Gør dit WordPress-website GDPR-kompatibelt

GDPR er en EU-lov om databeskyttelse, som skal give kontrollen af persondata tilbage til den enkelte borger. GDPR har stor betydning for hvordan hele internettet håndterer data, og loven trådte i kraft 25. maj 2018. I denne artikel kan du læse om, hvad du skal være opmærksom på ift. WordPress og GDPR.

Uanset om du driver et stort eller lille website, så bør du forholde dig til GDPR og finde ud af, i hvilket omfang du skal foretage ændringer i den måde du behandler personlige data på. Gør du ikke det, kan du risikere at blive mødt med bål og brand.

Jeg vil prøve at forklare alt det du behøver at vide om GDPR, og hvad du kan gøre i WordPress for at forberede dig bedst mulig. Sidst men ikke mindst introducerer jeg en “GDPR-supportpakke”, som gør WordPress GDPR-kompatibelt.

Men jeg er ikke advokat, så jeg vil ikke kede dig med alle juridiske detaljer, og mine ord er heller ikke juridisk gyldige. Er der noget du er i tvivl om eller vil have uddybet, bør du derfor kontakte en advokat i stedet.

Hvad er GDPR?

GDPR står for General Data Protection Regulation. Det er en EU-forordning, som i Danmark kaldes for Databeskyttelsesforordningen, Persondataforordningen eller slet og ret GDPR. Forordningen blev vedtaget i 2016 og erstatter Databeskyttelsesdirektivet, der er gennemført via Persondataloven, og er langt mere vidtgående end Cookieloven. Du kan i øvrigt læse om hvordan du overholder cookiereglerne på dit website.

Persondataforordningen er den mest markante ændring af persondatabeskyttelse i 20 år, og den skal forsøge at matche de kolossale udfordringer, der er skabt i kølvandet på den digitale udvikling. Formålet med GDPR er at give det enkelte individ kontrollen tilbage over deres persondata, og at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Begrebet “fysisk person” omfatter i øvrigt ikke kun et menneskeligt individ, men også enkeltmandsvirksomheder.

Den der har ansvaret for og afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger kaldes “den dataansvarlige“, og den som reelt udfører behandlingen af personoplysninger på vegne af den dataansvarlige kaldes “databehandler“. Der er meget stor forskel på, om en virksomhed defineres som en dataansvarlig eller en databehandler. Reglerne er forskellige, men er strengest for den dataansvarlige. Man kan godt være dataansvarlig i nogle situationer og databehandler i andre.

Alle virksomheder, foreninger og organisationer, som ikke er rent privat (f.eks. madklub med vennerne), skal overholde reglerne i persondataforordningen.

Hvad er personoplysninger?

Personoplysninger er enhver form for information, der kan henføres til bestemte personer, også selv om dette forudsætter kendskab til et personnummer, registreringsnummer eller lignende. Også oplysninger i form af f.eks. et billede eller et fingeraftryk er personoplysninger. Selv om oplysninger som et navn eller en adresse er erstattet af en kode, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning. F.eks. er oplysninger, der er krypteret, fortsat personoplysninger, så længe der er nogen, der kan gøre oplysningerne læsbare og identificere de personer, det drejer sig om.

Forordningen skelner mellem følsomme og almindelige personoplysninger.

Følsomme personoplysninger

• Oplysninger om race eller etnisk oprindelse
• Politisk, religiøs eller filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Behandling af genetiske data, biometriske data med
  det formål entydigt at identificere en fysisk person
• Helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Følsomme personoplysninger må kun indsamles og bruges under visse omstændigheder, for eksempel hvis du har givet udtrykkeligt samtykke, eller hvis det er tilladt ifølge den nationale lovgivning.

Almindelige personoplysninger

De personoplysninger, der ikke falder ind under kategorien ”følsomme personoplysninger”, kan kaldes ”almindelige personoplysninger”. Almindelige personoplysninger kan f.eks. være men er ikke begrænset til:

• Navn og efternavn
• Privatadresse
• En e-mailadresse som for eksempel [email protected]
• Pasnummer
• Oplysninger om økonomiske forhold
• Fødselsdato
• IP-adresse
• Cookie-id
• Ansøgning, CV, ansættelsesdato, stilling, arbejdsområde og arbejdstelefon,
• Kundeforhold eller andre lignende ikke-følsomme oplysninger.

Eksempler på oplysninger, der ikke anses for at være personoplysninger:

• CVR-nummer
• En e-mailadresse som for eksempel [email protected]
• Anonymiserede oplysninger

CPR-nummer

Regler om behandling af CPR-nummer fremgår ikke af forordningen. Forordningen giver de enkelte lande mulighed for selv at fastsætte regler om det, men i skrivende stund har Folketinget ikke vedtaget noget endnu. Min anbefaling vil dog være at CPR-numre behandles som følsomme oplysninger, hvis retten til behandling i øvrigt følger af lovgivningen, eller der er givet et klart samtykke.

