KUNDTJÄNST

info@webzonedesign.se support@webzonedesign.se 079-2015174

Support pic

GDPR

Hem GDPR
GDPR (General Data Protection Regulation)

Vi anpassar din hemsida för GDPR.

Författare: Madelene Kjellander Datum: oktober 19, 2021

EU reglerar hantering av personuppgifter och känslig data på hemsidor i förordningen GDPR (General Data Protection Regulation), eller Dataskyddsförordningen som den kallas i Sverige.

GDPR måste följas i Sverige och vill du fördjupa dig i vad GDPR innebär juridiskt så finns det bra information på Regeringens hemsida och på Integritetsskyddsmyndighetens sida om GDPR.

Praktiska åtgärder för att uppfylla GDPR på din hemsida

Vi ska här titta på vad vi gör på din hemsida för att uppfylla kraven i GDPR. Praktiskt och konkret då det är det som är det viktiga i slutändan. Vi inleder med ett generellt förhållningssätt som är bra att anamma vad gäller allt GDPR-arbete på din hemsida:

Data är en belastning. Om du inte absolut behöver spara data, gör dig av med den.

Vi följer alltid ovanstående grundtanke för att ha större möjligheter att göra rätt i GDPR regelverket. GDPR handlar om en mängd krav som ställs på dem som samlar in personliga data från besökare, så ju mindre data de samlar eller sparar desto enklare blir det att följa dessa krav.

Arbetet med GDPR på din hemsida behöver innefatta dessa steg

Manuell Data Audit - manuell granskning av dina system. Vi går igenom och granskar din hemsidas alla delar och listar alla datahanterande system som används, från din egen databas till plug-in och moduler från andra företag. Dessa märker vi med '1' eller '3' beroende på om de är förstahands- eller tredjehandshanterare av data. Förstahandshanterare är system som vi själva har skapat (din databas, listor, interaktiva moduler, självtester osv). Tredjehandshanterare är system som vi har hämtat från andra utvecklare, företag och organisationer (betallösningar, sociala plattformar, Chat-bots, analysverktyg).

För alla tredjehandshanterare undersöker vi om de i sin tur följer GDPR, det ska tydligt framgå på deras hemsidor att GDPR efterlevs och hur de hanterar personliga uppgifter. De system som inte gör det måste tyvärr planeras att bytas ut, ersättas eller avvecklas från din hemsida. Exempel på tredjehandssystem är Analytics, Dibs, Klarna, Mailchimp, Salesforce, Live-chat, Hotjar, SurveyMonkey, MyNewsDesk osv.

Datahanterare i första nivå, t.ex. hemsidans egna databas, kan vara inställda att spara information i onödan som till exempel data från ifyllda formulär och liknande. Bäst är att tömma dessa databaser om inte insamlade data absolut måste sparas. Vi försöker göra inställningar så att data inte sparas om det inte absolut behövs, eller sätter regler för regelbunden tömning av databasen om du behöver ha tillgång till informationen en kort tid.

Tjänster i tredje land

För tjänster i tredje land, till exempel amerikanska tjänster som Google, Mailchimp, Salesforce m.fl., har man tidigare kunnat använda Privacy Shield vars riktlinjer reglerar på vilket sätt personliga data ska få flyttas mellan USA och Europa. Men i en EU-dom år 2020 kallad Schrems II så ogiltigförklarades Privacy Shield. Istället hänvisas till dataskyddsförordningens kapitel V för att se vilka personuppgifter som får överföras till tredjeland. Läs mer hos IMY.

Dataskyddsombud, Data Protection Officer (DPO)

Hemsidesägaren (du, om du inte har ett serviceavtal med oss) ska ha en medarbetare som är utsedd till Dataskyddsombud, (eng. DPO) med ansvar att hantera GDPR frågor och säkerställa att riktlinjerna efterlevs. Kontaktuppgifter till dataskyddsombudet ska finnas på hemsidan, exempelvis på kontaktsida och på sida med integritetspolicyn.

