GDPR– Hur fungerar det?

Vi ska försöka skriva denna guiden på ett enkelt språk som alla kan förstå utan juridiska och tekniska förkunskaper.

GDPR står för; The General Data Protection Regulation.  GDPR eller Dataskyddsförordningen, som den kallas för i Sverige är till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. De gällande reglerna för hantering av känslig data på webbplatser är samlade i GDPR och den måste följas i Sverige.

 

Så här uppfyller du GDPR på din webbplats

 

Börja med att gå igenom alla moduler och datahanterande system din webbplats.

Ett tips här kan vara att börja med att titta över dina tredjepartssystem. Det kan vara system som samlar in statistik, nyhetsbrev, betalningslösningar, sociala plattformar med mera. Undersök på deras hemsidor om GDPR efterlevs och hur de hanterar personliga uppgifter. Detta ska alltid framgå tydligt om de gör så.

Titta sen över dina egna datahanterande system. Samlar dom in information, och är det viktigt och väsentligt för din verksamhet att dom gör så. I annat fall avinstallera dem och ta bort dem.

Om du absolut inte behöver spara data så gör inte det. Data kan vara en belastning för dig.

En vanlig bov i dramat brukar vara formulär på din webbplats. Ofta kan det finnas inställningar eller moduler som gör att informationen från kunder som fyller i dessa formulär sparas på i webbplatsens databas. En rekommendation är att inte använda en sådan inställning eller tilläggsmodul om man inte måste.

Titta också över hur länge den här informationen sparas.

Om din databas är inställd på spara information i onödan så bör man sätta det i system att tömma denna med jämna mellanrum.

 

Webbplatsen ska ha ett Dataskyddsombud

Dataskyddsombudet ska hantera GDPR frågor och säkerställa att riktlinjerna efterlevs. Det är också viktigt att kontaktuppgifter till dataskyddsombudet ska finnas synligt på webbplatsen. Dessa bör finnas på sidan med integritetspolicyn.

 

Integritetspolicy

Din webbplatsen måste idag ha en sida som beskriver företagets/organisationens integritetspolicy. Denna ska tydligt  innehålla information om:
Hur information samlas in
Varför användardata samlas in
Och hur länge sparas denna information,
allt enligt GDPR.

En kopia/nedladdningsbar version av policyn ska finnas tillgänglig och man ska berätta för besökaren att det går att få sina personliga data raderade enligt GDPR förordningen.

Integritetspolicyn måste skrivas på ett enkelt språk som alla kan förstå utan juridiska förkunskaper.

 

SSL-certifikat

Något som fortfarande saknas på många webbplatser idag är SSL- certifikat. SSL-certifikat för krypterad informationsöverföring mellan besökaren och webbplatsen är ett måste för att uppfylla GDPR. Hur ser man om webbplatsen har ett SSL certifikat. Om webbadressen börjar med https, och inte bara http, så har webbplatsen ett installerat SSL certifkat. Man kan även se en liten ikon på ett lås framför webbadressen.

 

Cookie information och User Compliance

Cookies informationen och dess villkor måste synas direkt en besökare går in på webbplatsen. Ofta lägger man in en cookie bar som är ganska vanliga idag. En sak som ofta missas dock är att även om besökaren en gång accepterat villkoren för webbplatsen så måste det vara enkelt för besökaren att kunna ändra sig. Man ska alltså enkelt kunna återgå till till acceptering av villkoren och ändra valet till att ej acceptera dem.

Alltså en traditionell cookie bar med information i stil med att om du fortsätter på webbplatsen så accepterar du automatiskt villkoren, utan att aktivt klicka för godkännande) räcker inte enbart. En cookie bar måste också ha två val, att acceptera eller att inte acceptera sparandet av cookies. Man bör informera besökaren om att webbplatsen kanske ej fungerar om man väljer bort cookies. Likaså bör man informera om hur man stänger av sina cookies i webbläsaren. Plats för acceptansvalet (att acceptera cookies eller ej) som finns får aldrig försvinna helt utan måste alltid vara nåbar på något tydligt sätt på webbplatsen.

 

En tydlig handlingsplan

Det ska finnas en utarbetad handlingsplan om sidan hackas och känslig information läcker ut. Handlingsplanen ska innehålla information om att upptäcka, rapportera och undersöka överträdelser vid hantering av användardata. Om allvarlig överträdelse skett då individers rättigheter riskerar att ha komprometterats skall detta alltid anmälas. Man kan läsa mer om detta på Integritetsskyddsmyndigheten.

Vid allvarlig risk kan de drabbade individerna behöva informeras också. Att inte göra anmälan kan medföra böter i sig, utöver eventuella böter för att inte ha uppfyllt GDPR.

Vi rekommenderar Regeringens och Integritetsskyddsmyndighetens webbplats för fördjupning och mer kunskap i ämnet.

https://www.regeringen.se/…/sou-201739/

https://www.imy.se/lagar–regler/dataskyddsforordningen/

 

En sak som vi vill tillägga

Det är inget krav för GDPR att ha en brandvägg på sin webbplats, men vi rekommenderar det starkt, då detta alltid hjälper dig att skydda känslig information mot intrång och läckor. Det kan också vara bra att kontrollera sitt webbhotell och se hur dom arbetar med säkerhet på databaser och servrar.

Lycka till i ert GDPR-arbete.

 

Originalartikeln härstammar från WebbDesignFabriken.se – en Webbyrå i Malmö