Behandling af data

Begrebet ”behandling” omfatter enhver form for håndtering af personoplysninger. Det er først og fremmest elektronisk behandling af oplysninger, der er omfattet af reglerne. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Hvad skal du gøre for at overholde GDPR?

Hvis du behandler personoplysninger på den ene eller anden måde, så er der nogle helt centrale ting, du skal forholde dig til for at overholde GDPR. Der findes i forordningen en række principper som skal følges, hvis du ønsker at behandle personoplysninger. De grundlæggende principper er:

• Lovlighed, rimelighed og gennemsigtighed: Fortæl brugeren hvem du er, hvorfor du indsamler data, hvor lang tid du opbevarer data og hvem der modtager data.
• Formålsbegrænsning: Formålet med dataindsamlingen skal være saglig. Du må fx ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne.
• Dataminimering: Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet.
• Rigtighed: Oplysningerne skal være rigtige og ajourførte, og hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller berigtiges.
• Opbevaringsbegrænsning: Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne.
• Integritet og fortrolighed: Oplysninger skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget. Få derfor et klart samtykke før du indsamler nogen som helst data.

De registrerede har desuden en række rettigheder i forhold til de personoplysninger som behandles. De vigtigste rettigheder er:

• Oplysningspligt: Retten til at modtage oplysning om en behandling af sine personoplysninger.
• Indsigtsret: Retten til at få indsigt i sine personoplysninger.
• Retten til berigtigelse: Retten til at få urigtige personoplysninger berigtiget.
• Retten til at blive glemt: Retten til at få sine personoplysninger slettet.
• Markedsføring: Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring.
• Automatiske afgørelser: Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering.
• Dataportabilitet: Retten til at flytte sine personoplysninger.

I særlige situationer gælder de almindelige rettigheder ikke. Det kan f.eks. skyldes hensyn til den offentlige sikkerhed, hensyn til efterforskning eller tilsyn, eller forretningshemmeligheder og andre hensyn til private interesser.

Du kan læse de juridiske detaljer om GDPR hos Datatilsynet, som er den danske myndighed inden for området. Jeg kan også anbefale denne meget informative infografik om persondataforordningen.

Sådan gør du dit WordPress-website GDPR-kompatibelt

Helt kort kan man sige, at for at overholde reglerne i persondataforordningen skal du:

1. Undersøge hvilke persondata din virksomhed er i besiddelse af.
2. Undersøge hvilket grundlag din virksomhed har for at bruge persondataene.
3. Slette de persondata, som ikke længere kan bruges/opbevares lovligt.
4. Vedtage sikkerhedsforanstaltninger for at være sikker på, at persondataene er beskyttet forsvarligt.
5. Dokumentere hvilke sikkerhedsforanstaltninger og procedurer din virksomhed har vedtaget.
6. I øvrigt lave de dokumenter, som kræves ifølge forordningen (f.eks. en fortegnelse).

GDPR har som nævnt betydning for alle på internettet. Og det er uanset hvor din virksomhed befinder sig, eller hvor dens onlineaktiviteter finder sted. Hvis din virksomhed behandler data fra EU-borgere, så er du nødt til at overholde persondataforordningen.

Nogle eksempler på hjemmesider, der befinder sig uden for EU men som alligevel er omfattet af GDPR:

• Et WordPress community site som indsamler personoplysninger for hver enkelt brugerprofil.
• En WordPress blog der har en tilmeldingsformular til et nyhedsbrev, eller som tillader besøgende at kommentere.
• En WooCommerce webshop der sælger produkter online.
• Et WordPress website der bruger trafikanalyseværktøjer som fx Google Analytics.

Som du måske kan fornemme på al snakken om GDPR og de mangel detaljer i lovgivningen, så er det svært – for ikke at sige umuligt – at komme med en simpel trin-for-trin vejledning i, hvordan du gør dit WordPress website GDPR-kompatibelt. Det er der simpelthen alt for mange variabler og undtagelser til at kunne sætte på en samlet formel.

Men jeg kan give dig nogle forslag til, hvordan du kan komme godt i gang og holde dig på det rette spor.

1. Hyr en advokat

Hvis du er oprigtig bekymret for hele GDPR-cirkusset og måske ikke har det fornødne overblik eller overskudt til at sætte dig ind i alle delene, så vil jeg anbefale dig at henvende dig til en advokat. En advokat kan tilbyde dig juridisk rådgivning som er specifikt rettet mod din konkrete situation.

2. Gennemgå dine data og arbejdsgange

Jeg vil helt klart anbefale dig at gå hele dit WordPress website igennem for at finde ud af helt præcist hvor der finder databehandling sted, og ikke mindst hvor dat er gemt og i hvor lang tid. Det omfatter fx indsamling af personoplysninger ved checkout i WooCommerce eller registreringssiden i WordPress, IP-adresser, cookieidentifikationer og GPS-lokationer, forskellige services som Google Analytics, Mailchimp osv.

Når du har dannet dig dette overblik skal du være sørge for at du spørger efter brugerens samtykke og oplyser om hvordan data bliver behandlet.

