Hem / Säkerhet & GDPR / Säkra kontaktformulär enligt GDPR

Säkerhet & GDPR

Säkra kontaktformulär enligt GDPR

Ett vanligt kontaktformulär samlar in personuppgifter i samma stund som någon skriver sitt namn och sin e-postadress. Här är vad som faktiskt behöver stämma: vilka fält som finns med, hur uppgifterna skickas och sparas, hur ni skyddar formuläret mot spam, och vad besökaren ska få veta innan uppgifterna skickas.

De flesta hemsidor har ett kontaktformulär, och de flesta hemsideägare tänker sällan på det som en plats där personuppgifter samlas in. Men så snart formuläret ber om namn, e-postadress eller ett fritextmeddelande hanterar ni personuppgifter enligt dataskyddsförordningen (GDPR), och samma grundkrav gäller som för andra register: samla in det som behövs, skydda det som skickas och sparas, och berätta för besökaren vad som händer med uppgifterna. Det handlar inte om att bygga om formuläret från grunden, utan om att gå igenom fem konkreta punkter en gång och sedan hålla dem uppdaterade.

Vad ett säkert kontaktformulär kräver

Ett formulär som lever upp till grundkraven har fyra byggstenar på plats: fälten samlar bara in det som faktiskt behövs för ärendet, överföringen sker krypterat, det finns en bestämd tidsgräns för hur länge meddelanden sparas, och besökaren får se en kort integritetstext innan uppgifterna skickas in. Tabellen nedan kopplar varje risk till en konkret åtgärd, vem som brukar ansvara för den och vilken källa åtgärden vilar på.

RiskÅtgärdKontrollbevisKälla
Formuläret samlar in fler fält än nödvändigtTa bort valfria fält som inte används i handläggningen, t.ex. personnummer eller organisationsnummer utan syfteUppdaterad formulärkod med bara nödvändiga fältIMY / GDPR art. 5
Formuläret skickas okrypteratSäkerställ HTTPS på hela sajten, inte bara formulärsidanGiltigt SSL/TLS-certifikat, ingen blandad HTTP/HTTPS-trafikIMY informationssäkerhet
Meddelanden sparas utan tidsgränsSätt en gallringstid och rensa inkorgen enligt denDokumenterad lagringstid och genomförd gallringGDPR art. 5
Spamfilter delar data utan avtalKontrollera om leverantören är personuppgiftsbiträde och teckna avtalSignerat biträdesavtal med spamfilter- eller formulärleverantörIMY / GDPR art. 28
Ingen integritetsinformation vid formuläretLägg en kort text med länk till fullständig policy nära skicka-knappenSynlig integritetstext på formulärsidanIMY

Samla in bara det du behöver

Gå igenom formulärets fält och fråga er för varje fält: används det faktiskt när ärendet hanteras? Namn och e-postadress behövs nästan alltid för att kunna svara, men fält som personnummer, adress eller telefonnummer är sällan nödvändiga för ett vanligt kontaktärende och bör vara valfria eller tas bort helt. Samma sak gäller dolda fält som samlar in mer än vad besökaren ser, till exempel extra spårningsdata som skickas med utan att det finns ett tydligt ändamål. Ju färre fält som är obligatoriska, desto mindre finns det att skydda och desto lättare blir det att förklara vad uppgifterna används till. Ett vanligt kontaktformulär brukar landa ungefär så här, fält för fält:

  • Namn: behövs nästan alltid för att kunna svara personligt.
  • E-postadress: behövs för att kunna skicka svaret.
  • Telefonnummer: ofta onödigt om ni ändå svarar via e-post – gör det valfritt om inte ärendet kräver att ni ringer upp.
  • Personnummer: nästan aldrig nödvändigt för ett vanligt kontaktärende, ta bort fältet om det saknar ett tydligt syfte.
  • Adress: bara motiverat om ärendet faktiskt kräver fysisk leverans eller besök.
  • Meddelande/fritext: nödvändigt för själva ärendet, men undvik att uppmana besökaren att skriva känsliga uppgifter där.
  • Dolda eller tekniska fält: ta bara med dem om de har ett tydligt syfte, till exempel ett enkelt spamskydd, inte som standard.

Kryptera överföringen och sätt en lagringstid

Uppgifterna i formuläret ska färdas krypterat från besökarens webbläsare till er server, vilket i praktiken betyder att hela sajten, inte bara formulärsidan, ska ha ett giltigt SSL/TLS-certifikat och konsekvent HTTPS. En osäker anslutning gör innehållet läsbart för fler än avsändaren och mottagaren, och IMY förutsätter att den här typen av tekniska skyddsåtgärder anpassas efter risken i behandlingen. Kontrollera samtidigt vart meddelandena skickas vidare: hamnar de i en delad e-postinkorg, ett CRM eller ett formulärverktyg, och vem hos er som har åtkomst dit.

