GDPR - den komplette guide
Del:
GDPR er en vigtig forordning fra EU for alle hjemmesideejere og marketingfolk. Den ændrer, hvordan hver eneste hjemmeside behandler data og viden om deres brugere. Selv hjemmesider og virksomheder der ikke er placeret i EU er berørt. I har under 4 måneder til at gøre jeres hjemmeside GDPR-kompatibel. Er jeres hjemmeside ikke GDPR-kompatibel, kan det resultere i bøder på op til 20 millioner euro. Hvad betyder EUs dataforordning for jeres hjemmeside, virksomhed og de data i indsamler?
Den 25. maj 2018 træder EU regulativet GDPR ( General Data Protection Regulation ) i kraft.
Hvad skal I som minimum gøre for at sikre, at I følger retningslinjerne? Er jeres hjemmeside allerede GDPR kompatibel? Hvad hvis du forsømmer at leve op til GDPR?
I denne artikel ser vi på de nødvendige forberedelser, så I er klar, når forordningen træder i kræft.
Vi har delt artiklen op i tre dele:
- Først gennemgår vi GDPR-retningslinjerne. Hvordan påvirker retningslinjerne jeres virksomhed og ageren online, og hvorfor du bør være godt forberedt på GDPR-overholdelse.
- Dernæst gennemgår vi de grundlæggende skridt i at sikre at en hjemmeside er i overensstemmelse med retningslinjerne.
- Endelig, da mange af vores kunder anvender Wordpress, kommer vi ind på konsekvenserne af brugen af plugins og eksterne værktøjer på din hjemmeside og hvad du skal være opmærksom på i forhold til GDPR.
GDPR har til formål at give EU’s borgere kontrol over deres personoplysninger og ændre tilgangen til personlig data og databeskyttelse for organisationer over hele verden.
GDPR strammer de eksisterende love væsentligt og er meget mere restriktiv end EUs “cookie lov”.
Hvad er GDPR?
Ansvarsfraskrivelse: Dette indlæg er ikke juridisk rådgivning. Vi er ikke advokater. Det er dit ansvar at sikre, at din online tilstedeværelse er i overensstemmelse med alle love og regler.
GDPR står for General Data Protection Regulation – eller generel databeskyttelsesforordning, og det er en ny databeskyttelseslovgivning i EU, som træder i kraft i maj 2018. Hvad mange ikke ved er at direktivet allerede er gennemført herhjemme ved lov nr. 410 af 27. april 2016, der trådte i kraft den 1. maj 2017. Du kan læse mere på Datatilsynets dedikerede hjemmeside til formålet.
GDPR har til formål at give EU’s borgere kontrol over deres personoplysninger og ændre tilgangen til personlig data og databeskyttelse for organisationer over hele verden.
GDPR strammer de eksisterende love væsentligt og er meget mere restriktiv end EUs “cookie lov”.
For eksempel skal brugerne aktivt bekræfte, at deres data kan indsamles. Der skal være en tydelig privatlivspolitik på hjemmesiden, der viser hvilke data der opbevares, hvordan de anvendes, og giver brugeren ret til at trække samtykket til brug af personlige data tilbage, hvis det ønskes.
GDPR-loven gælder for data indsamlet om EU-borgere lige meget hvor de indsamles i verden. Som følge heraf skal alle hjemmesider med EU-besøgende eller kunder fra EU overholde GDPR, hvilket stort set betyder at alle hjemmesider og virksomheder skal overholde reformen.
Hvis du vil forstå forordningen til bunds, kan du læse den offentliggjorte beskrivelse i EU Tidende, der definerer alle vilkår i relation til reformen.
Du kan også se HubSpots korte introduktion til GDPR herunder:
De to hovedelementer i GDPR
Der er to hovedaspekter i GDPR: “personlige data” og “behandling af personoplysninger.”
I relation til jeres hjemmeside berører det følgende:
- Personoplysninger vedrører "enhver information vedrørende en identificeret eller identificerbar fysisk person" - Dvs. navn, e-mail, adresse eller endda en IP-adresse.