3. GDPR i WordPress-systemet

Folkene bag WordPress og WooCommerce har tilføjet en række funktioner, der gør det lettere for dig at overholde GDPR. Der er så at sige blevet bagt en masse ting ind i det eksisterende system til bl.a. at håndtere henvendelser fra brugere, der gerne vil have indsigt i hvilke personoplysninger du har på dem, få data deres slettet eller hjælp til at flytte dem til en anden udbyder. Der er desuden tilføjet en “privatlivspolitik-generator”.

4. Opdater alle juridiske dokumenter

Med GDPR lige på trapperne er det også et rigtig godt tidspunkt at få opdateret dine eksisterende juridiske dokumenter på din hjemmeside. Det gælder fx dine handelsbetingelser, privatlivspolitik, cookieerklæring, samarbejdsaftaler og hvad du ellers måtte have af juriske aftaler. Læs i øvrigt også artiklen “Sådan overholder du cookiereglerne på dit website“, hvis du vil have styr på de gældende cookieregler i Danmark.

Du skal i den forbindelse huske på at det fremover ikke længere er tilladt at have formularer uden checkbokse om samtykke. Og det skal være lige så let at tilbagekalde et samtykke som det er at give det. Det kan måske være en god idé at kontakte en advokat ift. udformningen af de juridiske dokumenter.

5. Hav styr på sikkerheden i WordPress

Når du har med personoplysninger at gøre er det også utrolig vigtigt, at du har styr på sikkerheden, så data ikke kommer i de forkerte hænder. Det gør du bl.a. ved at at holde WordPress, plugins og temaer opdateret, ved at tage regelmæssig backup, ved at bruge sikre adgangskoder, ved at anvende et SSL-certifikat og ikke mindst ved at overvåge om der sker brud på sikkerheden. Det kan også være at du skal tjekke om det webhotel du bruger har styr på sikkerheden.

Det kan være et stort arbejde at holde styr på sikkerheden i WordPress. Derfor kan du med fordel få Webfronten til at tage hånd om din sikkerhed med en månedlig vedligeholdelsesaftale. Alle mine vedligeholdelsesaftaler inkluderer desuden premium webhosting, der også har styr på sikkerheden.

6. Tjek plugins og services

Det er også en rigtig god idé at kigge de plugins og services du bruger på dit WordPress igennem. Det kan være at nogle af dem har brug for ekstra plugins eller addons for at overholde GDPR.

Kontaktformularplugins

Den letteste måde at overholde GDPR på ift. din kontaktformular er ved at tilføje en påkrævet checkboks, som giver brugeren mulighed for at afgive samtykke til at personoplysningerne behandles.

Du kan læse om, hvordan du kan gøre Gravity Forms GDPR-kompatibelt. Hvis du bruger det gratis plugin Contact Form 7, så er det måske en bedre løsning at installere det gratis WP GDPR Compliance plugin.

Kommentarplugins

Selv kommentarplugin indsamler personoplysninger, så de skal muligvis også have en samtykke-checkboks. Her kan du også bruge det gratis WP GDPR Compliance plugin, men læs mere hvis du fx bruger Disqus eller Jetpack.

Markedsføring

Hvis du tilbyder at besøgende kan tilmelde sig dit nyhedsbrev, så skal du også være opmærksom på GDPR.

Google Analytics

De fleste tredjeparts services og plugins, der indsamler data er omfattet af persondataforordningen. Det gælder bl.a. Google Analytics , A/B splittesting, remarketing etc. I forhold til brugen af Google Analytics, så vil jeg anbefale dig som minimum at anonymisere IP-adresserne der indsamles. Du bør også logge ind på din Google Analytics-konto og læse og godkende de GDPR-dokumenter der er listet derinde, samt ikke mindst indstille det der hedder “Data Retention”.

Læs mere om Google Analytics og GDPR.

Webshop

Det er klart at enhver webshopløsning er omfattet af GDPR, eftersom de af naturlige årsager behandler en række personlige oplysninger og interagerer med tredjeparts betalingsløsninger. WooCommerce har gjort en masse for at leve op til GDPR, men du bør også orientere dig om, hvad du skal gøre hvis du fx bruger PayPal eller Stripe.

Webfronten kan hjælpe dig med GDPR

Som du måske kan fornemme er GDPR en kompliceret størrelse, som kan tage pusten fra de fleste. Som nævnt i starten er jeg ikke advokat, så jeg kan ikke garantere dig, at dit website lever 100% op til persondataforordningen. Men jeg kan hjælpe dig rigtig godt på vej, så dit WordPress-website er mere GDPR-kompatibelt i dag end det var i går.

Jeg har udviklet en GDPR-supportpakke i samarbejde med en advokat. Med pakken ”GDPR-support”, der er henvendt til dig med et WordPress website eller webshop, sparer du tid, kræfter og bekymringer. Jeg sørger for at dit website eller webshop overholder de fleste regler.

Læs mere om hvordan du får GDPR-support til dit WordPress website eller WooCommerce webshop