildekoden er offentligt tilgængelig. Med andre ord: Der er fri adgang for lyssky typer til at lede efter sikkerhedshuller. Findes de, bliver de med garanti udnyttet til at lave ballade.


Det er selvfølgelig også god skik, at du sikrer din hjemmeside mod uønsket indtrængen ved at benytte sikkerhedsplugins i WordPress, sikre passwords og almindelig sund fornuft i din tilgang til sikkerhed.

Du skal sikre dig, at du får accept til at opbevare persondata

Et af de helt centrale punkter i GDPR er, at du skal få en udtrykkelig accept fra brugeren, inden du registrerer persondata. Det er altså ikke længere nok, at du bare skriver det i betingelserne. Der skal sættes en checkbox eller klikkes på et link.

Her er det især vigtigt, når vi snakker cookies. Bruger du ikke cookies, der ikke indsamler persondata, behøver du ikke en aktiv accept. Her er det nok, hvis brugeren bliver oplyst om at der sættes cookies, og så navigerer forbi eksempelvis et banner.

Men logger du persondata i en cookie, skal du sikre dig accept, inden cookien sættes. Brugeren skal altså aktivt klikke “ja tak” til at du logger persondata. Det kan være, at du tilføjer persondata til en Facebook remarketing-cookie.

Du skal ikke indsamle flere data, end højst nødvendigt

Har du en emailliste, som folk kan tilmelde sig? Beder du så om data, som ikke er nødvendig for at sende dem nyhedsbrevet? Det kan være, at du spørger om deres køn, uden at bruge denne oplysning til noget – Eller at du beder om telefonnummer, som jo ikke er nødvendigt for at sende en email.

Kig dine formularer og indtastningsfelter igennem – Er der data, som ikke er nødvendig? Så lad være med at indsamle det.

Du skal fortælle brugeren, at hun kan få slettet eller rettet sine data

Ifølge GDPR har brugeren ret til at blive glemt. Med andre ord: En bruger skal kunne henvende sig til dig, og så slettet sine data, hvis hun ønsker det. Brugeren har også ret til at få indsigt i, hvilke data der er registreret om hende. Endelig har hun ret til at få rettet data, hvis de indeholder fejl.

Derfor skal du oplyse om disse rettigheder. Det kan du eksempelvis gøre i en privatlivspolitik. Her beskriver du, hvordan brugeren skal henvende sig, hvis hun ønsker at gøre brug af sine rettigheder.

Du kan finde en skabelon til privatlivspolitik her: Minecookies.org

Du skal sikre dig, at 3. parts services overholder GDPR

Du har selvfølgelig styr på GDPR og dine data – Men har din amerikanske hostingleverandør også det? Det er dit ansvar, at dine leverandører overholder GDPR. Ikke kun de store som Facebook og Google, men også Mailchimp, din hostingudbyder – og hvad med de filer, du gemmer i Dropbox?

Derfor bør du indhente databehandleraftaler med de leverandører, der opbevarer eller behandler persondata for dig. Ligeledes skal du nævne disse leverandører i din privatlivspolitik, så brugeren kan se, hvor hendes data ender. Det er dit ansvar at sikre at databehandleren overholder GDPR – ikke databehandlerens, så bolden er på din bane.

Du kan finde en skabelon til en databehandleraftale her.

Opsamling

For lige at samle op, så skal du:

  1. Sikre at din hjemmeside bruger SSL
  2. Altid holde din hjemmeside opdateret, og sikkerheden i orden
  3. Få accept, hvis du indsamler persondata, i cookies, formularer og andre steder
  4. Lav en privatlivspolitik, og skriv hvilke data du opsamler, hvad du bruger dem til
  5. Sørg for at dine leverandører overholder GDPR, indhent databehandleraftaler

Spørgsmål eller kommentarer? Så er du meget velkommen i Omfi.dk’s lukkede facebookgruppe for online iværksættere og hjemmesideejere.