Når du får lavet hjemmeside, bør du sikre dig, at webproducenten har styr på EU’s databeskyttelsesforordning, der gælder fra 25. maj 2018.

Databeskyttelsesforordningen (i daglig tale kaldet GDPR) giver besøgende ret til at vide, hvilke data din hjemmeside samler, gemmer og måske videresender. Og det er ikke altid ligetil at gennemskue.

Moderne websites er nemlig ofte et sammensurium af funktionalitet, der kommer fra forskellige leverandører.

Mange af funktionerne koster hverken kroner, euro eller dollars. Prisen betales med data om websitets besøgende.

Det er derfor ikke ualmindeligt, at sådanne funktioner både samler og videresender data. Uden at ejer og besøgende måske er klar over det.

Det kan eksempelvis være funktioner som disse:

  • Kontaktformularer
  • Sikkerhed mod hackere
  • Statistik om besøgende
  • Webshop
  • Nyhedsbrevsystem
  • Bookingsystem
  • Backup
  • … og mange andre

Sådanne funktioner - plugins m.m. - er lavet af forskellige producenter. Såkaldte tredjepartsleverandører. Og det kan være amerikanske virksomheder, der ikke har pligt til at efterleve GDPR.

 

Tag en snak med webproducenten om EU og GDPR. Gør det før du laver aftale om at få bygget website. Tjek om vedkommende har styr på reglerne.

  • Den erfarne webproducent med den nødvendige viden om GDPR og funktioner, kan hjælpe dig på utallige måder.
  • Den uerfarne webproducent kan skabe problemer for både din business og dine besøgende.

Informerer du godt nok - og får du de nødvendige tilladelser?

Du skal som minimum sikre dig - hvis dit website samler personlige data - at besøgende bliver tilstrækkeligt informeret. Du skal endda kunne dokumentere, at du gør tingene på den lovlige måde. At dit website eksempelvis er bygget af funktioner, der lever op til databeskyttelsesforordningen krav.

Har du de nødvendige specialsider med information til brugerne

Åbenhed om hvad du gør - og tilladelse fra brugerne - er to af de vigtigste principper i GDPR.

Det kan kræve specialsider med information, der skal være præcis, korrekt, fyldestgørende.

Gør ikke noget ved andre, de ikke har givet dig tilladelse til.

Det er såre enkelt. Og rimeligt.

I visse tilfælde skal du have direkte tilladelse. Eksempelvis til at sende nyhedsbreve. Og du skal kunne dokumentere, at du har fået den.

Denne guide er ikke juridisk vedlejning. Det er generel information.
Der kan være masser af detaljer i din business, der afviger radikalt fra de eksempler, jeg her tager udgangspunkt i.

Vælg en webproducent og plugin, der er til at stole på

Din webproducent bruger - efter aftale med dig - forskellige leverandørers funktioner (plugins) til at give dit website de muligheder, du har brug for.

Det er langt fra alle plugins, der er gode, sikre og lovlige. Fremover kræver det erfaring og viden - om GDPR blandt andet - at vælge de plugins, der er lovlige.

Det er langt fra alle producenter af plugins der skal, vil eller kan overholde GDPR. Amerikanske producenter af plugins er ikke forpligtet til at efterleve kravene. Store og anerkendte producenter bestræber sig naturligvis på at gøre det - for ikke at miste deres mange EU-kunder.

Bruger du ulovlige eller usikre plugins, risikerer du at overtræde andre menneskers ret til privatliv. Uden at vide det. Måske endda i et omfang, der vil overraske både dig og besøgende på dit website.

Det er ikke ligetil at leve op til GDPR. Der er mange faldgrupper. Mere om dem om lidt. Først lidt om loven og dens hensigt.

Det er dine og mine personlige oplysninger, der skal sikres

GDPR er vedtaget for at give os alle mere kontrol over, hvilke data der indsamles om os. Hvordan data bruges. Af hvem de bruges. Samt give os ret til at se, rette eller slette de informationer andre har om os.

Det bør vi alle kunne bifalde.

