GDPR har også betydning for din hjemmeside

GDPR din hjemmeside

I dette blogindlæg kan du læse om

Den nye persondataforordning eller GDPR, der træder i kraft den 25. maj, er efterhånden et altoverskyggende emne. Virksomheder skal kunne dokumentere, hvordan de opbevarer persondata, og hvordan der indhentes samtykke om, at virksomheden må gemme persondata. Der skal laves procedurer for, hvordan og hvornår persondata slettes. Der skal laves procedurer for, hvor og hvordan persondata opbevares. Der skal måske også laves databehandleraftaler. Der er generelt mange forhold, der skal være styr på inden den 25. maj, hvis man vil undgå en stor bøde.

GDPR sætter langt større krav til dokumentation end hidtil, og derfor har mange virksomheder nu meget travlt med at dokumentere, hvordan de indsamler persondata, samt med hvilket formål dataene er indsamlet og skal behandles. Nogle virksomheder skal udnævne en DPO (Data Protection Officer). Generelt skal der laves procedurer for, hvordan eventuelle databrud skal håndteres og hvem, der skal underrettes.

Alt ovenstående skal tænkes ind i virksomhedens it-systemer. Systemerne skal designes, så de understøtter dataforordningen. Skal data kun gemmes i en tidsbegrænset periode, skal der enten være en procedure for, hvordan dataene bliver slettet ved periodens udløb, eller systemet skal kunne håndtere en given udløbsdato.

Hvordan kommer hjemmesiden ind i billedet?

Alt det, der er opridset ovenfor, har fået mange virksomheder – uanset størrelse – til at kigge nærmere på deres it-systemer og procedurer. Mange glemmer dog én ting: deres hjemmeside.

Måske tænker du nu, at din hjemmeside ikke har noget med persondata at gøre, men det er for langt de fleste ikke rigtigt. Har du en kontaktformular, hvor dine kunder kan komme i kontakt med dig? Så beder du om persondata. Uanset om du beder om navn, mail eller telefonnummer, så beder du om persondata.

Ifølge FDIH defineres persondata sådan: ”Persondata er alt, der direkte eller indirekte kan henføres til en person – også selvom det kun er muligt for særligt indviede at forstå, hvem oplysningen vedrører.”

Har du en webshop, er der ingen tvivl om, at du indsamler persondata i forbindelse med hvert salg. Men mange hjemmesideejere, der ikke driver en webshop, er måske ikke bevidste om, at de også indsamler persondata via deres hjemmeside.

Stort set alle hjemmesider lægger i dag cookies på den besøgendes enhed. Cookies er altså knyttet til en person, selvom du ikke selv kan se, hvem personen er. Selvom det ikke er alle cookies, der kan identificere en person, kan størstedelen af cookies dette. Det gælder eksempelvis for Google Analytics, Facebook-pixel, LinkedIn Insight Tag samt cookies, der husker hvad personen har lagt i kurven eller i forbindelse med en chatfunktion og meget mere.

Skal alle hjemmesider så droppe cookies nu?

GDPR cookies

Selvom cookies kan skabe en mindre komplikation, så er det korte svar: nej.

Der kan være gode grunde til at benytte cookies – eksempelvis med henblik på at forbedre brugeroplevelsen. Derfor gælder det om at finde lovhjemmel til at lagre cookies hos brugeren. I eksemplet med at hjemmesiden husker, hvad den besøgende har lagt i kurven, kan være et godt eksempel på, at cookies kan være nødvendige – ellers bliver det pludselig meget svært for en kunde at gennemføre en ordre med flere varer.

GDPR sætter altså ikke en stopper for brugen af cookies, men sætter dog langt større krav. Du skal nemlig kunne dokumentere, at dine besøgende har givet accept til, at du lægger en cookie på deres enhed.

Langt de fleste har i dag en ”cookie notification bar” – altså en bjælke, der oplyser om, at hjemmesiden benytter cookies. Med denne ligger der en underforstået accept af cookies, når en besøgende klikker sig videre på hjemmesiden. Det er ikke længere tilstrækkeligt ifølge GDPR.