Integritetspolicy - Privacy Policy

Hemsidan måste ha en sida som beskriver organisationens integritetspolicy (eng. Privacy Policy). Denna ska uppdateras med information om hur och varför användardata samlas in enligt GDPR. En kopia/nedladdningsbar version av policyn ska finnas tillgänglig och man ska berätta för besökaren att det går att få sina personliga data raderade enligt GDPR förordningen. Dessa policys måste skrivas på ett enkelt språk som alla kan förstå utan juridiska förkunskaper.

Cookie information och Användarefterlevnad

Villkor för cookies och användandet av hemsidan måste synas direkt på hemsidan, t.ex. i en så kallad cookie bar. En traditionell cookie bar och så kallad ‘Soft Compliance’ (information i stil med att om du fortsätter på hemsidan så accepterar du automatiskt villkoren, utan att aktivt klicka för godkännande) räcker inte enbart. En cookie bar måste också ha två val, att acceptera eller att inte acceptera sparandet av cookies. Valet att inte acceptera kan förslagsvis leda till en avskalad sida (som i sig inte använder cookies) med info om GDPR och vilka rättigheter användaren har och hur användaren blockerar cookies från hemsidan.

Att använda hemsidan utan cookies

Det ska gå att använda hemsidan utan cookies, men då räcker det med att vara tydlig med att viss funktionalitet uteblir som kräver cookies. Funktionalitet som samlar eller hanterar personliga uppgifter ska då ej vara tillgänglig.

SSL/TLS-certifikat

SSL- eller TLS-certifikat för krypterad informationsöverföring mellan besökaren och hemsidan är nödvändigt för att uppfylla GDPR. Din hemsida webbadress ska alltså börja med HTTP(s), och inte enbart HTTP. Man kan även som användare titta efter en ikon föreställande ett lås framför webbadressen i webbläsaren vilket indikerar att ett certifikat utfärdats. Du kan läsa mer om SSL Certifikat under rubriken 'Artiklar' i menyn ovan.

Pseudonymisation

Pseudonymity eller pseudonymisation innebär en anonymisering av personuppgifter och data kopplad till denna. Alltså att relationen mellan en person och det man känner till om honom/henne är anonym och skyddad. Pseudonymisation är en högre nivå att nå inom GDPR men man bör planera för det redan nu. Användare ska kunna identifieras endast med ett användarnamn och övrig insamlade data ska vara krypterad så det inte finns någon möjlighet att göra en koppling mellan en användare och sparad information.

Nyhetsbrev

Nyhetsbrev måste innehålla en länk till en förklaring över vilken information du sparar och hur den hanteras. Inga formulär får ha redan ikryssade rutor för att samtidigt ta emot nyhetsbrev eller erbjudanden. Finns det flera nyhetsbrev måste vart och ett av dessa få en egen checkbox för att börja prenumerera (det räcker inte att endast inhämta ett enda okej med en enda kryssruta för flera olika nyhetsbrev och utskick). Varje nyhetsbrev måste innehålla tydlig avanmälningsinformation, avsändarinformation och kontaktinformation.

Handlingsplan för överträdelser

Det måste finnas en fördefinierad handlingsplan för att upptäcka, rapportera och undersöka överträdelser vid hantering av användardata. Planen ska vara upprättad i huvudsak av hemsidesägaren, men det är bra om vi också känner till den för att kunna vara behjälplig. Om allvarlig överträdelse skett då individers rättigheter riskerar att ha komprometterats skall detta anmälas till Integritetsskyddsmyndigheten inom 72 timmar. IMY förklarar närmare när det är aktuellt att anmäla en händelse. Är risken allvarlig kan de drabbade individerna behöva informeras också. Att inte göra anmälan kan medföra böter i sig, utöver eventuella böter för att inte ha uppfyllt GDPR. Man ska alltid dokumentera varför man inte valt att göra anmälan.