GDPR - vad måste man tänka på för en webbsajt

Publicerad mars 2022

GDPR är en bra sak, och egentligen ganska enkel att förhålla sig till. Ibland tycks det finnas lite missuppfattningar om att GDPR har med webblösningar och data över internet att göra, men det är mycket större än så. Eftersom vi är en webbyrå ska vi hålla oss till några konkreta tips om vad man ska tänka på när det gäller GDPR för sin webbsajt.

Dataskyddsförordningen (GDPR) började gälla 25 maj 2018 i Sverige och övriga EU. Datainspektionen kan besluta att ett företag som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift, vilket är en form av böter.

GDPR gäller alla företag som är verksamma inom EU och finns till för att säkerställa en trygg hantering av personuppgifter och därigenom skydda medborgarnas integritet. Det är företagare ansvarar du för kunders, anställdas och leverantörers personuppgifter och för att lagen följs. 

Grundläggande principer för GDPR

Förenklat kan man säga att GDPR utgår från följande principer:

  • Bestäm i förväg vad personuppgifterna ska användas till och använd inte uppgifterna till något annat
  • Samla inte in fler personuppgifter än vad som behövs
  • Samla endast in personuppgifter för ett specifikt syfte
  • Samla endast in personuppgifter om det är tillåtet 
  • Informera de personer vars uppgifter du samlar in
  • Se till att personuppgifterna är korrekta och uppdaterade
  • Radera personuppgifter som inte längre behövs
  • Skydda uppgifterna från otillåten användning och obehörig åtkomst
  • Dokumentera hur du har tänkt i din hantering av personuppgifter
  • Spara inte uppgifterna längre än nödvändigt
  • Skydda de personuppgifter som hanteras i företaget

Läs mer hos IMY (integritetskydssmyndigheten).

Vad behöver man då tänka på för en webbsajt?

Om din sajt inte samlar in några personuppgifter behöver du inte tänka på något alls, men de fallen är sällsynta. Om sajten använder något av följande måste du redogöra för en personuppgiftspolicy och berätta hur datan hanteras:

  • Formulär där personuppgifter, t ex en mailadress ska anges
  • Inloggning av någon form där användarna kan kopplas till personuppgifter (vilket oftast är fallet)
  • Funktionalitet som chat, fomrum, kommentarsfält elelr annat där anvädnarena anger någon form av data
  • Mätning av besökare eller annonser genom externa lösningar (exempelvis Google Analytics och Google Ads)  

Våra bästa tips för att följa GDPR som webbsajtägare

Vi får många frågor och gör alltid vad vi kan för att svara på dem, men det viktigaste är att företaget själv alltid har ansvaret för sin data och GDPR-policy och det är något man absolut måste ha koll på.

Informera och kommunicera tydligt

Se till att tydligt berätta om er GDPR-policy, vilka uppgifter som samlas in, hur uppgifterna ska användas, av vem och hur de sparas. Ofta löser man det med en tydlig länk i sidfoten till en integritetspolicy, men tänk på att hänvisa till den och be om samtycke vid t ex formulär.

Tänk också på att det är viktigt att informera berörda personer om det skulle ske ett dataintrångsbrott eller om det finns en allvarlig risk för det. 

Använd en laglig consent och cookie lösning

Detta är idag ett måste, och en viktig del av att besökarna måste ge sitt samtycke till vilka uppgifter som samlas in. Direkt vid ett besök på sajten måste besökarna frågas efter samtycke till att cookies används vid mätning av besöksstatistik eller marknadsföring om detta används. Besökarna ska också kunna ändra sitt val och dra tillbaka sitt samtycke när som helst. (Vi har skrivit en helt egen artikel om cookies här).

Varje gång sajten samlar in uppgifter, vid en beställning eller genom att fylla i ett formulär med sin mailadress behövs ett samtycke.

Minimera uppgifter som måste anges i formulär

Tänk igenom vilka uppgifter som behövs och vad de ska användas till och lägg bara till de fält som verkligen behövs. För att registrera sig till ett nyhetsmail kanske det bara behövs en mailadress, men för att göra en beställning i en e-handel behövs ju betydligt mer för att kunna leverera beställningen. 

