EUs persondatalov, bedre kendt som GDPR, træder i kræft den 25. maj. Der er blevet raslet med sablerne og varslet bøder på flere millioner euro eller op til 4% af den globale omsætning. Selvom man måske ikke skal tro, at man får bøder i den absolutte top, så skal reglerne selvfølgelig overholdes. Både for din og dine besøgendes skyld. Nedenfor giver vi et overblik over, hvilke konkrete tiltag du skal lave på din side og hvad du skal have i orden. Vi udvider løbende indlægget med nye informationer, så det kan være en god ide at tjekke tilbage senere.

 

Det store overblik over GDPR

Det store overblik kan være svært at danne sig. GDPR er intet mindre end en jungle. Formuleringerne er visse steder så åbne, at det kan være svært at gennemskue, hvordan de skal overholdes. Et eksempel herpå er, at du ikke må beholde en brugers data længere end du har brug for den. Spørger du datatilsynet, hvor længe det er, så er svaret, at det skal du selv definere. Der er dog en hel del ting, som vi ved, at du skal gøre, og du bør få disse ting på plads for din og dine besøgendes skyld. Mange ser GDPR som en sur pligt, men det bør snarere ses som en pligt, der kan bringe noget positivt med sig. Du får styr på din og dine besøgendes data. Du får det overblik, som du måske aldrig har haft.

 

Hos Pandi Web vil vi altid bestræbe os på at udvikle løsninger, som overholder den nye lovgivning.

 

Placering af data

Placering af data er et af de væsentlige punkter i GDPR-lovgivningen. Det er lovligt at placere data i andre EU-lande, der overholder en vis sikkerhedsstandard. Hos Pandi Web hoster vi vores kunder hos Curanet (Danmark) og Hetzner (Tyskland), som begge befinder sig indenfor EU. Du kan finde deres sikkerhedsbeskrivelse henholdsvis her (Curanet) og her (Hetzner). Er du i tvivl om, hvilken af de to udbydere du er hos via Pandi Web, kan du kontakte os og få svar.

 

Overfører du data til lande udenfor EU, eksempelvis USA, skal du have en såkaldt datakontrakt med denne udbyder. Mailchimp er eksempelvis en udbyder i USA, som gør sig gældende for rigtig mange websites i Danmark og EU generelt. Mailchimps datakontrakt kan findes her.

 

Husk dine medarbejdere

Dataloven gælder også behandling af dine medarbejderes data. Derfor er det vigtigt, at disse også er beskyttet.

 

Brugers samtykke til datahåndtering

En af de største opgaver i den nye datalovgivning er, at du skal informere din bruger og giver dem valget i langt højere grad end tidligere. Hvor en generel cookieboks blot informerer om, at en side bruger cookies, skal du nu give en bruger mulighed for at sige nej og vælge, hvilke cookies der må aktiveres. Du må ikke sætte en cookie før dette er gjort. Dertil skal have følgende på plads:

 

  • Hvilken information gemmer du om brugeren?
  • Hvor lang tid gemmer du informationen?
  • Informer om, at brugeren har ret til at ændre, slette eller få udleveret dataen du har gemt om vedkommende.
  • Informer om, hvordan brugeren kan få ændret, slettet eller udleveret data.
  • Informere om, at brugeren til enhver tid kan tilbagekalde sit samtykke, og hvordan dette gøres.
  • Informere om, hvordan og hvor brugeren kan stille spørgsmål til ovenstående.

 

Data Protection Officer (DPO)

I visse tilfælde skal din virksomhed udpege en såkaldt Data Protection Officer. Denne del af lovgivningen gælder kun virksomheder, der falder i én eller flere af tre scenarier. Vedkommende er ansvarlig for, at din virksomhed overholder reglerne. Du kan se disse scenarier her.

 

Dataoverførsel

Din bruger har retten til at få overført al data i et maskinlæsbart format (eksempelvis txt eller excel) hvis du f.eks. gemmer kundedata på dem. Dette kan gøres manuelt, eller der kan udvikles en eksportfunktion på din side. Dette vil spare tid for både dig og kunden.

 

Dataoverførsel mellem dine systemer skal ligeledes være sikre. Det betyder altså, at data der overføres mellem systemer skal krypteres. Dette kan eksempelvis sikres ved at benytte SSL og sikre at alle systemer du bruger benytter dette. Alle sider, som er hostet hos Pandi Web har gratis SSL-certifikat inkluderet.

 

Sletning af data

Din bruger har ret til at blive glemt. Dette betyder i praksis, at de skal kunne slettes fuldt fra dine systemer. Det er derfor vigtigt enten at få tilføjet en slet-bruger knap, der gør dette, eller få lagt en procedure for at slette brugere der ønsker det

 

Data breach

Hvis det sker, at du oplever et brud på din data har du pligt til at oplyse Datatilsynet indenfor 72 timer efter du finder ud af dette. Dette gælder eksempelvis hvis du opdager, at information er blevet stjålet af en tredjepart. Dette gælder også, hvis du eksempelvis bruger Mailchimp og Mailchimp har et databrud. Skulle det ske, at Pandi Web oplever et databrud vil du som kunde blive informeret straks vi opdager det så du kan overholde de gældende regler.

 

Dokumentation

Du har pligt til at udarbejde dokumentation for, at du behandler data korrekt og overholder den gældende lovgivning.

 

Tjekliste til dig

  1. Få overblik over din data
  2. Dokumentation af, hvilken data du behandler, hvordan og hvor lang tid du opbevarer den
  3. GDPR-boks, hvor besøgende kan deaktivere cookies
  4. Udpegning af DPO (hvis relevant)
  5. Procesbeskrivelse af, hvordan du vil handle i tilfælde af et databrud
  6. Datakontrakt med udbydere udenfor EU (eksempelvis Mailchimp)

 

Ressourcer

Nedenfor finder du en liste over ting, som kan være behjælpelig når du skal igang med processen.

Skabelon til databehandlingsaftale (Datatilsynet)

Mailchimps databehandlingsaftale (Mailchimp)

Vejledninger til overholdelse af persondataloven (Datatilsynet)

Skabelon til cookiedokument

Cookiebot (Se hvilke cookies din side bruger – Pandi Web kan også hjælpe dig med dette)

Persondataloven

Datatilsynets generelle vejledning