- Behandling af personoplysninger refererer til "enhver handling eller processer, der udføres på personoplysninger". Det betyder at noget så simpelt som at lagre IP-adresser fra besøgende i en hjemmesides logfiler svarer til behandling af personoplysninger for en bruger.
Hvor alvorligt skal GDPR tages?
Det korte svar er at GDPR bør tages meget alvorligt. Bøden for manglende overholdelse kan være op til 4% af den årlige globale omsætning, dog højst € 20 mio. (ca. kr. 150 mio.). Der er selvfølgelig forskellige sanktioner i forhold til hvor grov en overtrædelse der er tale om, men EU har sat beløbet så højt for at sikre overholdelse af forordningen.
Tilsynsmyndighederne i hvert EU land vil have forskellige beføjelser, for at sikre overholdelse af reglerne.
De kan for eksempel:
- Gennemføre automatisk gennemgang af hjemmesider
- Udstede advarsler for manglende overholdelse
- Udstede korrigerende foranstaltninger og bøder, med fastsatte frister for overholdelse
Ifølge EU direktivet vil de lokale tilsynsmyndigheder have vide beføjelser til at håndhæve GDPR-retningslinjerne.
Og det lader til at GDPR allerede tages meget seriøst. PWC har gennemført en undersøgelse blandt 200 Direktører fra store amerikanske virksomheder for at vurdere deres syn på GDPR-retningslinjerne. Resultaterne viste, at et flertal af virksomhederne allerede arbejder på at overholde GDPR-retningslinjerne, og 76% af dem er klar til at investere mere end $1 mio. i GDPR-overholdelse.
Undersøgelsen viser, at hvis virksomhedens digitale tilstedeværelse i EU er vigtig for dens eksistens, så bør man tage alvorligt hensyn til GDPR.
Hvad skal der til for at overholde GDPR?
Så hvordan sikrer I, at jeres hjemmeside overholder GDPR?
I bør først starte med en sikkerhedsrevision af jeres hjemmeside for at få overblik over, hvordan data behandles og gemmes på servere og dermed få overblik over de trin, der skal til for at overholde GDPR .
Nogle af de typiske steder, hvor en hjemmeside indsamler brugerdata er:
- brugerregistreringer
- kommentarer
- kontaktformularer
- Analytics og trafikoplysninger
- overvågning af hjemmesiden
- sikkerhedsværktøjer og plugins

Fire vigtige aspekter I skal tage stilling til for at overholde GDPR
Når I har overblik er jeres dataindsamling, bør i opsætte processer og systemer i værk til at overholde de vigtigste elementer i GDPR.
1. Brud på data
Hvis jeres hjemmeside oplever et brud på nogen som helst form for indhold, skal dine brugere modtage en meddelelse om bruddet.
Ifølge forordningen kan brud på data medføre en risiko for enkeltpersoners rettigheder og frihedsrettigheder, og derfor kræver GDPR at brugerne rettidigt bliver informeret. Under GDPR skal en meddelelse sendes til brugerne indenfor 72 timer efter at I er blevet opmærksomme på et brud.
Det betyder, at hvis du opdager et brud på data, skal du underrette alle de personer, der er berørt af overtrædelsen inden for den angivne tidsramme.
Udtrykket “bruger” gør dog denne del af forordningen ret kompliceret at overholde. Det er nemlig ikke helt klart, hvad definitionen af en bruger er. Det kan både udgøre regelmæssige hjemmesidebrugere, kontaktformularbrugere og potentielt også personer der har efterladt en kommentar til et blogindlæg.
GDPR pålægger derfor jer som virksomhed et juridisk krav om at vurdere og overvåge sikkerheden på jeres hjemmeside.
Bestemmelsen opfordrer samtidig til at bruge de bedste sikkerhedsmetoder, der er tilgængelige for at sikre, at databrud ikke opstår.
Den ideelle måde er at overvåge webtrafik og webserver logfiler og modtage notifikationer ved uregelmæssigheder.
2. Indsamling, behandling og opbevaring af data
Der er tre elementer i dette: Ret til adgang, Ret til at blive glemt og Data Portabilitet.
