Konkrete tips til helt praktisk at få bedre styr på din GDPR compliance
Skrevet af: Thomas Iversen 22-05-2018 Skrevet i: Kommunikation, WordPress
GDPR er over os, og du har med sikkerhed fået adskillige e-mails fra diverse hjemmesider, om at der nu er komme nye betingelser, og at du kun skal reagere, hvis du ikke er enig i disse.
Lad mig starte med at sige, at jeg hverken er advokat eller GDPR-ekspert. Jeg er som så mange andre, en hjemmeside-ejer, som gerne vil leve så godt op til GDPR-kravene som muligt. I denne artikel vil jeg gerne dele nogle af de konkrete ting jeg har gjort på mine sider, så i også kan få glæde af dem og implementere dem på jeres. Artiklen er således målrettet jer som har en hjemmeside eller webshop, og som gerne vil forsøge at leve op til GDPR.
Dette er på ingen måde en komplet guide til at leve op til GDPR, da det du skal gøre, 100% afhænger af, hvilken data du gemmer på dine brugere og hvordan du evt. deler den. I denne artikel vil jeg dog gennemgå nogle ting, som langt de fleste skal have kigget på, men det kan sagtens være, at du udover disse, også skal gøre andre ting.
Anonymiser IP´er i Google Analytics
Selvom man måske ikke skulle tro det, så er dine brugeres IP-adresser faktisk et stykke følsomt data. Denne data deler du sandsynligvis med Google Analytics, og dermed skal i have en aftale om, at dele denne data mellem jer.
Det lyder måske lidt indviklet med aftaler om deling af IP-adresser, og for de flestes vedkommende, så er IP-adresser et ligegyldigt stykke data, de ikke bruger i Google Analytics alligevel.
Hvis det er tilfældet, kan du lige så godt anonymisere IP-adresser, der sendes til Google Analytics – så er du ihvertfald på den sikre side.
Dette gør du helt simplet ved at tilføje { ‘anonymize_ip’: true } i din Google Analytics tracking kode.
Følgende kode:
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-34021029-1"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'DIT TRACKING ID');
</script>
Bliver således til:
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-34021029-1"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'DIT TRACKING ID', { 'anonymize_ip': true });
</script>
Når du sender data til Google Analytics, vil IP´er nu være anonymiseret, og du deler nu ikke længere data med Google Analytics, som kan betegnes som værende personfølsomt.
Vær dog opmærksom på, at hvis du har custom-hændelser sat op eller anden form for skræddersyet tracking, så er det vigtigt, at du tjekker dette igennem og sørger for, at den data som du sender ind i Google Analytics her, ikke er personfølsom.
Anonymiser data du ikke har grund til at opbevare
Dette er en generel regel du bør følge. Hvis du ligger inde med data på personer, som du ikke har grund til at ligge inde med, så bør du anonymisere denne data.
Her på NemProgrammering.dk havde vi eksempelvis lidt over 600 brugere på vores forum, som havde registeret sig for mere end 1 år siden og som ikke havde brugt forumet i mere end 2 år. Disse personer havde vi email og IP på, hvilket er personfølsomt data. Da brugeren ikke længere kan betegnes som aktive valgte vi derfor at anonymisere disse data, da vi ikke kan begrunde, hvorfor vi burde beholde denne data. Man kunne måske argumentere for, at den data vi havde skulle bruges for at de kunne logge ind, men da brugeren ikke var aktive, valgte vi har anonymisere dem.
De samme overvejelser skal du gøre dig – Har du data på personer, som du ikke absolut har brug for at have for f.eks. at levere et produkt / ydelse til denne person?
Opdater dine cookie- og privatlivsbetingelser
Lad os se det i øjene, det er de færreste af os som har råd til at få en advokat til at lave et helt nyt sæt betingelser til vores hjemmeside eller webshop – så hvad gør man lige?
Den letteste måde at får styr på betingelserne er at finde en virksomhed på markedet, som laver nogenlunde det samme som dig selv, og som du ved har brugt mange penge og tid på at leve op til GDPR.
