+46(0)707275127 info@west-tech.se

GDPR – Överskådlig förklaring till det nya lagkravet

Nästan ingen har väl undgått att den nya dataskyddsförordning (GDPR) trädde i kraft 25’e maj 2018. I korthet innebär den skärpta krav på behandlingen av personuppgifter vilket kommer innebära ökat skydd för privatpersoner, men även ställa högre krav på er som företag vid hantering av era kunders personuppgifter.

Insamling av personuppgifter sker kontinuerligt och oundvikligt för i princip alla verksamheter. Många har nu lagt ner mycket tid och resurser på att anpassa sig till GDPR. Men det finns även en stor majoritet som har haft fullt upp med att bedriva sina företag och således inte haft tid att sätta sig in i vad GDPR är och hur det faller in i förhållande till dess verksamhet.

Det är viktigt att säkerställa att ni kan fortsätta samla information och kontaktuppgifter inom ramen för vad som tillåts. Och det är nu med de nya reglerna avgörande att de personer ni kommer i kontakt med samtycker till att ni lagrar deras personuppgifter. Jag har kontaktat en advokatbyrå för att korrekt kunna informera mina kunder om GDPR. Här har jag valt att förtydliga och överskådligt sammanställa vad som gäller och vad ni bör göra för att följa lagkravet.

Vad ni som hemsideägare behöver tillämpa på er webbplats för att uppfylla de nya kraven enligt Dataskyddsförordningen:

Manuell genomgång – Data Audit
Gå igenom och granska er webbplats. Ett tips är att lista alla datahanterande system som används och markera dessa med 1 eller 3 beroende på om de är förstahands- eller tredjehandshanterare. För alla tredjehandshanterare, undersök om de följer GDPR. De som inte gör det måste bytas ut. Gäller alla system som Analytics, Dibs, Klarna, Mailchimp, Live-chat osv.

När en datahanterare avslutas och ersätts, be om en kopia på all data som har samlats in hittills och begär sedan att leverantören raderar all denna data hos sig. Datahanterare i förstahand, t.ex. webbplatsens egna databas, kan spara information i onödan som till exempel data från ifyllda formulär och liknande. Bäst är att på en gång tömma alla dessa databaser om inte datan måste sparas till varje pris. Försök konfiguera webbplatsens inställningar så data inte sparas om det inte behövs, alternativt att databasen töms regelbundet.

Amerikanska tjänster (Google, Mailchimp, Salesforce m.fl) bör också följa Privacy Shield riktlinjerna som reglerar på vilket sätt personliga data ska flöda mellan USA och Europa. Detta är ett annat kapitel och berör främst er som bedriver e-handel där webbplatsen är öppen för amerikanska besökare. Läs mer på https://www.privacyshield.gov

SSL-certifikat – Krypterad bevisad säker anslutning
SSL är nödvändigt för att uppfylla de nya reglerna enligt GDPR. Er hemsidas webbadress ska alltså börja med https://, inte endast http:// och då indikeras detta i de flesta webbläsare med ett grönt nyckellås i adressfältets början. De flesta av mina kunder har idag redan ett certifikat men ni som ligger utanför serviceavtalet bör dubbelkolla. Ett SSL-certifikat upprättar ni hos ert webbhotell och det finns ofta flera olika att välja på i olika prisklasser. De flesta webbhotellsleverantörerna erbjuder idag även gratis SSL till sina kunder. Skillnaden mellan ett gratis certifikat och ett som kostar per månad eller år är obetydlig sett till säkerhet eller funktion då det endast är utfärdaren och namnet som skiljer. Vid aktivering krävs det att hela hemsidan och WordPress-installationen pekas om från http till https vilket jag hjälper er med om ni önskar. Det tar mig vanligtvis 2-3h och inkluderar ett utökat funktions- och prestandatest för att säkerställa att både ert certifikat och er webbplats fungerar felfritt. Inga löpande kostnader tillkommer vid gratis SSL.

Integritetspolicy / Personuppgiftspolicy – Privacy Policy
Upprätta eller uppdatera er webbplats dedikerade undersida som beskriver er integritetspolicy (Privacy Policy). Även kallat personuppgiftspolicy. Detta är en av de absolut viktigaste delarna ni bör se till för att uppfylla det nya lagkravet. Denna sida ni besöker nu är ett exempel på en dedikerad undersida för sekretessinformation. Och det behöver inte vara mycket mer information än den i sektionen i grått ovan. Där berättar ni hur och varför användardata samlas in, erbjud en kopia/nedladdningsbar version av policyn och berätta att det går att få sin data raderad enligt GDPR. Denna sekretessinfo eller privacy policy måste även skrivas på ett enkelt språk som majoriteten kan förstå utan juridiska förkunskaper. Likaså måste det synligt redovisas för den senaste uppdateringen av integritetspolicyn vid informationen.