Der er tre områder, der er særligt vigtige at have styr på:

  • Hvilke informationer samler og gemmer du - eksempelvis til kommunikation med brugerne, til markedsføring, til at levere service, varer eller andre ydelser
  • Hvordan informerer du brugerne om dataindsamling - og giver dem kontrol over, hvad der indsamles, lagres og bruges af data om dem
  • Hvordan skaffer du de nødvendige tilladelser fra brugerne til at indsamle, lagre og bruge data

For at have styr på sådanne detaljer, skal du have styr på både din egen og webproducentens rolle og ansvar. Og på åde funktioner, dit website bygges af.

  • Hvem af jer er dataansvarlig for behandling af personoplysninger
  • Hvem er udelukkende databehandler og behandler personoplysning på den dataansvarliges vegne og efter dennes instruks
  • Måske er din webproducent hverken dataansvarlig eller databehandler - og så har du selv hele ansvaret

Hvis du er dataansvarlig og samarbejder med databehandlere, bør du have en skriftlig databehandleraftale.

Mere om dataansvarlige, databehandlere og kontrakter senere.

Hvilke persondata samler, lagrer og bruger du via website og mail

Først og fremmest skal du have styr på, om dit website indsamler, lagrer og bruger personlige data. Måske endda ligefrem personfølsomme data.

Dit website samler måske data i det skjulte - og deler måske med andre. Eksempelvis med producenten af et plugin.

  • Du skal derfor ikke kun have styr på, hvad du selv - aktivt og bevidst - samler af information.
  • Du skal også vide, om dit website har funktioner, der (måske i det skjulte?) indsamler, lagrer og udnytter information om de besøgende.

Du kan ikke fraskrive dig ansvaret for indsamling ved at sige, at du ikke var klar over, at dit website indsamler, lagrer og måske ligefrem videresender information.

Gratis software overvåger besøgende på dit website

Du skal vide, at det langt fra er usandsynligt, at der samles masser af data om dem, der besøger dit website. Også af andre end dig selv.

Mange mindre virksomheder bruger gratis software til deres hjemmeside. Eksempelvis plugins med forskellige smarte muligheder. Og de samler meget ofte data, der endda sendes videre til andre.

Du får konkrete eksempler om lidt.

Du installerer kort sagt en service eller funktion på dit website - og får gratis adgang til en smart funktion.

Til gengæld bliver data om dine brugere samlet, lagret og brugt til forskellige kommercielle eller politiske formål. Det er ofte prisen for at bruge den gratis service.

Facebook og Google samler data i stor stil

Installerer webproducenten eksempelvis en såkaldt Facebook-pixel, kan den levere data, der kan bruges til at målrette annoncer til brugere med bestemte interesser. Den teknik bliver flittigt brugt i valgkampe, men også til at sælge helt almindelige varer og ydelser.

Det er ikke forbudt at bruge Facebook pixel til at tracke brugernes færden. Der er heller ikke nødvendigvis noget forkert eller problematisk ved at gøre det!

Selv for brugerne er der fordele ved Facebook pixels. Vi bliver eksempelvis i mindre grad udsat for annoncer, der slet ikke interesserer os.
Jeg kan eksempelvis slippe for annoncer om udstyr til havearbejde, jagt og hulmursisolering. Fordi jeg yderst sjældent surfer på sider om sådanne emner.

Til gengæld ser jeg masser af annoncer for restauranter, biograffilm, nye bøger….. fordi det er emner, jeg næsten dagligt googler efter.

Det er altså ikke (nøddvendigvis problematisk eller bekymrende) at bruge Google Analytics og Facebook Pixels til at samle data om besøgendes vaner.

Efter 25. maj 2018 er der masser af data, du kun må samle, gemme og bruge, hvis du informerer brugerne - og får accept til at gøre det.

Bruger websites Google Analytics til at holder øje med trafikken til et website, bliver der også indsamlet masser af data om brugerne.

Facebook og Google er velkendte eksempler.
Men det er absolut ikke de eneste!

Hvilke informationer samler dit website

Her er nogle få eksempler på, hvordan og/eller hvornår et helt almindeligt website indsamler og lagrer data om besøgende.

  • Statistik-programmer holder øje med brugen af websitet
  • Besøgende tilmelder sig nyhedsbrev
  • Personer oprettes som brugere på websitet
  • Besøgende kommenterer
  • Besøgende udfylder en formular
  • Besøgende køber en vare eller ydelse
  • Der laves og lagres backup af websitet
  • Sikkerhedsprogrammer tjekker besøgende

Den viden, der indsamles af sådanne funktioner, bliver meget ofte lagret.

