GDPR
8 May 2018
Gör webbsidan
GDPR kompatibel
Kort översikt över GDPR, följt av rekommendationer på åtgärder för små och medelstora företag för att GDPR säkra sina webbsidor.
Vad är GDPR?
GDPR, General Data Protection Regulation är en ny lag för alla EU nationer som träder i kraft 25 maj, 2018. Syftet med lagen är att ge ett bättre skydd för medborgarnas privata data. Företag och organisationer som inte uppfyller den nya lagstiftningens krav riskerar avsevärda böter.
De nya reglerna för hantering av privata datauppgifter berör både hur uppgifterna förvaras, säkerhetsrutiner och information till medborgare. Medborgare ska kunna kräva att få veta vilka uppgifter som lagras, varför de lagras och även att uppgifterna raderas.
GDPR gäller även för företag från länder utanför EU, om personen som använder tjänsten är en EU medborgare.
Som ofta med nya lagar finns det viss osäkerhet och därmed visst tolkningsutrymme runt hur GDPR ska tillämpas. Notera att vi inte är jurister, och de råd vi ger är baserade på vår tolkning av GDPR tillämpat på generella behov för att GDPR säkra hemsidan hos små och medelstora företag.
Vad måste jag göra?
Om du eller din organisation ansvarar för en webbplats, är några av de viktigaste sakerna att få på plats för att följa GDPR:
Informera
Se till att tydligt informera besökare om vilka personuppgifter som sparas, varför de sparas, samt hur, var och hur länge de sparas.
Informera användare om hur de ska göra för att undvika att få personlig data sparad, hur de ska göra för att få tillgång till den personliga data som redan sparats (enligt reglerna ska data levereras i ett portabelt, överförningsbart format), samt hur de ska göra för att radera sparad data.
Se också till att tydligt informera användare om när data behöver sparas så att de kan göra aktiva val att bli sparade eller inte. Tänk på att man inte får samla in fler personuppgifter än nödvändigt, utan bara för i förväg bestämda ändamål.
Se över säkerhetsrutiner
En ny regel i GDPR är att berörda parter måste informeras inom 72h från det att en dataläcka har upptäckts. Det bör därför finnas en handlingsplan för dessa situationer. Exempel på dataläckor kan vara:
- personlig information har läckt ut till följd av att webbsidan blivit hackad
- personlig information har delgivits en leverantör som inte är GDPR säkrad
- personlig information har delgivits en tredje part utan användarens medgivande
- personlig information har förmedlats till ett icke GDPR säkrat land
Se över formulär
Se över så att alla formulär där besökare fyller i någon form av personlig information (t.ex. namn, adress, email, telefonnummer) även innehåller en länk till en sida med information om hur personuppgifter hanteras. Det blir även förbjudet att ha förkryssade val – syftet är att användaren medvetet och aktivt måste kryssa för de val som görs.
Personuppgiftsombud
Utse ett personuppgiftsombud som är ansvarig för dokumentation av hur personuppgifter hanteras, utformning av policy för att hantera personuppgifter, ev. riskanalyser och upprättande av personuppgiftsbiträdesavtal med leverantörer som behandlar personuppgifter. Kort sagt, en person med uppgiften att se till så att lagen om behandling av personuppgifter efterlevs inom verksamheten.
Personuppgiftsbiträdesavtal
Om du anlitar leverantörer som erbjuder tjänster som involverar behandling av personliga uppgifter, måste också dessa vara GDPR säkrade. Det måste dessutom finnas ett sk. Personuppgiftsbiträdesavtal på plats där båda parter försäkrar att de följer GDPR.
En vanlig leverantör där det är aktuellt att ha ett Personuppgiftsbiträdesavtal är t.ex. webbsidans hostingföretag. Hostingföretagen tar ofta själva fram ett avtal som de skickar till sina kunder, eftersom det av praktiska skäl blir enklare för dem än att gå igenom olika avtal med varje enskild kund.
Andra leverantörer som också är aktuella för Personuppgiftbiträdesavtal är företag som erbjuder molntjänster där data lagras i molnet, och företag som erbjuder tjänster för att analysera användares beteende på webbsidan. Ett vanligt exempel på det senare är Google Analytics, som många webbsidor använder.
Eftersom Google Analytics är så vanligt finns här några tips på åtgärder för att GDPR säkra användningen av Google Analytics.
GDPR & Google Analytics
Även om Google också måste uppfylla GDPR, kan en extra säkerhetsåtgärd vara att koppla på IP Anonymitet i inställningarna på Google Analytics sidan. Följden blir att inga fullständiga IP adresser lagras, och att träffsäkerheten i Google Analytics geografiska statistik försämras.
Man bör också acceptera det sk. Data Processing Amendment, vilket ska finnas under Account Settings i Google Analytics Admin.
GDPR & WordPress
Tänk på att personuppgifter även innebär exempelvis kommentarer på bloggposter, och att plugins som hanterar användardata också måste vara GDPR säkrade. Om de inte är det automatiskt – se till att det på andra sätt går att uppfylla GDPR kraven på att t.ex. radera eller begära ut användares data.
En ny regel i GDPR är att berörda parter måste informeras inom 72 timmar från det att en dataläcka har upptäckts. För att få bättre möjlighet att upptäcka säkerhetsproblem rekommenderar vi att hålla plugins och WP installation uppdaterade, samt att överväga att installera ett säkerhetsplugin som exempelvis Wordfence.
