GDPR og WordPress

GDPR og WordPress

For et par dage siden skrev vi om, at GDPR også har betydning for din hjemmeside. Blogindlægget omhandler er generelle forhold om sikkerhed på tværs af forskellige CMS. I dette blogindlæg zoomer vi ind på WordPress, som er et af de mest populære CMS i hele verden.

Plugins indsamler persondata

Stort set alle WordPress-hjemmesider bygger på en række plugins, som giver hjemmesiden den ønskede funktionalitet. Nogle plugins bidrager til at indhente persondata, dette gælder for en lang række kontaktformularer, WooCommerce, Ultimate Member (og andre plugins til medlemshåndtering) og mange, mange flere.

Ud over plugins er der også en funktion i WordPress-kernen, som indsamler persondata, hvis du aktiverer det. Her tænker jeg selvfølgelig på muligheden for at kommentere på indlæg, hvor brugerne oftest bliver bedt om at angive både navn og mailadresse.

Der er også tale om persondata, hvis brugernes ip-adresser, bliver gemt og opbevaret. Selvom du måske ikke selv er bevidst om dette, så indsamler plugins som Wordfence eller Google Analytics ip-adresser.

Findes der et plugin til at overholde GDPR?

Plugin til at overholde GDPR

Hvis du tror, det er en løsning at downloade et plugin, og at du så overholder alle regler i forbindelse med GDPR, så tager du fejl. Dog er der nogle udviklere, der er i gang med at udvikle et plugin, der hjælper WordPress-hjemmesider med at overholde reglerne om at give besked ved datalæk, retten til at blive glemt og retten til at få adgang.

Der er endnu ikke meget information om dette plugin, men det skal også kun ses som en hjælp. Uanset hvad skal du stadig lave det hårde arbejde med at dokumentere, hvordan du indsamler data, hvorfor du indsamler data, hvor længe data opbevares, hvordan data slettes, hvem der får adgang til dataene og så videre. Derudover skal du også finde ud af, hvordan dine brugere får adgang til deres egen data – og du skal kunne dokumentere, at brugerne har givet dig lov til at indsamle dataene om den enkelte bruger.

Overholder de plugins, du bruger, GDPR?

Der er ingen tvivl om, at plugins fylder meget, når vi taler om WordPress-hjemmesider. Derfor bør du også fokusere på disse, når du forbereder din hjemmeside til GDPR. Selvom du ikke selv har udviklet et plugin, har du stadig et ansvar for, at plugins brugt på din hjemmeside, overholder GDPR.

Men hvilke krav stiller GDPR i forhold til plugins? Alle plugins skal kunne eksportere, samle og slette data for hver enkelt bruger. Dette er nødvendigt, da en person kan bede om at udleveret den data, du har indsamlet om personen, ligesom personen kan bede dig om at slette al data (retten til at blive glemt).

Det skal du være opmærksom på, når du indsamler data

Indsamling af data

Uanset hvilke plugins, du benytter til at indsamle persondata, er der nogle forhold, du skal være opmærksom på. Det kan være med til at lette dit arbejde i forhold til dokumentation.

Bed kun om data, der er nødvendigt til at tjene et bestemt formål

… og forklar eventuelt brugeren, hvad dataene benyttes til. For eksempel i forbindelse med en webshop: Navn og adresse er nødvendigt for at kunne sende en vare – og så skal disse også fremgå af fakturaen. Mailadressen er nødvendig for at kunne sende ordrebekræftelse og andre ordrespecifikke oplysninger.

På samme måde gælder det med kontaktformularer: Mailadresse og eventuelt telefonnummer er nødvendigt for at kunne vende tilbage på en henvendelse.

Når du indsamler tilmeldinger til dit nyhedsbrev, har du så behov for andet end den mailadresse, som nyhedsbrevene skal sendes til? Bemærk at du ikke må ’snyde’ brugerne til at tilmelde sig dit nyhedsbrev – altså må du eksempelvis ikke have autoudfyldt ”Tilmeld nyhedsbrev”, når en kunde gennemfører en ordre i din webshop.

Opdater din fortrolighedspolitik

Al data, som du indsamler, bør du behandle i din fortrolighedspolitik. Fortrolighedspolitikken kan du se som din måde at fortælle de besøgende på din hjemmeside om, hvordan du håndterer persondata. Fortrolighedspolitikken er en måde at øge tillidsniveauet – særligt blandt personer, der ikke kender din virksomhed.

Brug derfor din fortrolighedspolitik til at beskrive, hvordan du håndterer indsamlet data og med hvilket formål du benytter indsamlet data. Fortæl også hvis du videregiver data, men vær opmærksom på hvorvidt en person har givet tilladelse til dette. Husk DU skal kunne dokumentere, at du har fået tilladelse hertil.

Hvor opbevares data?

Når du indsamler data, skal dette opbevares et sted. Ved du, hvor data du indsamler, bliver opbevaret? Dette er et væsentligt punkt for GDPR. Sendes data til lande, der er uden for EU og dermed GDPR? Er dette tilfældet, kan der være en risiko for, at data ikke opbevares med samme sikkerhedsforanstaltninger.

Uanset hvor data opbevares, er det dit ansvar som dataansvarlig (ejeren af den indsamlede data), at alle personfølsomme data opbevares i overensstemmelse med GDPR.

Kommuniker i et forståeligt sprog

Når du oplyser dine kunder eller besøgende på din hjemmeside om, hvordan og hvorfor du indsamler data, skal du forklare dette i et forståeligt sprog. Alle berørte skal kunne forstå, hvad du mener, og det hjælper derfor ikke at pakke det ind i komplicerede, juridiske vendinger.

De tre vigtigste regler

Regler omkring GDPR og WordPress

GDPR stiller krav til indsamlig og håndtering af data. Alt sammen er for at skabe tryghed for brugerne og dermed også at skabe tillid mellem bruger og virksomhed. På WordPress-hjemmesider benyttes oftest en lang række forskellige plugins, som i større eller mindre grad indsamler persondata. Det er derfor, GDPR også spiller en vigtig rolle for din WordPress-hjemmeside.

Helt grundlæggende handler GDPR om 3 ting:

  1. Brugere skal have mulighed for at få udleveret data, der er gemt om dem hver især
  2. Brugere skal have mulighed for at blive glemt – med andre ord: at data om en bruger skal kunne slettes
  3. Ved datalæk skal brugere informeres herom

Det handler altså om, at brugerne skal have større kontrol over sin egen data, hvis han eller hun ønsker det. Derfor skal du som hjemmesideejer også være bevidst om, hvordan du indsamler data, og hvordan du sletter data igen, hvis en bruger ønsker det. Det gælder eksempelvis, at alle kommentarer fra en bruger skal slettes m.v.

Nogle typer data kan ikke slettes, selvom en bruger ønsker det. Det gælder eksempelvis data, der skal opbevares jævnfør en anden lovgivning – eksempelvis bogføringsloven. GDPR er altså til enhver tid underlagt den gældende lovgivning.

Vil du vide mere?

Europakommissionen har lave en infografik, der oplyser om alle de væsentlige forhold i forhold til GDPR. Her kan du se, hvad personoplysninger er, hvorfor reglerne skal ændres, hvad din virksomhed skal gøre, samt hvilke omkostninger der er, hvis du ikke følger reglerne. Se infografikken her.

 

CTA Blog

Skal vi også hjælpe dig videre?

Står du med en konkret digital udfordring eller har vækstambitioner, så står vi klar til at tage en uforpligtende dialog.

John Nielsen