Hem / Säkerhet & GDPR / GDPR-checklista för dig som äger en hemsida

Säkerhet & GDPR

GDPR-checklista för dig som äger en hemsida

Du behöver inte vara jurist för att uppfylla GDPR, men du behöver veta vilka fem saker som faktiskt kontrolleras om det blir aktuellt. Här är en praktisk genomgång för dig som redan driver en hemsida med kontaktformulär, kunduppgifter eller e-postutskick.

Så snart en hemsida samlar in namn, e-postadresser eller andra uppgifter som går att koppla till en person hanterar du personuppgifter, och då gäller dataskyddsförordningen (GDPR) även för dig som ensamföretagare eller litet team. Det handlar sällan om att allt måste vara perfekt från dag ett, utan om att kunna visa att du vet vad som samlas in, varför, och hur det skyddas. Den här checklistan går igenom de delar som Integritetsskyddsmyndigheten (IMY) och EU:s dataskyddsförordning lyfter som mest centrala för den som äger en hemsida: personuppgiftsansvar, avtal med leverantörer, formulär och incidentberedskap.

Direkt svar: vad GDPR faktiskt kräver av dig som hemsideägare

Enligt Integritetsskyddsmyndigheten (IMY) ska den som behandlar personuppgifter ha en laglig grund för behandlingen, ge tydlig information till de registrerade, hålla uppgifterna säkra och kunna visa att man lever upp till detta i praktiken. I klartext betyder det att du som hemsideägare bör kunna svara på tre frågor för varje ställe där personuppgifter samlas in: vilka uppgifter rör det sig om, vem mer får se dem (till exempel ett formulärverktyg eller en e-postleverantör), och hur länge de sparas innan de gallras. Kan du inte svara på det i dag är det själva utgångspunkten för att börja arbeta igenom checklistan nedan, snarare än ett tecken på att något redan är fel.

Checklista: fem områden att gå igenom

Gå igenom punkterna i den ordning de står. De bygger på varandra, och du behöver inte vara klar med allt på en gång för att ha gjort framsteg.

OmrådeVad du kontrollerar
KartläggningVar på hemsidan samlas personuppgifter in (formulär, nyhetsbrev, orderhistorik, kommentarer, kakor och analysverktyg) och vilka uppgifter rör det sig om
Laglig grundVilken grund du stödjer varje behandling på, till exempel avtal, samtycke eller berättigat intresse
LeverantörsavtalOm varje extern tjänst som hanterar uppgifterna åt dig har ett personuppgiftsbiträdesavtal på plats
Information till besökareOm integritetspolicyn faktiskt speglar vad som samlas in och varför, inte en generisk mall
IncidentberedskapOm du vet vem som gör vad och hur snabbt, om ett formulär eller en databas läcker uppgifter

De vanligaste källorna till personuppgifter på en vanlig hemsida är kontaktformulär, nyhetsbrevsanmälan, kundkonto eller orderhistorik i en webbutik och kommentarsfält – men glöm inte kakor (cookies) och analysverktyg som mäter besöksstatistik, eftersom de också kan samla in uppgifter som går att koppla till en person. Kakor styrs delvis av andra regler än GDPR; läs mer om vad som gäller vid samtycke hos PTS. Glöm heller inte webbhotellet och e-postleverantören: de lagrar och säkerhetskopierar ofta uppgifter åt dig, vilket är ännu en anledning till att biträdesavtalet med dem behöver finnas på plats.

Risk, åtgärd och källa

Tabellen nedan kopplar varje risk till en konkret åtgärd och till den myndighetskälla åtgärden vilar på, så att du kan kontrollera underlaget själv.

RiskÅtgärdKontrollbevisKälla
Leverantör behandlar personuppgifter utan avtalTeckna personuppgiftsbiträdesavtal med instruktioner, säkerhetsåtgärder och underbiträden angivnaSignerat avtal arkiveratIMY
Formulär samlar in mer än nödvändigtTa bort fält som inte används och ange syfte i policynUppdaterad formulärkod och policytextIMY / GDPR art. 5
Ingen rutin vid dataintrångTa fram en enkel steg-för-steg-lista: vad stängs av, vem kontaktas, vad dokumenterasSkriftlig incidentrutinGDPR art. 33–34
Okänt om 72-timmarsregeln gäller erBedöm risknivån direkt vid upptäckt, inte efter att utredningen är klarTidsstämplad bedömningIMY
Ingen har koll på vem som är personuppgiftsansvarig interntUtse en person eller roll som ansvarar för dataskyddsfrågorNamngiven kontaktpersonIMY