I mange tilfælde bliver den også delt med andre end hjemmesidens ejer.

Og måske er der langt fra styr på, om data opbevares sikkert?

  • Det er den dataansvarlige, der skal have styr på, hvad der indsamles, lagres og bruges af data.
  • Overlades ansvaret helt eller delvist til en databehandler, er det klogt at have en skriftlige aftale.

 

Du og webproducenten skal have styr på love og funktioner

Har du - og din webproducent - ikke styr på persondataloven og de forskellige funktioner, der installeres på dit website, kan det gå galt på utallige måder.

Her er det ikke mindst vigtigt at huske på, at mange af de funktioner (plugins) der knyttes til et website, er produceret af virksomheder uden for EU.

Funktionerne kan derfor sagtens kan være lovlige i producentens hjemland - uden at leve op til GDPR.

I praksis er det meget svært at for mindre virksomheder at komme udenom at bruge såkaldte tredjepartssystemer - Google, Facebook, MailChimp eller andre systemer til nyhedsbreve, diverse plugins….

Skal du lave databehandleraftale med webproducenten?

Er du virksomhed med egen hjemmeside, er du selv ansvarlig for, at dit website lever op til lovens krav. Du er den såkaldt dataansvarlige.

Der er stor forskel på de to roller.

Det er den dataansvarlige, der har det juridiske ansvar for at overholde persondataforordningen. Den dataansvarlige skal kunne dokumentere, at behandlingen af personoplysninger ikke overtræder GDPR.

Herunder at indsamlede persondata opbevares sikkert.

Bruger du en anden virksomhed (eksempelvis en webproducent, webhotel etc.) til at behandle personoplysninger på dine vegne, er virksomheden databehandler. I givet fald bør du have en skriftlig aftale med virksomheden.

Ofte indgår du en skriftlig aftale, når du eksempelvis henter og installerer kode på dit website.

Du indgår eksempelvis en aftale med Google, når og hvis du vælger at bruge Google Analytics på dit website.

Og selvom du som dataansvarlig har pligt til at holde opsyn med dem, der behandler data på dine vegne, er det naturligvis ikke i praktisk muligt for en lille soloselvstændig at holde opsyn med Google, Facebook og andre store aktører.

Du må i mange tilfælde bare stole på, at de lever op til kravene i GDPR.
Det mindste du kan gøre er at have en aftale at henvise til. Eksempelvis den aftale Google forlanger du indgår, når du bruger deres service.

Det er derfor heller ikke uden betydning, om det er dig selv eller din webproducent, der indgår aftalen med Google!
Hvis DU er den ansvarlige, er det også dig, der skal have indgået aftalen.

Er det eksempelvis dig eller din webproducent, der har adgang til data om dine besøgende og dine kunder.

Du bør, som dataansvarling, kunne dokumentere, at DU har indgået en aftale med eksempelvis Google, Facebook. Overlad det ikke til webproducenten!

Samler du personfølsomme informationer via formularer og/eller via mail?

Er du psykolog, læge eller behandler og får som sådan personfølsomme informationer via mail, bør du naturligvis ikke give hvem som helst adgang til dine mail. Heller ikke din webproducent!

Du bør heller ikke opbevare personfølsomme informationer i et måske usikkert mailsystem.

Du skal vide, om det ene og alene er dig, der har adgang til de data du indsamle indsamler om dine brugere? Via dit website og når du kommunikerer med dem.

Hvem vælger eksterne leverandører

Når du bruger såkaldte tredjepartsleverandører - webhotel, Google, Facebook og andre - er det så dig eller webproducenten, der vælger?

Er det dig eller webproducenten, der opretter og indgår aftalen - måske endda i webproducentens eget navn? Gøres det sådan, vil webproducenten blive dataansvarlig. Ikke eneansvarlig, dog. Du har stadig et ansvar.

Det er ret vigtigt, at du har styr på, om du er dataansvarlig og/eller databehandler. Og helt enkelt er det ikke.

Det er eksempelvis endnu ikke klokkeklart, om producenten af et plugin er databehandler i lovens forstand. Det er de nogle gange.

  • Bruger du WordPress - installeret på et webhotel - til at behandle persondata, er det dig, der er både dataansvarlig og databehandler.
  • Bruger du MailChimp til at sende nyhedsbreve, er du dataansvarlig, mens MailChimp er databehandler. MC samler, gemmer og behandler persondata på deres server.
  • Har du en webproducent til at hjælpe dig med at opsætte WordPress og MailChimp, er vedkommende ofte kun håndværker og altså hverken dataansvarlig eller databehandler.