Visa information om integritetspolicy & kakor(cookies) samt möjligheten att neka villkoren för kakor – User Compliance
Villkor för cookies, information om integritetspolicy och användandet av webbplatsen måste synas direkt på webbplatsen, t.ex. i en så kallad cookie-bar som ni ser eller såg fastklistrad längst ned i er webbläsare när ni anlände till denna hemsidan. Valet att acceptera eller neka gäller endast hanteringen av kakor, men ni måste också tydligt hänvisa till er dedikerade undersida med informationen om er integritetspolicy. En traditionell cookie-bar och en så kallad ‘soft compliance’ (information i stil med att om du fortsätter på webbplatsen så accepterar du automatiskt villkoren) räcker inte längre. Det måste numera finnas två val, att acceptera eller att inte acceptera(neka). Cookie-baren eller motsvarande plats för acceptansval måste vara synlig i samtliga webbläsare.

Att använda hemsidan utan cookies
Det är även bra om hemsidan kan användas utan cookies, men då räcker det med att vara tydlig med att viss funktionalitet uteblir (funktionalitet som samlar eller hanterar personliga uppgifter ska då ej vara tillgänglig). Denna information tas med på er undersida som presenterar er integritetspolicy.

Dataskyddsombud – Data Protection Officer (DPO)
Webbplatsägaren (kunden, uppdragsgivare) ska ha en medarbetare som är utsedd till Dataskyddsombud, (eng. DPO) med ansvar att hantera GDPR frågor och säkerställa att riktlinjerna efterlevs. Kontaktuppgifter till dataskyddsombudet ska finnas på webbplatsen, exempelvis på kontaktsida och på sida med integritetspolicyn.

Handlingsplan för överträdelser
Det måste finnas en fördefinierad handlingsplan för att upptäcka, rapportera och undersöka överträdelser vid hantering av användardata, s.k. data breaches. Planen ska vara upprättad i huvudsak av webbplatsägaren, men det är bra om jag som er personliga support känner till den också för att kunna vara behjälplig. Om allvarlig överträdelse skett då individers rättigheter riskerar att ha komprometterats skall detta anmälas. Datainspektionen har en bra förteckning om vart man vänder sig i olika fall: https://www.datainspektionen.se/om-oss/det-har-gor-vi-inte/
Är risken allvarlig kan de drabbade individerna behöva informeras också. Att inte göra anmälan kan medföra böter i sig, utöver eventuella böter för att inte ha uppfyllt GDPR som beskrivits i ovan texter.

Kontaktformulär
För varje kontaktformulär ni eventuellt har på er webbplats behöver ni nu tillämpa funktionen att besökaren aktivt medger att den godkänner/accepterar er integritetspolicy/personuppgiftspolicy.

Nyhetsbrev
För er kunder som använder er av nyhetsbrev så måste dem ha länk till förklaring gällande vilken information du sparar och hur den hanteras. Inga formulär får ha redan ikryssade rutor för att samtidigt ta emot nyhetsbrev. Finns flera nyhetsbrev måste vart och ett få en egen checkbox för godkännande (det räcker inte att inhämta ett enda okej för flera olika nyhetsbrev och typer av utskick). Varje nyhetsbrev måste innehålla tydlig avanmälningar(Unsubscribe), avsändarinformation och kontaktinformation.

Pseudonymisation – Pseydonymity
Pseudonymity eller pseudonymisation innebär anonymisering av personuppgifter och kopplad data, något som ert CMS helst ska stödja framöver. Samtliga kunder inom serviceavtalet hos West-Tech har CMS som stödjer detta och kan förbise denna punkt. Det är för er resterande kunder en högre nivå att nå inom GDPR och bör med fördel planeras för redan nu. Användare ska kunna identifieras endast med ett användarnamn och övrig insamlad data ska vara krypterad så det inte finns någon möjlighet att göra en koppling mellan en användare och sparad information.

Sammanfattning
Säkerställ att du kan följa rättigheterna
GDPR kommer innebära förbättrade rättigheter för dina kunder. För ett mindre företag är “rätten att bli informerad”, “rätten till tillgång” och “rätten till radering” de viktigaste att hålla koll på. Procedurer för att radera eller förse individer med all personlig data måste tillämpas den 25:e maj 2018 men det är självfallet bättre sent än aldrig.

