Hva betyr GDPR for din nettside

I mai 2018 trer nye personvernregler i kraft - GDPR. Dette betyr at alle bedrifter må legge ut informasjon i.h.t GDPR på sine websider.

GDPR (General Data Protection Regulation) er EUs nye lov om hvordan bedrifter skal håndtere og lagre personopplysninger. EU har bestemt at den skal gjelde likt i alle EU-land og styrker enkeltpersoners kontroll over «sine» data.

 Anders instebø, digital rådgiver hos skarp, jobber for tiden for å tilpasse websider til nye krav om personopplysninger.

Anders instebø, digital rådgiver hos skarp, jobber for tiden for å tilpasse websider til nye krav om personopplysninger.

Tiltak på nettsiden

På dine nettsider vil det normalt hentes inn informasjon fra brukere via såkalte cookies. Dette brukes bl.a av Google Analytics som henter informasjon om antall besøk, antall klikk, aktivitet på nettsiden m.m. 

Alle nettsider blir nå pålagt å informere om hvilken type cookies som benyttes og hvilken informasjon som innhentes fra brukerne. 

Mer informasjon om GDPR

Så hvilke endringer må du gjøre på nettsiden din? 

Plugins og integrasjoner

Du er selv ansvarlig for at plugins du har installert og integrasjoner mot andre systemer på siden er kompatibelt med det nye lovverket. Det vil si at alle plugin og tredjepartssystem du har må ha en funksjon for informering, eksportering og sletting av innsamlet brukerdata.

Be alltid om tillatelse

Du må be om tillatelse og fortelle på en tydelig måte hvorfor og hvordan du ønsker å bruke informasjonen til hver enkelt bruker. Det gjelder uansett hva hensikten din er med informasjonsinnhentingen.

Bruk enkelt språk

Når du skal fortelle om personvern og vilkår på nettsiden din må språket du bruker være enkelt.

 

Hva er personopplysninger ifølge GDPR

Personopplysninger er informasjon som kan knyttes til deg som enkeltperson. Det vil si alt fra kontaktopplysninger til atferdsmønsteret ditt og dine preferanser. Alle elektroniske spor du legger igjen er personopplysninger.

Informasjonen om deg er verdifulle og ettertraktet, og det gjør de også svært sårbare. Derfor blir din bedrift pliktet å innhente data på brukernes premisser og å passe godt nok på personopplysningene dere besitter.


Premisser for innhenting av informasjon

Det som blir viktig når det kommer til innhenting av personopplysninger på nettsiden din er:

  • At brukerne gir et aktivt samtykke
  • At alle får tilgang til egne personopplysninger
  • At vi ikke tar med data som ikke er nødvendig

Aktivt samtykke

Når du skal sende ut nyhetsbrev eller SMS til dine kontakter må de aktivt ha samtykket at de ønsker å bli kontaktet av deg. Samtykke må være frivillig, uttrykkelig og informert. I praksis vil det si at der du henter inn e-postadresser til e-postlisten din må det være en boks der de krysser av at de godtar å bli tilsendt nyhetsbrev. Denne boksen kan ikke være forhåndsutfylt. Dette valget skal personen ta frivillig uten å bli lokket med spesielle fordeler eller at det skal være en forutsetning for å få tilgang til noe annet. Det skal også komme tydelig frem hva personen samtykker til.

Tilgang til egne personopplysninger

Personer som ønsker å få innsyn i opplysningene du har om dem og hvordan de brukes har rett til dette, og nytt for loven er at de også kan få overført denne informasjonen til andre systemer og virksomheter. Personer har også “rett til å bli glemt” som gir hver og en av oss rett til å få fjernet feilaktig og utdatert informasjon om oss selv. Personopplysningene dere har lagret skal og bør derfor være lett tilgjengelig sånn at de som måtte ønske det har tilgang til sin egen data, og det må du legge til rette for.

Data som ikke er nødvendig

Med GDPR må du rettferdiggjøre all data du har lagret på hver enkelt person. Sørg derfor for at du innhenter informasjon du faktisk har nytte av og kan gjøre rede for at du besitter, i stedet for å samle på data du ikke trenger.