Slik jobber vi med GDPR når vi lager nettsider

Caspar Skripkauskas

Publisert:

GDPR
Databehandling

Vi har i flere år jobbet med hvordan vi skal håndtere GDPR når vi lager nettsider. Her er en oversikt hvordan vi jobber med dette temaet.

General Data Protection Regulation (GDPR) ble implementert i mai 2018, og siden da har selskaper klødd seg i hodet og lurt på hva det vil si for sitt selskap. Hvilken data kan vi samle inn, hvor lenge kan det lagres, og hvordan skal vi kommunisere dette til brukeren?

En ting er det juridiske aspektet rundt GDPR på nettsider, men vi skal heller ikke glemme viktigheten ved å fremme tillit og opprettholde et positivt omdømme. Manglende overholdelse kan føre til alvorlige konsekvenser, inkludert høye bøter og skade på merkevarens omdømme.

Aller først. Ja, dere kan få bot for brudd på GDPR

Det er nærliggende å tro at bøter er noe som forekommer ute i Europa. Det er feil. Siden 2018 har Datatilsynet utstedt bøter på 150 000 000 kroner.

Den største boten i 2023 gikk til Grindr, og var på 65 000 000. Her er de 15 største norske bøtene utstedt av Datatilsynet.

Manglende overholdelse av GDPR kan resultere i bøter på opptil €20 millioner eller 4 % av den årlige globale omsetningen, avhengig av hva som er høyest. Utover økonomiske straffer kan brudd på GDPR ødelegge tillit og svekke selskapets omdømme.

For å forstå de potensielle økonomiske konsekvensene, kan bedrifter bruke verktøy som GDPR Fine Calculator. Dette verktøyet beregner bøtene som kan ilegges, basert på alvorlighetsgraden og typen regelbrudd.

GDPR er en lov implementert av EU, som også gjelder Norge, og bøtene er de samme uavhengig av hvilket land hvor bruddet skjer.

Vår tilnærming til GDPR til nettsider

1. Bevissthet rundt data nettsiden samler inn

Bevissthet rundt datainnsamling og minimering av data er to viktige prinsipper i GDPR som styrer hvordan organisasjoner håndterer personopplysninger.

Det betyr at man forstår og dokumenterer hvilke personopplysninger som samles inn, lagres og behandles. Denne dokumentasjonen hjelper med å kartlegge dataflyten, vurdere risikoer og sikre at man følger reglene.

Minimering handler om kun å samle inn data som er nødvendige for et spesifikt formål. Dette reduserer mengden data som håndteres, senker risikoen for datainnbrudd og beskytter personvernet.

  • Identifisering av datapunkter: Vi starter med å kartlegge alle personopplysningene som våre nettsider samler inn, som for eksempel via kontaktskjemaer og brukerkontoer.
  • Minimering: Vi sørger for kun å samle inn data som er nødvendige for formålet. Unødvendig datainnsamling unngås for å redusere risiko og sikre at vi følger GDPR-reglene.

2. Åpen databehandling

Transparent datahåndtering er et kjerneprinsipp i GDPR som krever åpenhet om hvordan personopplysninger behandles.

Det betyr at du må gi folk tydelig informasjon om hvilke data som samles inn, hvordan de brukes, hvem de deles med, og hvorfor.

Åpenhet gir brukerne innsikt i sine rettigheter og hvordan deres data håndteres, noe som bygger tillit og sikrer at de kan ta informerte beslutninger.

For CMS og front-end bruker vi følgende systemer:

  • Craft CMS: Tilbyr et robust backend for å administrere innhold uten unødvendig eksponering av data. Vi konfigurerer Craft CMS for å sikre at personopplysninger lagres sikkert og kun er tilgjengelige for autorisert personale.
  • Next.js: På frontend bruker vi Next.js for å bygge raske, brukervennlige nettsteder som er både sikre og effektive.
  • Kommunikasjon mot brukeren: Vi implementerer klare mekanismer for samtykke som informerer brukeren om hvilken data som samles inn.