Ta bort data som inte används

Ofta använder man en plugin eller modul för att skapa formulär där inkomna svar sedan dels sparas på webbserver och dels skickas vidare till en mail inom företaget och/eller till ett annat system (exempelvis ett CRM).

Då har man plötsligt samma data sparad på flera olika ställe - och det är lätt att glömma bort.

En enkel grundregel är att man inte ska spara personuppgifter längre än vad man behöver (eller får lov). Egentligen ska data som inte längre behövs för sitt syfte som de en gång samlades in för tas bort. I praktiken innebär det att data som hamnat i ett annat system och tas om hand där ska bort från webbservern. Här kan man enkelt sätta upp lösningar som automatiskt raderar inkommen formulärdata efter en viss tid.

Använd SSL

GDPR omfattar även det krav på att känslig data ska krypteras, det vill säga att den görs säker under transportsträckan mellan avsändare och mottagare - vilket kräver att webbsajten använder ett SSL-certifikat. Det finns flera bra skäl förutom GDPR till att se till att det finns ett SSL-certifikat på webbservern - bl a av säkerhetsskäl, för SEO:n och för att inte få besökare att inte våga besöka sajten. Läs mer om SSL här.

Se över vilka tjänster som används

Tänk på att det är din organisation som är ansvarig för vad din sajt samlar in, även om du använder externa lösningar. Ofta finns det många olika typer av program och tjänster som är gratis, men som samlar in data - t ex olika mätverktyg, uppföljning och riktning av annonser och typsnitt. Om man exempelvis använder sig av Google fonts skickas användarens IP-adress vidare till Google i USA - och sedan är det ju svårt att svara på hur den datan används.

Det kan också handla om betallösningar eller tjänster som nyhetsmailsvertktyg eller nyhetstjänster.   

Vem ska ta ansvar för vad?

Det är alltid företaget som äger sajten som är ansvarig för att ha en GDPR-policy. Det handlar alltså inte bara om vilka fält som finns att fylla i på sajten - utan den täcka företagets policy för detta i stort. Varför samlas vissa uppgifter in? Vad ska de användas till? Hur hanteras de? Var sparas de? När tas de bort? Vilka andra systemet får tillgång till datan och hur använder de dem? Det är därför något man måste ta fram och ansvara för själv. 

Din webbyrå kan hjälpa dig att se till att sajten har SSL, att svara på vilken data som samlas in och var den sparas (även om ni förstås säkert har definierat detta gemensamt från början när sajten utvecklades), och att lägga till consentlösningar.

Ofta kan vi också svara på vilka cookies som används - men inte alltid, och framför allt inte vad datan används till i nästa led. Idag hanteras också mätningar och analys ofta av en mediabyrå eller SEO-byrå och olika data och mätningarna samlas in och hanteras bakom ett GTM (Google Tag Manager) konto. Då måste de som hanterat GTM-kontot svara på vad som mäts så att vi vet vilka inställningar som behövs för att hantera cookies.

Det ska också finnas en handlingsplan för att upptäcka, rapportera och undersöka överträdelser vid hantering av användardata och den kan man gärna stämma av med sin webbyrå och med den part som är ansvarig för driften så att man kan agera snabbare i en sådan situation. 

Vad är SSL och måste man ha det?

Alla har säkert hört talas om SSL och alla vill säkert "surfa säkert". Men vad betyder det egentligen? Och varför kan en sajt vara osäker även om man har ett SSL certifikat?

Läs om SSL och säker surf

Vad gäller för cookies på en webbsajt?

De flesta kanske vet vad en cookie är, men hur stänger man av dem? Bör man stänga av dem? Vad gäller för en webbsajt som vill använda cookies?

Läs mer om cookies här

Behöver man anonymisera sin data i Google Analytics?

Det beror på vem du är och vilka regler och riktlinjer ni måste följa. Det finns faktiskt flera olika, ganska enkla lösningar för att anonymisera IP-adresserna i sin data.

Hur man kan anonymisera sin data i Google Analytics