Kartlägg befintlig data
Organisera och dokumentera den kunddata ditt företag samlar in och lagrar. Var kom datan ifrån? Hur samlades den in? Vad används den till? Vem delar ni informationen med? Detta är exempel på frågeställningar ni behöver kunna svara på.

Se över ert företags sekretesspolicy
Efter GDPR’s införande kommer företag behöva förklara hur de bearbetar data i sin sekretesspolicy. Denna ska även innehålla information om hur länge datan lagras och vilka rättigheter individen har att motsätta sig och kommentera denna hantering.

Säkerställ samtycke
Se över hur ni samlar in samtycke för datahantering av individer. När GDPR införs måste samtycke till lagring av personlig data vara ett aktivt, frivilligt val, det ska också tydligt framgå vad individen samtycker till och vilken data som sparas om hen. Samtycket ska registreras så att det kan bevisas senare av företaget.

Spåra dataintrång
Se till att det finns procedurer för att upptäcka, undersöka och rapportera potentiella dataintrång i era databaser och på er webbplats.

Informera hela företaget
Hela företaget, inte bara du, bör ges generella kunskaper om GDPR och vilka förändringar införandet innebär. Företag som brukar datainsamling och datahantering om privatpersoner kommer att behöva utse en formell DPO, Data Protection Officer. DPO:n kommer att ha det yttersta ansvaret för att GDPR följs i företaget. Det skadar så klart inte att utse en informell DPO även för företag som endast hanterar företagsuppgifter.

Undvik dyra böter
Straffskalan vid överträdelse eller brott mot den nya lagen kommer även att förändras. Ett företag som bryter mot GDPR kan bötfällas med 4 procent av organisationens årliga omsättning eller upp till tjugo miljoner euro. Ovan nämnda straff är maxsatser och är avsedda för de grövsta formerna av övertramp men en ny, skärpt straffskala ska implementeras tillsammans med GDPR även för mindre överträdelser.

Vad är den största skillnaden med den nya GDPR lagen?
I och med GDPR får organisationer och verksamheter som har ett personuppgiftsansvar en utökad skyldighet att informera om hur och varför en persons uppgifter behandlas. Sanktionsavgifterna i GDPR är också betydligt högre än det tidigare varit i Personuppgiftslagen (PUL). Ett företag som bryter mot GDPR kan bötfällas med upp till 4 procent av verksamhetens årliga omsättning beroende på överträdelsens grad.
Vad är en personuppgift?
En personuppgift är varje upplysning som direkt eller indirekt kan identifiera en fysisk person, till exempel namn, ett personnummer, en adress eller en profil i sociala medier. Man måste tänka brett eftersom det inte endast rör text utan även bild och ljud. Samt att det även innefattar när personen i fråga aktivt valt att ge verksamhetens dess personuppgifter genom att kontakta verksamheten via hemsidans formulär, via ett e-postmeddelande, under ett telefonsamtal, under ett möte och så vidare.
Vad menas med ett samtycke?
Ett samtycke utgör en av de lagliga grunderna för att få behandla personuppgifter. GDPR fastslår att samtycket ska vara frivilligt och lättbegripligt för personen i fråga samt att det skall vara begränsat kring vad som skall samlas in. Vissa verksamheter kan behöva se över hur de utformat sina samtycken i samband med övergången till GDPR, speciellt i deras digitala plattformar och på deras webbplatser.
Hur kommer man som privatperson uppleva skillnad?
Det återstår att se. Enligt vår bedömning kommer en implementering av GDPR i en organisation vara förknippat med en kvalitetsstämpel. Det innebär att organisationer som är skickliga på att hantera GDPR kommer att få ett högre kundvärde eftersom kunderna i högre grad kommer att lita på organisationen. Detta bör genera en allt mer trygg vardag enligt vår mening.
Goda råd i samband med den nya lagen?
Ta det lugnt men gör hemläxan och se detta som en nyttig genomgång av ert företags hantering av personuppgifter. Om detta görs på rätt sätt kommer er verksamhet få en bättre och tydligare hantering av integritetsfrågorna vilket i en förlängning kommer att leda till långsiktigare affärsrelationer och bättre affärer.

Vill ni ha hjälp med GDPR på er hemsida?

Jag gör då en snabb utvärdering av er webbplats inför GDPR och ser vilka åtgärder som krävs. Därefter återkommer jag med en offert och informerar er om hur vi går vidare i arbetet. Kontakta mig via kontaktformuläret nedan så löser vi något smidigt och enkelt.

GDPR

2 + 14 =