Find så denne virksomheds cookie- og privatlivsbetingelser og brug dem på din egen side. Du skal selvfølgelig rette dem til og skrive om, så de passer til dig og din side, men langt hen ad vejen er det meget standard det der skal stå, og det kan sagtens bruges på din side også.
Få styr på dine 3. part scripts med Google Tag Manager
Google Tag manager er et gratis service stillet til rådighed af Google. Med Google tag-manager kan du nøjes med at indsætte ét script på din side og via et interface styre, hvilke scripts Google Tag Manager skal indsætte på din side.
Bruger du f.eks. Facebook tracking pixel, Google Analytics, AdWords, Hotjar, Zendesk eller andre tjenester, som er implementeret via scripts på din side, kan du implementere og styre dem igennem tag manageren et centralt sted.
Det smarte med Tag manageren er desuden, at du kan indbygge logik. F.eks. kan du sige, at hvis brugeren ikke accepterer cookies ved at trykke accept eller ligefrem vælger at sige “nej tak”, så skal der ikke indsættes scripts fra f.eks. Facebook og Google AdWords.
Jeg kan i den forbindelse anbefale cookieconsent.insites.com som netop har en opt-out funktion, der kan implementeres sammen med Google Tag Manager.
Oplys dine brugere om de nye betingelser
Hvis du har personfølsomt data på brugere, skal du underrette dem om dette, og at du har opdateret dine betingelser. Her kan du med fordel få inspiration fra nogle af de mails du med garanti allerede har fået fra andre virksomheder, som også har arbejdet med GDPR.
Jeg fik f.eks. denne fra Dinero.dk (regnskabsprogram), som på en fin og uhøjtidelig måde gør mig opmærksom på, at betingelserne er ændret, men at jeg ikke behøver at gøre noget, medmindre jeg er voldsomt uenig i dem.
Kære Dinero-bruger
Du modtager denne mail, fordi vi har registreret data om dig/din virksomhed i Dinero. Måske bruger du Dinero dagligt, eller måske har du bare engang oprettet en gratis konto og aldrig brugt den :-)
Derfor skriver vi til dig
EU’s nye lov om beskyttelse af persondata (GDPR) træder i kraft den 25. maj 2018. Det ved du nok godt fra de 176 lignende (kedelige) e-mails, du har modtaget fra alverdens virksomheder.Den korte forklaring
Du ejer stadig selv al din data. Vi har bare gjort det nemmere for dig at finde information om, hvordan vi bruger din data.Den lange forklaring
Du behøver ikke godkende vores betingelser igen, men du kan læse de opdaterede vilkår og betingelser her. Hvis du er helt vildt interesseret i GDPR, er du også meget velkommen til at læse vores blogindlæg.Her kan du downloade din DPA (databehandleraftale).
GDPR behøver altså ikke være tørt og indviklet overfor dine brugere, hvilket denne mail er et godt eksempel på.
Redegør for din data
En del af de nye regler indebærer, at du skal kunne redegøre for, hvilke data du har om dine brugere og hvem de deles med.
For nogle kan dette være en stor opgave, men for de fleste så er det ret lige til at kortlægge, hvad du ved om dine brugere:
Lav derfor et Excel-ark hvor du noteret følgende:
- Hvilken data har du om dine brugere og hvordan er de gemt?
- Hvad bruger du den til?
- Hvem deler du den evt. med og er der en aftale herom?
Det lyder måske lidt fesent med et Excel ark, men det vigtigste er, at du har kortlagt dette. Hvis du nogenside skulle blive hacket, så kan du fremvise dette dokument som en hjælp til at begrænse omfanget af dit datalæg.
Udover at kortlægge din data kan du i samme ark beskrive, hvad du vil gøre i tilfælde af, at du skulle blive hacket.
Det gjorde jeg f.eks. selv på WeTeach.dk, og det tog faktisk ikke mere end 10 minutter.
Helt overordnet har jeg ladet mig fortælle, at så længe du har gjort hvad du kunne for at leve op til GDPR, så vil en evt. bødestørrelse også afspejle dette. Hvis du slet ikke har gjort noget og været total ligeglad, ja så er det ingen kære mor!
