Sådan gør du din Joomla-hjemmeside GDPR-kompatibel – og GENEREL DATABESKYTTELSESFORORDNING

GDPR er forkortelsen for The General Data Protection Regulation (GDPR) og er den nye EU-lovgivning, som stort set alle virksomheder snakker om her Q1 2018. Du kender den sikkert også som persondataforordningen.
- Hvad er GDPR?
- GDPR er et enkelt sæt regler
- GDPR handler om gennemsigtighed
- Udtrykkelig samtykke – altid!
- Pseudonimisering
- Huston, we got a problem!
- Har du en DBA? Nej, ikke Den Blå Avis …
- Er du sikker på, at du vil slette?
- Privatlivets fred som standard
- Hvornår træder GDPR i fuld kraft?
- Konsekvenser hvis du ikke overholder GDPR
- ’Jamen, jeg behandler ikke peronlige data’
- Så, hvordan kan du gøre din Joomla-hjemmeside GDPR-kompetibel?
- Afslutning – Jeg har sagt det før …
Hvad er GDPR?
GDPR skal styrke databeskyttelsen for EU-borgere – borgere inde og uden for EU. Det giver egentlig rigtig god mening – hvis du er forbruger, og ikke er en virksomhed.
I bund og grund er budskabet fra EU, at ”hvis du ønsker at tilbyde din ydelser eller produkter til kunder, der er EU-borger, har du bare at være sikker på at du passer godt på deres personlige data, ellers..!”.
Alle der indsamler eller behandler peronlige data (defineret i GDPR som databehandler - altså dig!) vil blive forpligtet til at overholde de nye databeskyttelsesregler.
Det gælder organisationer, foreninger og virksomheder, der har hjemmesider, webshops eller apps, samt de organisationer og virksomheder, der bruger interne databaser, CRM-systemer eller endda bare den gode og almindelig e-mail.
GDPR træder i kraft d. 25. maj 2018, så du har stadig tid.
Den fulde GPDR er et omfattende dokument, men jeg har skitseret nogle af de mest relevante punkter i denne artikel.
GDPR er et enkelt sæt regler
GDPR er et enkelt sæt regler, der gælder for alle EU-medlemsstater. Hver medlemsstat udpeger en tilsynsmyndighed (TM) til at overvåge og sikre, at lovgivningen overholdes. Ideen er, at TM’erne skal arbejde tæt og på tværs af landene.
GDPR handler om gennemsigtighed
En væsentlig del af GDPR handler om gennemsigtighed og informering af registrerede (personer) om, hvad og hvordan deres personlige data bruges til, og af hvem og hvor længe.
GDPR kræver, at databehandleren (dig) angiver, hvilke data der behandles, og af hvilke grunde. Derudover skal de informere registrerede om, hvor længe deres data bliver gemt. Du skal også tydeligt angive, hvem personen skal kontakte med hensyn databehandlingen.
Udtrykkelig samtykke – altid!
Personer skal aktivt tillade og give deres udtrykkelige samtykke til databehandleren (dig), før deres data må behandles. Derudover må deres data kun bruges til de formål, som deres samtykke er givet til – og intet andet.
Eksempel:
Når nogen kontakter dig via din hjemmeside med en forespørgsel, giver det dig ikke tilladelse til at tilføje dem til din e-mailliste!
Det skal de aktivt give tilladelse til.
For børn og unge under 18 år, skal samtykke gives af den mindreåriges forælder eller værge, før deres data må bruges.
Derudover skal deres samtykke kunne trækkes tilbage af den registrerede til enhver tid.
Pseudonimisering
GDPR henviser til det, der kaldes pseudonimisering.
Dette nok den mest tvetydige del af GDPR, da det i en vis grad afhænger af, hvordan du fortolker pseudonimisering.
Pseudonimisering er en proces, der skal transformere en persons data, som forhindrer denne data fra at blive knyttet til deres person uden brug af yderligere oplysninger.
Eksempel
Et eksempel på dette kan være at give et unikt referencenummer til en person i stedet for deres navn, når deres data gemmes i en database. Navnet og brugerens reference nummer gemmes i separate tabeller i databasen, der relaterer sig til andre tabeller.
Det betyder, at hvis et hackerangreb opstår, vil det være langt mere besværligt for hackeren at identificere brugerne.
Et ofte nævnt eksempel på pseudonimisering er kryptering, hvorved alt data bliver krypteret, som kræver en nøgle, der opbevares separat, for at dekryptere den.
Hjemmesider, der bruger HTTPS, sender data over en krypteret forbindelse, så du kan sige, at hvis din hjemmeside har et SSL-certifikat, er du allerede godt på vej mod din forpligtelser over for GDPR.