Ifølge Cookielaw.org skal brugerne – med GDPR – aktivt acceptere cookies. Det betyder, at brugerne skal præsenteres for to muligheder, når de besøger en hjemmeside for første gang: Accept af cookies eller afvis cookies.

Kravet til dokumentation betyder altså, at du skal kunne bevise, at en besøgende har accepteret cookies – og også hvilken version af din cookiebeskrivelse, som den besøgende har accepteret. Du bør derfor tydeliggøre hvilken version, den pågældende cookiebeskrivelse er (fx version 2.1) – særligt hvis der ændres i, hvilke cookies hjemmesiden benytter.

Det øgede krav til cookies betyder også, at rigtig mange hjemmesideejere eller -administratorer, skal få styr på deres cookiebeskrivelse. Cookiebeskrivelsen har længe været et lovkrav, men trods dette har vi erfaret, at mange hjemmesider ikke har en cookiebeskrivelse. Cookiebeskrivelsen skal oplyse de besøgende om, med hvilket formål cookies benyttes, hvem der får adgang til cookies, samt hvordan cookies kan slettes.

Har din hjemmeside ikke en cookiebeskrivelse, anbefaler vi, at der bliver skrevet en cookiebeskrivelse, der overholder lovkravene. Har du behov for hjælp til dette, er du meget velkommen til at kontakte os.

Beskyt persondata indsamlet via hjemmesiden

GDPR er altså et vigtigt emne for alle, der driver en hjemmeside! Blot det, at hjemmesiden benytter cookies, betyder, at hjemmesiden indsamler persondata, som beskrevet i det foregående afsnit.

Hvor cookies ligger i det skjulte, er der anden persondata, som sendes direkte fra den besøgende. Det er eksempelvis når den besøgende gennemfører en ordre i en webshop eller udfylder en kontaktformular. Her sender den besøgende altså aktivt sin persondata til dit CMS/hjemmeside.

Selvom en besøgende frivilligt sender sin persondata til dig, skal denne beskyttes. Dataene sendes med en forventning om, at du beskytter og opbevarer dataene sikkert og forsvarligt.

Så snart vi er online, er der en risiko for, at der er hackere på spil. De forsøger at franarre privatpersoners oplysninger, eller de leder efter sikkerhedshuller i virksomheders systemer og hjemmesider. Hver dag bliver nettet scannet af hackere, som leder efter en måde at gøre skade, lave pengeafpresning eller stjæle informationer.

Selvom du mener, at din hjemmeside ikke er et interessant mål for hackere, kan du ikke vide dig sikker – netop fordi de blot leder efter sikkerhedshuller. Så er det mindre vigtigt hvilke virksomheder, de rent faktisk får fat i.

Persondata kan derfor også være interessant for hackere at få fingrene i. Når en person sender persondata til dig, er det med en tillid til, at du beskytter dataene, så uvedkomne (hackere) ikke får adgang til det.

Skab en sikker forbindelse

GDPR sikker forbindelse

Groft sagt kan alle kigge med, når en person sender data via en formular på en hjemmeside, hvis hjemmesiden ikke er beskyttet. Hvordan beskytter du så din hjemmeside?

Jeg har tidligere skrevet om vigtigheden i at få en ”Sikker” hjemmeside. Når en hjemmeside er markeret som ”Sikker”, betyder det, at data, der sendes mellem den besøgende og hjemmesiden, er krypteret. På den måde beskytter man altså den persondata, som en besøgende sender.

For at få en sikker hjemmeside, skal den have et SSL certifikat implementeret. Langt de fleste hostingudbydere tilbyder i dag et SSL certifikat enten som en del af webhotellet eller som et tilkøb. Det er altså blevet meget lettere at implementere et SSL certifikat i dag.

Når du implementerer et SSL certifikat, er det ikke nok, at din hostingudbyder aktiverer det på dit webhotel. Du skal også sikre dig, at alle elementer på din hjemmeside ikke indlæses fra http – og så skal du også sørge for at alle http-links bliver redirectet til https.