- Ret til adgang skal give brugerne fuldstændig gennemsigtighed i databehandling og opbevaring - hvilke data indsamles, hvor bliver disse data behandlet og opbevaret, og hvorfor indsamles de. GDPR kræver også at brugere skal have en kopi af deres data uden omkostninger inden for 40 dage, hvis det kræves.
- Retten til at blive glemt giver brugerne mulighed for at slette personlige data og stoppe yderligere indsamling og behandling af data. Denne proces indebærer, at brugeren aktivt skal trække samtykke til, at deres personlige data skal anvendes tilbage.
- Dataportabilitetsklausulen i GDPR giver brugerne ret til at downloade deres personlige data, som de tidligere har givet samtykke til og videreoverfører disse data til en anden.
For at efterleve disse elementer er det nødvendigt at offentliggøre en detaljeret oversigt over hvilke personlige data i indsamler og hvordan de behandles og gemmes. Dernæst skal I sikre at I kan udtrække disse data, så brugerne kan få en kopi af deres data.
I mange tilfælde kan det være klogt at overveje om I helt kan undgå datalagring.
For eksempel, gemmer nogen kontaktformularer data på serveren. De bør i stedet indstilles til at videresende kommunikationen til en e-mail-adresse.
3. Brug af plugins - det er jeres ansvar at plugins overholder GDPR
Mange moderne CMS’er anvender plugins til at udvide funktionaliteten – herunder verdens mest populære CMS – Wordpress.
Som ejer af hjemmesiden er det jeres ansvar at sikre, at alle plugins kan eksportere, levere og slette brugerdata, som de har indsamlet i overensstemmelse med GDPR-reglerne.
Vi forventer dog at alle større aktører indenfor plugins har løsninger på plads inden maj, men I bør undersøge om I kunne have et plugin eller to fra en mindre udbyder, som måske ikke er opmærksom på dette.
4. Brug af værktøjer med integration til jeres hjemmeside
Udover plugins er det værd at nævne at værktøjer og services som ikke er hostet hos jer, men som anvendes på jeres hjemmeside også vil være påvirket af GDPR.
Et eksempel er e-mail marketing værktøjer såsom MailChimp. Langt de fleste nyhedsbrevsværktøjer er integreret på virksomhedens hjemmeside, så man kan opsamle abonnenter og sende nyhedsbreve og marketing e-mails baseret på en liste over e-mail-adresser.
Ifølge GDPR kræver det en eksplicit liste med brugerens samtykke. Det kan medføre problemer med at bevise samtykket på gamle nyhedsbrevslister, hvor man måske har opsamlet nogle manuelt på konferencer og andre har tilmeldt sig på hjemmesiden.
Derudover strammer GDPR reglerne for, hvordan du opnår samtykke. For eksempel vil et afkrydsningsfelt, der er valgt på forhånd, regnes som en overtrædelse.
Under GDPR skal alt, der er en del af din digitale tilstedeværelse som virksomhed, eksplicit indsamle samtykke og have en privatlivspolitik på plads.
Opsummering - sådan bliver I klar til GDPR
Her er en kort opsummering af hvad I skal vide for at sikre at jeres hjemmeside overholder GDPR:
- EUs GDPR-forordning er sat i verden for at sikre gennemsigtighed i håndteringen af data.
- GDPR forordningen træder i kraft i maj 2018
- Den gælder for alle hjemmesider der indsamler og behandler personlige oplysninger om EU-borgere (læs: stort set alle hjemmesider)
- Den giver brugeren fuld ret til at kontrollere hvordan deres personlige oplysninger anvendes
- EU har defineret processer for overvågning af overholdelse og har mulighed for at udskrive store bøder, for manglende overholdelse.
For at sikre at jeres hjemmeside er GDPR kompatibel, bør I:
- Gennemgå alle de forskellige måder, hvorpå I indsamler besøgsdata.
- Opsætte processer som sikrer, at brugerne kan få adgang til deres data.
- Overveje om I kan undgå at indsamle brugerdata, hvor det ikke er nødvendigt (for eksempel fra kontaktformularer).
- Gennemgå at de værktøjer og løsninger I anvender fra tredjepart, også overholder GDPR.
Har I brug for sparring og rådgivning i relation til GDPR er I velkommen til at kontakte os.