Men alt data i hjemmesidens database er sandsynligvis gemt ukrypteret. Så hvis din hjemmeside blev hacket og hackeren får adgang til databasen, har hackeren også adgang til de personlige data.
Ingen CMS'er, som jeg nogensinde har arbejdet med, har gemt personlige data på en virkelig ”pseudonimøs måde”.
Vi må vente og se, hvordan Joomla.org og de andre større CMS’er adresserer dette.
Huston, we got a problem!
GDPR kræver, at databehandleren (stadig dig) har defineret nogle passende processer og har en beredskabsplan på plads i tilfælde af et databrud.
Afhængig af overtrædelsens sværhedsgrad har databehandleren retslig forpligtelse til at indberette et databrud af identificerbare eller ikke-pseudonimiserede data inden for 72 timer.
Yderligere oplysninger om indberetning af et databrud kan findes på hjemmesiden for informationskommissærens kontor:
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr
Har du en DBA? Nej, ikke Den Blå Avis …
Alle offentlige myndigheder, organisationer og virksomheder, der behandler personoplysninger i væsentlig grad, skal udpege en databeskyttelsesansvarlig, kaldet en DBA.
DBAen er ansvarlig for overvågningen af den interne overholdelse af GDPR-reglerne i virksomheden.
Måske tror du, at din virksomhed ikke falder ind i denne kategori. Men jeg mener, at det er en god idé at være på forkant og udpege en DBA for din virksomhed allerede nu.
DBAen i din virksomhed for en vigtig rolle, ved at holde databeskyttelse højt på virksomhedens dagsorden og sikre, at GPDR opnås og derefter opretholdes.
Er du sikker på, at du vil slette?
Under GPDR har en registreret person ret til at få slette sit data.
Det betyder, at hvis en person beder dig om at fjerne deres data fra dine systemer, skal du gøre det – uden tøven – inkl. fra alle sikkerhedskopier, alle referencer til personen osv.
Privatlivets fred som standard
En anden vigtig del af GDPR er ideen om, at digitale systemer omfatter privatlivets fred by default (også kaldet privatlivets fred som standard).
Med andre ord bør dine brugers privatliv fuldt ud inkorbureres, som kernen i ethvert digitalt system. Fortrolighedsindstillinger skal som standard indstilles til det højeste niveau, hvor brugerene selv aktivt har muligheden for at nedgradere dette, hvis de ønsker det.
Et eksempel kunne være de sociale medier, som ofte arbejder på den modsatte måde – alt er synligt med mindre du selv privatiserer dine indstillinger. Her er det omvendt, alt skal privatiseres og behandles fortroligt, med mindre brugeren selv ønsker andet.
Som databehandler bør du også sikre, at data kun behandles, når det er absolut nødvendigt.
Hvornår træder GDPR i fuld kraft?
Faktisk erstatter GDPR databeskyttelsesdirektivet fra 1995, som du kan læse mere om her:
https://en.wikipedia.org/wiki/Data_Protection_Directive
GDPR blev vedtaget den 27. april 2016 og træder som sagt i kraft den 25. maj 2018.
Selvom du bor i et land der ikke er en del af EU eller måske udtræder af EU-fællesskabet, så skal du faktisk stadig opfylde GDPR-kravene.
Medmindre at du planlægger at nægte adgang til dine ydelser og dine produkter til alle EU-borgere, så skal du overholde GDPR eller imødegå konsekvenserne.
Konsekvenser hvis du ikke overholder GDPR
Den maksimale sanktion for manglende overholdelse af GDPR er €20.000.000 eller op til 4% af din årlige omsætning (baseret på tal fra foregående regnskabsår), alt efter hvilket tal, der er højest.
Ja, du læste helt rigtigt.
Det kan blive DYRT!
Det må siges at være er en seriøs konsekvens, hvis du ikke opfylder GDPR-lovgivningen.
Personligt forudser jeg, at vi får en omfattende GDPR-kontrolinstans, hvis job naturligvis bliver at kontrollere og sanktionere, hvis GDPR ikke overholdes.
’Jamen, jeg behandler ikke peronlige data’
Måske ikke, men du har sikkert Google Analytics på din hjemmeside, benytter Mailchimp til din nyhedsbreve m.fl., som gør det.
GDPR kalder disse systemer for tredjeparts databehandlere, som behandler de personlige data på dine vegne.
De fleste, men ikke alle, af disse systemer drives af amerikanske virksomheder, som skal gennemgå processen med at blive GDPR-kompatible, hvis de ikke allerede har gjort det.