3. Hosting på GDPR-kompatible servere

Hosting på GDPR-kompatible servere er essensielt for å sikre at personopplysninger håndteres i samsvar med GDPR-standarder. Disse serverne garanterer at data forblir innenfor EØS eller er beskyttet av tilsvarende garantier hvis de overføres utenfor EØS. De implementerer strenge sikkerhetstiltak, som kryptering og regelmessige revisjoner, for å beskytte data mot uautorisert tilgang. Bruk av GDPR-kompatible servere sikrer at organisasjoner oppfyller regulatoriske krav, og reduserer risikoen for sikkerhetsbrudd.

  • Fortrabbit (backend): Hosting av CMS og backend på Fortrabbit’s europeiske servere sikrer at data forblir innenfor EU, i samsvar med GDPR-regelverket.
  • Vercel (frontend): Vercel’s globale edge-nettverk, kombinert med deres forpliktelse til samsvar, gir en sikker og skalerbar plattform for vår frontend.

4. Godkjennelse fra brukeren

Samtykke er et viktig prinsipp i GDPR som gir folk kontroll over sine personopplysninger. Selskaper må få tydelig samtykke fra brukerne før de samler inn eller bruker data. Dette innebærer å informere om hva dataene brukes til, hvorfor de er nødvendige, og gi brukerne mulighet til å godta eller avslå. Brukerne skal også kunne trekke tilbake samtykket når som helst.

  • Egenutviklet samtykkeløsning for cookies
    • Eksplisitt samtykkemekanisme: Vi har utviklet en egen løsning for cookies som krever eksplisitt samtykke før noen enkelte cookies aktiveres. Dette sikrer at cookies relatert til markedsføring og målretting kun aktiveres etter at brukeren har gitt sitt samtykke.
    • Tjenestespesifikt samtykke: Cookies er delt inn i kategorier (f.eks. markedsføring) og aktiveres basert på brukerens valg. Dette gir brukerne full kontroll over hvilke cookies som benyttes.

Tips: Har du lyst å unngå cookies for statistikk på nettsiden? Vi anbefaler Plausible.

  • Integrering med tredjeparts samtykkeløsninger
    • OneTrust og Cookiebot: For mer omfattende håndtering av cookies, bruker vi verktøy som OneTrust eller Cookiebot. Disse gir bedre administrasjon, rapportering og kontroll over data.

5. Regelmessige revisjoner og oppdateringer

På større nettsider hvor det er flere skjema og mange forskjellige datapunkter, kan det være lurt å revidere GDPR med jevne mellomrom. Da får man se om dataene man har samlet inn over en gitt periode står seg opp mot GDPR sitt regelverk, samt tatt en vurdering mot nye regler og anordninger som kommer til markedet.

Da sjekker vi hvordan data lagres, hvordan samtykke håndteres, og hvilke sikkerhetstiltak som er på plass.

Dette er noe vi kan bistå med på forespørsel.

6. Brukerens rett til innsyn, endring og sletting av data

Brukere har rett til å få tilgang til, rette og slette personlige data, og selskaper må ha systemer som gjør det enkelt å håndtere denne informasjonen.

  • Forespørsler om tilgang og sletting: Vi setter opp systemer som gjør det lett for kundene våre å håndtere forespørslene fra brukerne om tilgang til, endring eller sletting av data.
  • Dataportabilitet: Vi sørger for at kundene våre kan gi brukerne deres en måte å be om og motta dataene sine i et lesbart format, som også oppfyller GDPRs krav til dataportabilitet.

    7. Opplæring og bevisstgjøring

    Når vi lager nettsider som samler inn data, er det viktig at kunden forstår hvilket ansvar som ligger på dem. Det kan være så enkelt som hvem som har ansvar for å gi tilgang til CMS. Eller rutiner når en webredaktør slutter.

    Vi tilbyr workshops og opplæring til selskaper som ønsker å implementere gode rutiner knyttet til GDPR.

    Konklusjon

    Å sikre god GDPR på nettsider er en kompleks oppgave som krever ikke bare en god teknisk løsning, men også gode rutiner.

    Når vi lager nettsider sørger vi for den tekniske implementeringen. Det vil si at vi sørger for at servere, lagring av data og samtykkeskjema er GDPR-kompatible.

    I tillegg hjelper vi rundt minimering av data, samt risikovurdering av data som samles inn.

    Ved å følge disse praksisene reduserer vi risikoen for regelbrudd og hjelper kundene våre med å bygge tillit hos målgruppen sin.