Kruso Logo
Kontakt os

GDPR: Praktiske tips til udfordringerne med webapplikationer.

Hvordan kan din virksomhed implementere EU's nye persondataforordning i det daglige?

I den analoge verden er vi vant til, at vi skal låse vores hoveddør, og vi husker at smøre os ind i faktor 30, for at beskytte os mod solen. I den digitale verden er vi imidlertid ikke ligeså gode til at beskytte os selv. Derfor sætter EU et større fokus på datasikkerhed med den kommende persondataforordning (GDPR), som træder i kraft 25. maj 2018.

I Kruso har vi klædt mange af vores private og offentlige kunder på til den nye persondataforordning, og vi vil nu også give dig indblik i, hvordan I kan gøre data om besøgende på jeres website mere sikkert. I dette indlæg vil vi især se på tredjeparter, hvor vi berører GDPR fra en teknisk vinkel, og ikke en juridisk. Vi anbefaler derfor, at I husker at kontakte jeres jurist ved juridisk rådgivning af GDPR. 

Hvilke data er personlige?

Personlige data kan forholdsvist inddeles i de tre kategorier: indirekte persondatadirekte persondata og personfølsomme data.

  • Indirekte data er data, som kræver korrelation med andet data, for at kunne henvise til en person. Et eksempel er din IP adresse.

  • Direkte data er data, som er tilknyttet din identitet og derved personhenførbar. Eksempelvis dit navn.

  • Personfølsomme data er data, som er af særlig personlig karakter. Dette kunne være dit CPR, helbredsinformation osv.

Deling af persondata med tredjeparter

Virksomheder og institutioner. Som virksomhed eller institution er det vigtigt, at man ikke uddelegerer databehandling, uden at stille spørgsmål til den enhed, som behandler dataene om besøgende på ens site. Det gør sig blandt andet gældende ved deling af persondata med tredjeparter som f.eks. Google og Facebook, hvilket som udgangspunkt er lovligt. Der skal dog foreligge en databehandleraftale mellem din virksomhed og jeres valgte databehandler - og så skal samtykkereglerne selvfølgelig også overholdes.

Når vi snakker om at dele persondata med tredjeparter, refererer vi til den deling af persondata, som sker, når dine kunder eksempelvis tilmelder sig nyhedsbreve gennem sign up-funktioner i Mailchimp, liker et opslag på Facebook eller sender en jobansøgning til LinkedIns rekrutteringsdatabase. Når de udsender disse data udsættes de for at dele data med tredjeparter, som indsamler dataene og anvender dem til at opnå indsigt i kundernes brugeradfærd. Disse tredjeparter omfatter bl.a.:

  • Webanalyseværktøjer som Google Analytics.

  • Indlejret webindhold som videoer fra Youtube og Vimeo.

  • Iframes - hvor du henter ekstern indhold ind på din din side.

  • Indlejrede kort som Google Maps.

  • Webfonte - bliver ofte hentet på samme måde som iframes. Dvs. hentet fra en ekstern leverandør.

Det er derfor yderest vigtigt, at I som virksomhed undersøger, om der findes nogle gode, etiske alternativer til databehandling.

Vores bud på alternativer til de ovenstående tredjeparter er:

  • Alternativ til Google Analytics: I stedet for Googles webanalyseværktøj, findes der andre analytics-systemer med en databehandleraftale som eller lokale analytics systemer som Piwik.

  • Alternativ til indlejret videoindhold: Når det kommer til indlejret videoindhold, så brug i stedet videodeling-platforme som fx 23Video, der ligeledes har en databehandleraftale, eller lav en lokal streaming-løsning med din leverandør.

  • Alternativ til Iframes: I kan omlægge iframes til API-løsninger (Application Programming Interface), som er en softwaregrænseflade, der gør det muligt at interagere software med andet software.

  • Alternativ til Google Maps: Der findes også alternativer til Google Maps. I kan fx vælge at bruge Sweco eller Open Street Maps med egen server.

  • Alternativ til Webfont: Og til sidst, som et alternativ til Webfonte, kan I i stedet vælge at bruge lokale websafe font-filer.3

Hvad skal I så gøre nu?  

  • Skift jeres tredjeparts tracking-løsning ud med andre løsninger - f.eks. dem, som vi har præsenteret for dig ovenfor.

    • Start dog ud med en risiko analyse, så I kan fremvis en plan til evt. GDPR-audit og sikre at i tager processen i en optimal rækkefølge.

  • Gennemgå de databehandleraftaler, som din virksomhed har med jeres databehandlere.

  • Kortlæg alle persondata i jeres webapplikation (Audit) ved at stille jer selv spørgsmålene:

    • Hvem har ansvaret for de pågældende data?

    • Er der tale om følsomme data?

    • Hvor og hvornår indsamles data?

    • Hvad bruges de til? Er de nødvendige?

    • Hvor længe er de relevante? Skal de opdateres?

  • Gennemgå og opdatér samtykkeformularer.

  • Begynd arbejdet med en risikoanalyse, for at vurdere de eventuelle konsekvenser af GDPR og dens indflydelse på jeres virksomhed.

Hvordan kan I implementere GDPR i det daglige arbejde?

  • Start med at minimere tredjeparters rolle i forhold til tracking og udvælg de alternativer, som kan matche udfordringen.

  • Giv jeres webredaktører værktøjer, der kan hjælpe dem med at håndtere data.

  • Enhver formular-værktøj bør komme med værktøjer til at tagge og datere de indsamlede oplysninger.

  • Sørg for, at webredaktørerne har nem adgang til organisationens retningslinjer for persondata, især når de er ved at uploade et dokument med ukendt indhold.

  • Udvikl simple data audit og data scrubbing-værktøjer.

  • Hvis dit site har login-funktioner, så tilbyd evt. dine brugere dataværktøjer: 

    • Vis brugerne de data der er opbevaret om dem, ved eksempelvis at gøre det muligt for dem at downloade i JSON (JavaScript Object Notation).

    • Giv brugerne en mulighed for at bede om at få slettet deres data eller brugerprofil.

  • Hvis en bruger lukker sin konto, så sørg for at få slettet data om dem med det samme.

  • Få styr på logning, jeres analytics-system og andre dataindsamlinger, og fjern data der ikke giver direkte værdi for brugerne.

Hvad kan Kruso hjælpe med?                        

  • Afholdelse af Workshops og Data Audit: Vi afholder gerne en workshop for din virksomhed, hvor vi kan hjælpe til med løsningen af jeres udfordring, og vi hjælper jer ligeledes gerne i jeres data-revisionsproces gennem Data audit.

  • Rapportering: Vi kan identificere tredjeparts scripts i jeres løsning gennem rapportering.

  • Kortlægning af alle persondata: Vi undersøger og frembringer gerne en systematisk og grundig beskrivelse af alle persondata i jeres webapplikation.

  • Implementering af et forbedret samtykkesystem: Vi kan hjælpe jer med at implementere et samtykkesystem, som sikrer, at brugernes rettigheder overholdes.

  • Bygge hjælpeværktøjer: Vi kan også bygge hjælpeværktøjer til webredaktørerne i jeres CMS.