Amerikanske virksomheder bør også være Privacy Shield-kompatible, som du kan læse mere om her:
US Privacy Shield-rammen er blevet udviklet af det amerikanske handelsministerium og Europa-Kommissionen for at tilvejebringe mekanismer til beskyttelse af strømmen af personoplysninger mellem EU og USA.
Så, hvordan kan du gøre din Joomla-hjemmeside GDPR-kompetibel?
1. Identificer ALLE dine dataprocessorer
Lav en gennemgang af din virksomhed for at identificere alle dine dataprocessorer. List dem alle med enten 1 eller 3 for at få et overblik over, hvilke der er første-, og hvilke der er tredjeparts-dataprocessorer.
For hver dataproces overvejes følgende:
- Hvad bruger du den data til?
- Hvor er dataet gemt?
- Har du stadig brug for den data?
For hver tredjeparts dataprocessorer skal du kontrollere deres respektive privatlivspolitikker og sørge for, at de er GDPR-kompatible. USA-baserede dataprocessorer bør være Privacy Shield-kompatible. Hvis tredjeparten endnu ikke er i overensstemmelse med GDPR eller Privacy Shield, skal du kontakte dem og finde ud af, om og hvornår de planlægger at blive kompatible.
I den usandsynlige situation, hvor en tredjeparts dataprocessor ikke er i overensstemmelse med GDPR og ikke har planer om at blive det inden deadline den 25. maj 2018, bør du søge kompatible alternativer til deres service. I denne situation bør du også bede den nuværende udbyder om en kopi af de data, de har på dig, og så insistere på, at sletter dine data fra alle deres digitale systemer, herunder sikkerhedskopier.
Husk, at data forpligter dig - så medmindre det er nødvendigt at gemme dataet, anbefaler jeg at du sletter det.
2. Personoplysnings-gennemgang på din hjemmesides fortrolighedspolitik og beskyttelse af personlige oplysninger skal detaljeres.
Som jeg allerede har nævnt, kommunikerer en stor del af GDPR til dine brugere om, hvordan og hvorfor du samler og bruger deres data. Så fortæl dem det. Vær klar og præcis, og giv dem en måde at anmode om en kopi af deres data, eller få det slettet, hvis de ønsker det.
Se f.eks. min privatlivspolitik for at se, hvordan sådan en kunne se ud.
3. Hvor er det svageste led?
Under din personoplysnings-gennemgang bør eventuelle sårbare områder af din hjemmeside komme frem.
Et eksempel kan være den ikke-kompatible tredjeparts dataprocessor som beskrevet ovenfor.
Eller, sikrede og ukrypterede e-mail-konti eller hjemmesidetrafik.
Et andet eksempel kan være henvendelser via kontaktformularer, der er blevet gemt i din hjemmesides database. Disse henvendelser har du sandsynligvis behandlet for længe siden eller besvaret, så de ikke længere behøver at blive opbevaret.
Uanset de svage led skal du tilstræbe at styrke eller fjerne dem helt.
4. Udpeg en databeskyttelsesansvarlig (DBA)
En DBA er en enkeltperson eller enkeltpersoner udpeget af datastyreren (dig) til at være ansvarlig for at overvåge GDPR's interne overensstemmelse inden for virksomheden.
Medmindre du behandler personlige data i stor skala, bør en passende informeret intern medarbejder være perfekt nok til denne rolle.
5. Du skal pseudonymisere din Joomla-hjemmeside
Hvis du gemmer personlige og identificerbare data på din hjemmeside, så skal du virkelig på arbejde for at pseudonymisere alle disse data. Det er en teknisk svær opgave, som kræver de rette kompetencer, erfaring og indsigt i f.eks. Joomla frameworket.
Afslutning – Jeg har sagt det før …
Hej,
Mit navn er Michael, og jeg er Joomlakonsulenten.
Hvis vi to har mødt hinanden før, så ved du allerede, at jeg kan tale om sikkerhed i timevis.
Og det er præcis dét GDPR handler om.
Selvom GDPR kan virke skræmmende, og give virksomhedsejere et par søvnløse nætter, er det mest centrale i GDPR jo at beskytte folk som dig og mig.
Internettet er stadig et meget nyt og ureguleret rum, der efterhånden kræver langt større og bedre international lovgivning. GDPR, mener jeg, er en væsentlig bidragyder til dette.
Er din Joomla-hjemmeside klar til GDPR?
DU KAN SKRIVE TIL MIG HER ELLER RINGE TIL MIG PÅ TLF. 7199 2909