Det kræver en del viden at have styr på, hvem der har ansvar for hvad. Og hvem du skal sikre dig databehandleraftaler med.

Hvis du og webproducenten ikke er sikre på lovens krav og på hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der risiko for, at ingen af jer gør det krævede og nødvendige.

Datatilsynets vejledning om dataansvarlige og databehandlere (PDF)

Er din webproducent dataansvarlig eller databehandler?

Det kommer helt og aldeles an på jeres aftale.

Du kan, som ejer af websites, ikke fraskrive dig dit ansvar som dataansvarlig.
Men din webproducent kan i visse tilfælde være medansvarlig.

  • Overlader du det til webproducenten at bestemme, hvilke persondata der skal indsamles - hvordan de skal behandles og opbevares - så er webproducenten formodentlig også dataansvarlig i lovens forstand.
  • Arbejder webproducenten efter dine beslutninger, er vedkommende ofte kun databehandler. Og nogle gange ikke engang det.

Det mest sikre er at vælge en webproducent, der har professionel erfaring med de funktioner, der kobles på dit website.

Så er du så sikker som muligt på, at der vælges sikre plugins og pålidelige leverandører af funktioner.

Webproducenten kan hjælpe dig med at sikre, at alle anvendte funktioner lever op til kravene i GDPR - at de er compliant med GDPR.

Professionelle webproducenter har (forhåbentlig!) sat sig ind i, hvad persondataloven kræver af den hjemmeside, de laver for andre. De kan derfor hjælpe dig med at vælge de mest sikre og mest pålidelige funktioner til dit website.

Har du styr på de informationer, du lægger på dit website

Du skal også være opmærksom på de data du eventuel lægger på dit website om andre mennesker - personale, kunder, samarbejdspartnere etc.
Eksempelvis:

  • Data du lægger på dit website - eksempelvis om medarbejdere, kunder/klienter - skal overholde en række krav. Det kan være portrætfotos, emailadresse, telefonnummer, personlige informationer etc.
  • Informationer, der samles af funktioner på websitet skal overholde en række krav. Eksempelvis hvis du samler statistiske oplysninger eller information via webshop, quiz, spørgeskemaer, online kurser, test…

Webproducenten - og hjemmesidens ejer - skal have styr på en adskillige detaljer, der reguleres af den nye lov:

  • Indsamler hjemmesiden data om brugerne - og bliver brugerne informeret tiltrækkeligt?
  • Bruger hjemmesiden udelukkende funktioner, der lever op på til lovmæssige krav?
  • Bliver indsamlede data videresendt til tredjepart - eksempelvis Google, Facebook eller andre?
  • Hvem får adgang til indsamlede data udover hjemmesidens ejer?
  • Bliver der taget backup af persondata - og bliver backup i givet fald lagret i overensstemmelse med persondataloven?

Det er langt fra usandsynligt, at din hjemmeside bliver brugt aktivt til at:

  • samle data til andre virksomheder
  • udnytte data til politiske eller kommercielle formål
  • bruge indsamlede data til markedsføring eller udvikling af produkter/ydelser

Det er med andre meget lidt sandsynligt, at dit website er helt fri for funktionalitet, der forpligter dig til at leve op til persondatalovens nye krav.

Website og funktioner skal, som det kaldes, være GDPR compliant.

Informerer du brugerne - godt nok

Du skal sikre, at websitet har de nødvendige sider med information til brugerne.

Det kræver ofte specialsider med detaljeret information om, hvilke data du indsamler og hvordan de bruges.

Det kan være fornuftige at oprette følgende specialsider med udgangspunkt i det krav GDPR stiller

  • Privatlivspolitik
  • Cookies
  • Nyhedsbrev
  • Aftaler/vilkår

Afhængig af hvilke funktioner der er på din hjemmeside og hvike informationer du samler, kan du på de nævnte sider eksempelvis informere om besøgende om:

  • hvilke informationer samler dit website
  • hvem har adgang til informationerne
  • hvordan bliver informationerne brugt
  • hvor længe bliver personlige data gemt
  • hvordan kan folk få rettet eller slettet data

 

Hvad ved Google om besøgende på dit website

Kobler du eksempelvis Google Analytics til dit website - og det gør mange - bliver der samlet detaljerede informationer om besøgendes færden på websitet:

  • Hvor i verden befinder brugeren sig.
  • Hvilken maskine/skærm anvender brugeren.
  • Hvilker sider ser brugeren
  • Hvor længe de bliver brugeren på de enkelte sider.
  • Hvilke link klikker brugeren på.