Har du behov for hjælp til at implementere et SSL certifikat, er du velkommen til at kontakte os. Vi har erfaring med at implementere SSL certifikater fra flere forskellige hostingudbydere i forskellige CMS.

Google anbefaler https

Vi hos OnlineSynlighed.dk er langt fra de eneste, der anbefaler, at din hjemmeside får implementeret et SSL certifikat.

Allerede sidste år meddelte Google, at https ville komme til at spille en stor rolle – også i forbindelse med søgemaskineoptimering. Https står for ”Hypertext Transfer Protocol Secure”, og er groft sagt en sikker udgave af http, som er en protokol som bruges til kommunikation på nettet. Derfor starter alle hjemmesiders url enten med http eller https.

I sidste måned offentliggjorde Google, at de fra juli 2018 vil begynde at advare brugerne om, når en hjemmeside er usikker. Beskeden er møntet på Googles egen browser, Chrome, men der er ingen tvivl om at andre browsere vil følge trop.

Ifølge Statcounter er Chrome verdens mest udbredte browser – og derfor kan du heller ikke ignorere beskeden om, at hjemmesider uden et SSL certifikat bliver markeret som ”Usikker”. Bare i Danmark sidder Chrome på 44% af markedet, mens Safari – som den anden mest benyttede browser sidder på 19% af markedet.

Advarslen mod usikre hjemmesider har til formål at beskytte brugerne og deres data – og dermed at forbedre brugeroplevelsen. Du bør derfor ikke kun implementere et SSL certifikat, ”fordi Google siger det”, men fordi du også har en interesse i at beskytte dine kunders data.

Beskyt også databasen

Beskyttelse af din database

SSL certifikatet beskytter den data, der sendes mellem den besøgende og din hjemmeside. Når dataene er sendt, gemmes denne i en database. Databasen er ikke beskyttet af SSL certifikatet, og derfor bør du finde en måde at beskytte databasen også.

Dette kan gøres ved hjælp af en firewall, kryptering af data og andre sikkerhedsforanstaltninger som stærke passwords, begrænsede loginforsøg m.m. eSecurityPlanet.com giver her 7 gode råd til databasesikkerhed.

Andre sikkerhedsforanstaltninger på hjemmesiden

Ovenstående er et krav, når det handler om at beskytte brugernes data. Det er dog ikke ensbetydende med, at persondata ikke kan komme i hænderne på de forkerte – for eksempel hvis en hacker får adgang til dit CMS vha. brugernavn og adgangskode. Derfor bør du også foretage nogle andre sikkerhedsforanstaltninger på din hjemmeside.

Først og fremmest handler det om, at have stærke passwords, som ofte ændres. Det har du sikkert hørt mange gange før. Derfor får du her en kort gennemgang af andre sikkerhedsforanstaltninger, du kan foretage dig.

IP-filtrering: Ved at sætte en ip-filtrering op via din .htaccess-fil, spærrer du fra adgangen for ip-adresser der ikke er på listen over godkendte ip-adresser.

Sikkerhedsplugin: Sikkerhedsplugins som eksempelvis Wordfence til WordPress spærrer ip-adresser, der flere gange er mislykkes med at logge ind.

Hold dit CMS opdateret: Bruger du WordPress eller et andet open source CMS, skal CMS, plugins og tema holdes opdateret. Open source betyder, at alle kan se kildekoden, og via denne søger hackere efter sikkerhedshuller. Udviklerne opdaterer WordPress, temaer og plugins løbende for at lukke disse sikkerhedshuller. Derfor bør disse elementer altid være opdaterede.

Glemmer du – lige som mange andre – at få opdateret alt dette, så kan du slippe for bekymringerne med vores WordPress-serviceaftale.

Indsaml kun den nødvendige data

Indsamling data

Vi kan ikke sige det nok gange: Indhent kun den data, der er nødvendig! Du skal kunne dokumentere, at den data, du indhenter, er nødvendig for at levere en vare eller en ydelse. Sælger du en vare, der skal sendes, har du selvfølgelig behov for navn og adresse, og du har oftest også behov for en mailadresse, så du kan sende en ordrebekræftelse. Men har du behov for et telefonnummer? Hvis ikke, så lad være med at bede om det.