Prioriteringsordning: vad småföretag bör göra först

Har du begränsat med tid är det här ordningen som ger mest nytta snabbast:

  1. Stoppa onödig insamling. Ta bort formulärfält, nyhetsbrevsrutor eller kakkategorier som du faktiskt inte använder eller behöver – det minskar både risk och arbete med resten av listan.
  2. Säkra avtalen. Se till att varje leverantör som behandlar uppgifter åt dig, till exempel webbhotell, e-post eller formulärverktyg, har ett biträdesavtal på plats.
  3. Dokumentera en incidentrutin. Skriv ner vem som gör vad om ett formulär eller en databas läcker, innan det händer.

Praktisk rutin för små team

För ett litet team räcker det oftast med en enkel årlig genomgång snarare än ett tungt system. Sätt av en halvtimme, gå igenom tabellerna ovan, och notera vad som redan är på plats och vad som saknas. Biträdesavtal är den punkt som oftast glöms bort, eftersom det lätt uppfattas som att det vanliga tjänsteavtalet med till exempel webbhotellet eller formulärverktyget räcker. Enligt IMY krävs dock en separat rättsakt som reglerar just personuppgiftsbehandlingen, inklusive ändamål, vilka typer av uppgifter det gäller, säkerhetsåtgärder och vad som händer med uppgifterna om avtalet upphör. De flesta seriösa leverantörer har ett sådant avtal färdigt att skriva under digitalt, så det handlar oftast om att aktivt be om det snarare än att förhandla fram det själv.

Incidentberedskap behöver inte vara mer avancerat än en kort lista sparad tillsammans med övrig dokumentation: vem i teamet som upptäcker och bedömer en misstänkt incident, vem som har mandat att stänga av ett läckande formulär eller konto, och vem som ansvarar för att en eventuell anmälan till IMY skickas i tid. Öva gärna igenom listan en gång per år, även om inget har hänt, så att den faktiskt fungerar den dag den behövs. Planerar ni en ny webbplats från grunden kan vår systersajts checklista för ny webbplats vara ett bra komplement för de tekniska bitarna.

När du behöver extern hjälp

De flesta punkterna ovan går att lösa själv med lite tid, men vissa situationer är värda att lyfta till en jurist eller konsult med dataskyddskompetens: om verksamheten behandlar känsliga personuppgifter i större omfattning, om ni är osäkra på om ett dataskyddsombud krävs, eller om en faktisk personuppgiftsincident redan har inträffat och ni är osäkra på om den ska anmälas. I de lägena väger en kort konsultation tyngre än att gissa sig fram, eftersom en felaktig bedömning av 72-timmarsregeln kan vara svårare att rätta till i efterhand än att fråga i förväg.

Kom ihåg: det är bedömningen av risk som styr om en personuppgiftsincident ska anmälas till IMY, inte hur allvarlig den känns. Är ni osäkra, dokumentera bedömningen ändå och våga fråga IMY eller en dataskyddskunnig rådgivare i förväg snarare än att vänta.

Vanliga frågor

Är jag personuppgiftsansvarig bara för att jag har ett kontaktformulär?

Troligen ja. Så snart hemsidan samlar in namn, e-post eller andra uppgifter som går att koppla till en levande person är du personuppgiftsansvarig för den behandlingen, oavsett hur liten verksamheten är.

Räcker det med ett vanligt avtal med webbhotellet eller e-postleverantören?

Nej. Enligt IMY krävs ett särskilt personuppgiftsbiträdesavtal (eller motsvarande rättsakt) med varje leverantör som behandlar personuppgifter åt dig, utöver det vanliga tjänsteavtalet.

Måste varje litet fel i hanteringen anmälas till IMY?

Nej. Anmälan till IMY krävs när det inte är osannolikt att en personuppgiftsincident medför risk för de registrerades rättigheter och friheter, och den ska då göras inom 72 timmar från att du fått vetskap om den.

Behöver ett litet företag ett dataskyddsombud?

Inte automatiskt. De flesta småföretag med en vanlig hemsida omfattas inte av kravet, men det är klokt att dokumentera den bedömningen så att du kan visa att frågan faktiskt är övervägd.