Disse data bliver sendt til Google.

Har du en Google konto - eksempelvis en Gmail - og surfer du på nettet, mens du er logget ind på din Google konto, får Google adgang til særdeles omfattende og følsomme informationer om dig.

Mange af de informationer dit website samler og videregiver til andre er måske ikke i sig selv særligt personfølsomme. Men det bliver de nemt, når de kobles sammen med andre informationer.

Pas på de gratis funktioner på dit website

Hjemmesider bygges ofte ved at bruge såkaldte tredjepartsfunktioner, der samler forskellige data. Ofte langt flere data, end du har brug for. Måske også flere, end du lige opdager.

Funktionerne giver hjemmesidens ejer nogle smarte muligheder helt gratis.
Til gengæld får producenten bag funktionen adgang til detaljerede informationer om dem, der bruger hjemmesiden.

Vil du overholde gældende lovgivning, kan du blive nødt til at opgive de gratis funktioner og vælge betalte funktioner i stedet. De gratis betaler du nemlig ofte for med kostbar data om dine besøgende.

Vil du have funktionalitet uden at betale med information om dine besøgende, kan du være nødt til betale med kroner eller dollars for at få funktionaliteten uden at udlevere data.

Der er mange penge i data om dine brugere

De informationer, der kan indsamles via et website kan være mange penge værd for den, der har en direkte pipeline til de indsamlede data. Data kan ofte sælges for milliarder!

De kan eksempelvis brugs til at målrette politiske annoncer, der kan afgøre valgkampe.

 

Arbejder du med persondata

Forskellige brancher skal leve op til meget forskellige krav. Og din webproducent kender ikke nødvendigvis specifikke krav i alle brancher.

Selvom du hyrer en dygtig webproducent med viden om persondataloven og de funktioner vedkommende bruger på dit website, er det ikke altid nok.

Din branche har måske helt særlige og specifikke krav, der også skal opfyldes.

En psykolog, læge, terapeut, behandler etc. får eksempelvis ofte personfølsomme data om sine kunder, som en journalist, foredragsholder, underviser, arkitekt etc. aldrig kommer i nærheden af.

Webproducenten kan hjælpe med at give dig nogle praktiske muligheder og information om at bruge dem. Men du skal sikre dig, at du efterfølgende bruger funktionerne lovligt.

Og selvom du bør stille krav til webproducentens viden om GDPR, kan du ikke forvente, at vedkommende har styr på juridiske detaljer og spidsfindigheder.

Arbejder du med personfølsomme data

Som udgangspunkt bør du altid få egentlig juridiske vejledning af en ekspert med viden om dit fagområde. Særligt hvis du arbejder med personfølsomme data - eksempelvis hvis du får viden om folks helbred, privatliv, økonomi, religion, politiske overbevisning etc.

Er du eksempelvis psykolog, læge, sexolog, terapeut eller lignende? Så får du personfølsomme informationer om dine kunder, som kun du har viden om.

Har du et website, en nyhedsbrevsliste eller andre data om personer - etableret før GDPR - er det i øvrigt vigtigt at tjekke, om det lever op til kravene.

GDPR gælder nemlig ikke kun fremadrettet! Den gælder også for data, du har samlet før maj 2018.

Hvem i EU holder øje med DIT og MIT website

Tænker du nu, at…. der sidder næppe nogen embedsmand eller embedskvinde i EU og holder øje med, om lige netop du overholder loven?

Du har uden tvivl ret.

Der er større risiko for, at en utilfreds kunde eller misundelig konkurrent udpeger huller i din sikkerhed. End at en EU-bureaukrat vifter dig om næsten med en løftet pegefinger.

Det vigtigste er ikke loven. Det er hensynet til dine brugere og kunder. Og dit image.

Det kan hurtigt bliver en vigtig konkurrenceparameter for din business at tydeliggøre, at du tager hensyn til andres data og privatliv.