Det samme gør sig også gældende, hvis du opfordrer dine besøgende til at udfylde en ring-mig-op-formular – har du så behov for mailadresse og virksomhedsnavn? Eller hvis du vil have tilmeldinger til dit nyhedsbrev, har du så behov for andre oplysninger end mailadressen?

Ved kun at bede om den nødvendige data, vil dine besøgende heller ikke sætte spørgsmålstegn ved, hvad du bruger dataene til. Det er med til at skabe tillid til din virksomhed. Med GDPR skal du også kunne retfærdiggøre, hvorfor du indsamler den data, du indsamler.

Fortæl hvad du bruger indsamlet data til

Som skrevet ovenfor: Du skal kunne retfærdiggøre, at du indsamler den data, du gør. Med andre ord skal der være lovhjemmel til at indhente dataene. Sælger du en fysisk vare, har du behov for en adresse for at kunne sende varen. Hvis du sælger et elektronisk produkt, har du så behov for kundens telefonnummer?

Nogle oplysninger skal indhentes pga. lovkrav – og det skal selvfølgelig overholdes. Her er der desuden også tale om lovhjemmel. Selvom du sælger et digitalt produkt, har du stadig behov for kundens adresse – fordi det kræver loven.

Med GDPR sættes der krav til, at du kan oplyse kunden om, hvad du bruger den indsamlede data til. Eksempelvis er mailadressen nødvendig for at kunne sende en ordrebekræftelse, telefonnummer er nødvendig for at kunne kontakte kunden i særlige tilfælde.

Du har også ansvaret for dine tredjepartsservices

Ansvar for tredjepartsservices

Benytter du tredjepartsservices som eksempelvis Mailchimp til nyhedsbreve, Google til analyse eller Facebook til annoncering, er det dit ansvar at sikre, at disse tjenester også lever op til GDPR. De store tjenester som førnævnte har selv en interesse i at leve op til GDPRs krav, da de ellers også selv vil miste en masse kunder.

Lige som med de ovennævnte online tjenester skal du også være opmærksom, hvis du har et eksternt bureau, som behandler data for dig. Her bør du udarbejde en databehandleraftale for at sikre, at din databehandler opbevarer og behandler data efter dine anvisninger.

Opsummering

I alle virksomheder tales der i større eller mindre grad om GDPR. For de fleste handler det om at lave procedurer for indsamling af data og beskyttelse heraf, samt om hvordan data slettes igen. Mange virksomheder tænker blot ikke over, at deres hjemmeside også skal leve op til en række krav.

Alle hjemmesider indsamler persondata – og det gør de, fordi de benytter sig af cookies. Derfor er der nogle forhold, som alle hjemmesider bør overveje samt gøre:

  • Implementere et SSL certifikat:
    Et SSL certifikat krypterer data, der sendes mellem den besøgende og hjemmesiden.
  • Beskyt data i databasen:
    Al data, der indsamles af en hjemmeside, bliver gemt i en database. Derfor skal databasen også beskyttes, eksempelvis ved at kryptere data, opsætte en firewall m.m.
  • Hold CMS’et opdateret:
    Hackere får adgang til adskillige hjemmesider (og dermed deres data), ved at crawle nettet for sikkerhedshuller i CMS, plugins, tema m.m.
  • Bed kun om nødvendige oplysninger:
    Lige som med data indsamlet andetsteds, skal der være lovhjemmel for, at dataene indsamles.
  • Fortæl hvad indsamlet data bruges til:
    Fortæl dine kunder og hjemmesidebesøgende, hvad du bruger den data, som du indsamler til.
  • Tjek at dine tredjepartsservices også lever op til GDPR:
    Det er dit ansvar at al data, der indsamles af dig – uanset hvilken service, du benytter til formålet – lever op til kravene fra GDPR.

 

CTA Blog

Skal vi også hjælpe dig videre?

Står du med en konkret digital udfordring eller har vækstambitioner, så står vi klar til at tage en uforpligtende dialog.

John Nielsen