Är din webb redo för GDPR?

Söndag 29 april 2018 av Christer

Tar detta tjat om GDPR aldrig slut tänker du? Nej, det gör inte det och nu är det Mindius tur att komma med några uppmaningar som rör er webbplats.

Kryptera all trafik med HTTPS

Om du har en webbplats där besökaren matar in någon form av information som sedan skickas till webbservern så bör du skaffa en krypterad anslutning mellan webbläsare och webbserver. Faktum är att vi rekommenderar detta för alla webbplatser oavsett. Någon gång under sommaren 2018 kommer nämligen webbläsaren Google Chrome att börja markera webbplatser utan kryptering som ”inte säker” i adressfältet vilket era besökare kommer att uppleva som mycket negativt. Dataöverföringen krypteras genom att vi installerar ett SSL-certifikat för din domän på webbservern så att all trafik sker över https.

Pris installation: 1450 kr (engångskostnad)
Pris SSL-certifikat: 950 kr (årskostnad)
Säljkontakt: ,  0500-27 20 51

skaffa en Integritetspolicy

På alla webbplatser bör det finnas en sida som heter ”integritetspolicy” eller motsvarande. På denna sida samlar ni all information om vilka personuppgifter ni sparar, hur länge, ändamålet osv. Använd även sidan för att ange vilka externa tjänster som används på er webbplats och om de sätter cookies, t ex Google Analytics. Ange helst även en kontaktperson för alla frågor som rör integritetspolicyn och GDPR. Beroende på vilka uppgifter som sparas kan det även vara lämpligt att förtydliga hur ni jobbar med säkerhet och incidenthantering. En länk till sidan ”integritetspolicy” bör finnas i sidfoten på webbplatsen så att den visas på alla sidor.

Sida med integritetspolicy, pris från: 2650 kr
Analys och rådgivning: 900 kr/tim
Säljkontakt: ,  0500-27 20 51

Samtycke för formulär

Med formulär menar vi t ex kontaktformulär, bokningsfunktioner eller beställningsformulär som sparar information till databas och/eller skickar vidare som e-post. I anslutning till dessa typer av inmatningsformulär behöver det finnas en samtyckestext som måste godkännas med ett klick i en checkbox innan informationen i formuläret kan skickas iväg. Beroende på vilken data som samlas in och hur den används kan det behövas en länk till sidan ”integritetspolicy” på er webbplats för att förtydliga. Om ert kontaktformulär sällan eller aldrig används kan det vara läge att ta bort det.

Pris från: 1650 kr
Säljkontakt: ,  0500-27 20 51

Information om Cookies

Du kanske har noterat att många webbplatser har börjat visa information om att cookies används? Det är en så kallad cookie banner som laddas första gången man besöker webbplatsen och som informerar om att cookies används på sajten. Ibland uppmanas man att godkänna detta och ibland är det bara information. Gemensamt är dock att i princip inga besökare läser detta vilket är kontraproduktivt. EU-kommissionen jobbar också med tillägget ”ePrivacy Regulation” som ska adressera det här området och där själva webbläsaren ska ge användaren utökad kontroll över vilken typ av cookies som själva programmet ska tillåta eller begära enskilt samtycke för.

Ett frågetecken just nu är också hur Google Analytics kommer att anpassas för GDPR av Google och/eller om ePrivacy kommer att hinna klubbas igenom till den 25 maj och innehålla någon form av undantag för besöksstatistik. Vår bedömning är att detta kommer att gå i lås så att cookie banners inte kommer att behövas på de flesta av våra kunders webbplatser efter den 25 maj. Däremot rekommenderar vi alla att lägga till ett stycke på sidan ”integritetspolicy” som beskriver hur cookies används på er webbplats.

Rådgivning: 900 kr/tim
Säljkontakt: ,  0500-27 20 51

Översyn av innehåll och sparad data

Utöver aspekter kring lagring, dataöverföring och samtycke som avhandlas ovan är det även vettigt att göra en översyn av det innehåll som finns på er webbplats. Publicerar ni någon information som kan vara att betrakta som personuppgift? Finns det bilder, film- eller ljudklipp med personer på som inte lämnat samtycke eller där annan giltig grund saknas? Finns det köpvillkor som behöver uppdateras när det gäller hur ni behandlar personuppgifter? Detta är exempel på frågor som ni bör belysa vid en genomgång av ert innehåll. I nuläget har vi ingen möjlighet att göra detta arbete åt er utan detta är något som ni måste göra och ta ansvar för själva.

En annan aspekt är att radera personuppgifter från databaser och register som ni inte längre behöver ha kvar. Tänk på att persondata även kan finnas lagrad i tjänster som är kopplade till er webbplats, t ex i betalväxlar, CRM-system, nyhetsbrevsverktyg, mät- och analysverktyg osv.

Rådgivning: 900 kr/tim
Säljkontakt: ,  0500-27 20 51

KOM IGÅNG MED GDPR

I angränsade områden så finns även t ex nyhetsbrev och er vanliga e-post. Tänk på att all data som strömmar via e-post också måste behandlas enligt GDPR om den innehåller personuppgifter. Utöver er webbplats och e-post så har ni sedan även alla andra program, molntjänster, register, rutiner och ansvarsområden att reda ut innan den 25 maj. Notera att om dessa system hanterar personuppgifter så bör ni ingå ett personuppgiftsbiträdesavtal med er leverantör som reglerar ansvar och skyldigheter. Notera att ni även behöver upprätta en handlingsplan för hur överträdelser och intrång ska hanteras.

Om ni inte har har börjat så är det hög tid att starta nu. Att tänka på i korthet:

  • Samla bara in personuppgifter som är nödvändiga
  • Samla in för bestämda ändamål
  • Spara inte längre än nödvändigt
  • Säkerställ att insamlingen är laglig
  • Åtkomst – bara för de som behöver få tillgång

Bra länkar för fortsatt läsning:

Alla priser exkl. moms. Med reservation för prisändringar och tryckfel. Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några delar av lagen som påverkar dig med en webbplats.