Lagringstiden är minst lika ofta förbisedd. Ett kontaktformulär utan gallringsrutin blir med tiden en samling gamla meddelanden som ingen längre har ett syfte med att spara, vilket strider mot principen om att inte lagra personuppgifter längre än nödvändigt. Bestäm en rimlig tidsgräns, till exempel att ärenden gallras eller arkiveras separat en viss tid efter att de är avslutade, och lägg in en påminnelse om att faktiskt genomföra gallringen i stället för att låta den bli en engångsinsats.

Spamskydd utan att bryta mot dataskyddskraven

Ett formulär utan spamskydd fylls snabbt av automatiserade inskick, men lösningen behöver inte innebära att ni delar mer data än nödvändigt med en extern part. Enklare tekniker som ett dolt honeypot-fält eller en gräns för hur många inskick samma avsändare kan göra på kort tid stoppar mycket automatiserad spam utan att skicka besökarens uppgifter någonstans alls. Om ni i stället använder en extern captcha- eller spamfiltertjänst som tar emot meddelandets innehåll eller besökarens IP-adress, behandla den leverantören som vilket personuppgiftsbiträde som helst: kontrollera vad tjänsten faktiskt samlar in, och se till att ett biträdesavtal finns innan tjänsten kopplas in, inte efteråt. Samma sak gäller andra tredjepartsverktyg kring formuläret, till exempel ett formulärplugin som mellanlagrar inskicken hos leverantören eller en tjänst som skickar e-postnotiser vidare till flera mottagare: så snart en extern part hanterar personuppgifterna räknas den som personuppgiftsbiträde, oavsett om det är captcha, spamfilter, formulärplugin eller notistjänst som är inblandad.

Vad integritetsinformationen vid formuläret ska innehålla

Besökaren ska kunna se, i nära anslutning till formuläret och inte bara i en generell policy längre bort på sajten, vad som händer med uppgifterna. En kort text räcker: vad uppgifterna används till, vilken laglig grund behandlingen stödjer, vem som tar emot dem (till exempel om ett formulärverktyg eller en supportfunktion är inblandad), hur länge de sparas, och hur besökaren gör om de vill fråga, rätta eller få uppgifterna raderade. Länka gärna vidare till en fullständig integritetspolicy för den som vill läsa mer, men låt inte hela informationen ligga dold där som enda källa.

Ett kort exempel som täcker det viktigaste kan se ut ungefär så här: "Uppgifterna du lämnar i formuläret används för att besvara ditt ärende. Vi sparar dem så länge ärendet är aktivt och en kort tid därefter, och lämnar dem inte vidare i något annat syfte. Vill du se, rätta eller få uppgifterna raderade, kontakta oss på [er e-postadress]. Läs mer i vår integritetspolicy." Anpassa texten efter er egen lagringstid och era egna rutiner i stället för att kopiera den rakt av.

Om formulärverktyget, e-posttjänsten eller spamfiltret drivs av en extern leverantör räknas leverantören som personuppgiftsbiträde. Kontrollera att ett biträdesavtal finns på plats innan formuläret tas i drift eller byter leverantör – annars saknas grunden för delningen, oavsett hur bra den tekniska lösningen i övrigt är.

Vanliga frågor

Är namn och e-postadress i ett kontaktformulär personuppgifter?

Ja. Namn, e-postadress, telefonnummer och även fritext som går att koppla till en levande person räknas som personuppgifter, oavsett hur formuläret ser ut eller hur få fält det har.

Måste kontaktformulär vara krypterade?

Formuläret ska skickas över en krypterad HTTPS-anslutning på hela sajten, inte bara på formulärsidan. Det är en teknisk säkerhetsåtgärd som IMY förutsätter anpassas efter risken i behandlingen, och en osäker anslutning gör uppgifterna läsbara för fler än avsändaren och mottagaren.

Hur länge får vi spara meddelanden från kontaktformuläret?

Bara så länge det finns ett faktiskt syfte, till exempel tills ärendet är avslutat plus en kort uppföljningsperiod. Sätt en bortre gräns och gallra sedan, i stället för att låta meddelanden ligga kvar i en inkorg på obestämd tid.

Bryter en captcha eller ett spamfilter mot GDPR?

Inte i sig, men om filtret drivs av en extern leverantör som tar emot meddelandets innehåll eller besökarens IP-adress räknas leverantören som personuppgiftsbiträde. Då behövs samma typ av biträdesavtal som för andra verktyg som hanterar uppgifterna åt er.

Vad ska stå i integritetsinformationen bredvid formuläret?

Ändamålet med behandlingen, den lagliga grunden, vem som tar emot uppgifterna, hur länge de sparas och hur besökaren kontaktar er för att utöva sina rättigheter. Informationen ska vara synlig i anslutning till formuläret, inte bara nämnd i en generell policy längre bort på sajten.