Dataläckor en del av nyhetsflödet
Det börjar närma sig årsdagen för införandet av den nya dataskyddsförordningen GDPR (General Data Protection Regulation). Men trots detta har vi fått förfasas över nyheter om hur personuppgifter, inspelningar med känsligt innehåll och lösenord legat utfläkt för allmän beskådan. Därför tänkte jag att vi skulle ta oss en ordentlig titt på vad det är som gäller och hur en bör tänka för att säkerställa såväl sin webbplats som arbetsgång. Jag har sammanställt en checklista som kan ge en hint om vilka områden som är viktigt att ha koll på. Detta bygger på min tolkning av förordningen, information från datainspektionen, bolagsverket och kommentarer från våra likar inom webbvärlden. För inte helt oväntat är området i vissa avseenden något snårigt.
Dataskydd som ett förhållningssätt
Listan innehåller några konkreta tips på handlingar för hur verksamheten bör handla för att följa GDPR, men jag tror det viktigaste är att jobba på hur vi i stor förhåller oss till hanteringen av personuppgifter. Att låta frågorna vad, varför och vem ta en omgång med den data du hanterar kan på många sätt sammanfatta det GDPR syftar till, nämligen säkra individers integritet. En liten vägledande röst i bakhuvudet kan vara skillnaden mellan att råka vidarebefordra en kunds redogörelse för senaste magsjukan till alla föräldrar med barn i F1C. En handling som tidigare mest var obarmhärtigt pinsam, men numera också omfattad av en allsmäktig EU-förordning.
Checklista
Datahanterande system
– Lista alla datahanterande system.
– Markera dessa som förstahands- eller tredjehandshanterare.
– Säkerställ att de tredjehandshanterare som nyttjas följer GDPR. Exempel på sådana system är Analytics, Klarna, Mailchimp etc.
– Se över databasens inställningar för vilken data som sparas. Säkerställ att data som inte är nödvändig, inte sparas alternativt regelbundet raderas.
Dataskyddsombud
– Utse en medarbetare till dataskyddsombud om er verksamhet kräver detta. Vilka verksamheter som kräver dataskyddsombud kan utläsas på https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/dataskyddsombud/maste-vi-utse-ett-dataskyddsombud/ .
– Lägg till kontaktuppgifter till dataskyddsombud på webbplatsen.
Integritetspolicy
– Uppdatera webbplatsens integritetspolicy så att den innehåller tydliga beskrivningar av vilken data som samlas in, hur detta sker och varför.
– Nedladdningsbar version av policyn skall erbjudas
– Framhåll att redan insamlad data i enlighet med GDPR kan raderas om användaren begär detta.
– Använd ett icke-juridiskt språk som alla kan förstå.
Cookie-information
– Implementera en cookie-bar så att användaren omedelbart kan välja att acceptera eller avböja att cookies lagras på deras enheter.
– Var noga med att så kallat soft compliance, att fortsatt användande automatiskt leder till accepterande, inte är nog. Valen att acceptera eller inte acceptera måste framgå.
– Användaren har rätt att när som helst ändra sig angående accepterad lagring vilket leder till att cookie-baren, eller motsvarande information lätt skall kunna hittas igen.
– Siten skall gå att använda utan cookies. All funktionalitet som samlar eller hanterar personliga uppgifter skall då inte vara tillgänglig.
SSL-certifikat
– SSL-certifikat säkerställer att information som överförs mellan webbserver och webbläsare är krypterad. Om webbplatsen inte har ett certifikat kommer webbläsaren varna användaren och i bland annat chrome beskrivas som “inte säker”.
– SSL-certifikat tillhandahålls av de flesta webbhotell som ocks kan hjälpa till med att lägga till certifikatet på ett korrekt sätt.
– Glöm inte att omdirigera alla anrop till HTTPS. Om detta inte görs kommer användare som använder HTTP ändå att nå webbplatsen.
– Det finns tre olika säkerhetsnivåer. Beroende på graden av känslighet i den information och de transaktioner som görs via webbplatsen kan det vara värt att överväga vilken nivå som är rimlig. I stigande grad är de olika nivåerna; DV (Domain Validation), OV, (Organisation Validation) samt EV (Extended Validation).
Nyhetsbrev
– Nyhetsbrev skall länkas till förklaring om vilken information som sparas och hur denna hanteras.
– Inga checkboxar får på förhand vara ifyllda.
– Varje nyhetsutskick skall innehålla tydlig avsndarinformation, kontaktinformation och möjlighet till unsubscribe.
Hantering av personuppgifter
– Var noga med vilka personuppgifter som sparas, även i exempelvis mailkonversationer etc. Speciell aktsam bör man vara med personuppgifter som betraktas som känsliga. Med känsliga personuppgifter avses:
Ras, etnicitet och ursprung, genetisk data biometrisk data, politiska åsikter, religiösa eller filosofiska åskådningar, facklig tillhörighet, hälsodata, sexuell läggning & böjelse, tidigare kriminalitet (domar).Data skall aldrig lämnas aldrig till tredje part utan att samtycke inhämtats.
-Vid begäran av registerutdrag skall ärendet prioriteras och aktuella förfrågan behandlas i enlighet med avsedd process.
– Även hantering av anställdas personuppgifter ryms inom GDPR. Exempelvis kan det vara olämpligt att skicka lönespecifikationer via e-mail om dessa innehåller facktillhörighet eller information om sjukfrånvaro, då detta anses som känsliga uppgifter.
– Tänk på att även fotografier betraktas som personuppgifter och därför inte får publiceras utan samtycke.
Handlingsplan vid eventuella överträdelser
– En handlingsplan för att upptäcka, rapportera och undersöka eventuella överträdelser skall finnas tillgänglig. I fall av så kallad data breaches, läkta användardata skall detta alltid rapporteras till datainspektionen.
– En upptäckt incident skall enligt förordningen anmälas till datainspektionen inom 72 timmar.
Källor:
https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/
https://www.verksamt.se/driva/gdpr-dataskyddsregler/gdpr-guiden
https://www.aubergine262.com/website-gdpr-compliance-practical-checklist/
https://sv.wikipedia.org/wiki/Dataskyddsf%C3%B6rordningen
Ta reda på vad som gäller
Det kan vara svårt att få grepp om vad som egentligen gäller just den egna verksamheten. Har du funderingar, frågor eller kanske sitter på argument som går emot min tolkning, tveka inte att höra av dig! En levande diskussion kommer leda till att vi alla kan implementera ett sunt förhållande till GDPR i vårt användande av webbbaserade verktyg.