Du har måske hørt om ordet “GDPR”, der bliver drøftet på internettet. Det er stadig et temmelig varmt emne, især med alt der sker med data brud og sikkerhed i nyhederne. For at sige det enkelt er GDPR en lov om beskyttelse af personlige oplysninger, der har til formål at give borgerne kontrolen tilbage over deres personlige data. Sagt ligeud, GDPR påvirker, hvordan hele internettet beskæftiger sig med data. Den skræmmende del er, at fristen var sidste år (25. maj 2018), og mange spørgsmål vedrørende GDPR er plager stadig folk:

  1. Hvad er GDPR nøjagtigt? På lægmandens vilkår.
  2. Påvirker GDPR mig?
  3. Hvad skal jeg gøre for GDPR-overholdelse?

Mange har en tendens til at afskrække det, de ikke forstår. Skatter er et godt eksempel. For mange af os har GDPR simpelthen været lavere prioritet på vores tjeklister. Men deadline for GDPR er kommet og gået, og du bør virkelig tage et øjeblik og afgøre, om du skal foretage ændringer i den måde, din virksomhed eller dit websted fungerer på. Hvis du ikke gør det, kan der være store bøder involveret.

Bare rolig, vi forsøger at forklare alt, hvad du skal vide om GDPR nedenfor, samt hvad du kan gøre for at forberede. Men vi er ikke advokater, så vi forsøger ikke at kede dig med alle de juridiske detaljer.

GDPR kan virke overvældende! 😫 Men en lille advarsel, ignorer det ikke.Click to Tweet

Bemærk, at dette indlæg kun er til orienteringsformål og ikke bør betragtes som juridisk rådgivning.

Hvad er GDPR? Beskrevet simpelt

GDPR står for den generelle databeskyttelsesforordning. Det er en lov om beskyttelse af personlige oplysninger, der blev godkendt den 14. april 2016 af Europa-Kommissionen for at beskytte rettighederne for alle EU-borgere (28 medlemsstater) og deres personoplysninger. Dette erstatter 95/46 / EF-direktivet om databeskyttelse ra 24. oktober 1995 og er meget mere end cookieloven fra 2011 (snart erstattet af den nye EU-ePrivacy-forordning, som går hånd i hånd med GDPR). Udvidelsesplanen for forordningen blev fastsat til to år, og fristen var 25. maj 2018.

EU’s generelle databeskyttelsesforordning (GDPR) er den vigtigste ændring i lovgivningen om databeskyttelse inden for 20 år EU GDPR

Hvis du vil læse de omfattende officielle PDF-filer i forordningen (11 kapitler, 99 artikler), anbefaler vi at tjekke gdpr-info.eu, da de har alt på en netop arrangeret hjemmeside.

Der er et par nøgleord at komme videre:

Hvad er Behandling?

Hvis personoplysninger har adgang til eller opbevares eller brugt på nogen måde, betragtes det som behandling. Den fulde GDPR-definition af behandling omfatter alle følgende handlinger i forbindelse med personoplysninger, som f.eks. behandling af data: indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, ændring, hentning, høring, brug, transmission, offentliggørelse, formidling, kombination, justering, begrænsning, sletning eller ødelæggelse.

Grundprincipper for GDPR

Der er syv grundlæggende principper, der gælder for controlleren under GDPR:

  1. Data er blevet behandlet lovligt, retfærdigt og gennemsigtigt. Kræver at et samtykke er givet.
  2. Personlige data skal indsamles for et specifikt, eksplicit og legitimt formål og kun bruges til det formål.
  3. Personoplysninger skal være tilstrækkelige, relevante, og begrænset kollektion er kun nødvendig.
  4. Personoplysninger skal være korrekte og holdes ajourførte.
  5. Personoplysninger skal kun opbevares i identificerbar form i den korteste periode.
  6. Personlige data skal behandles som en måde, der sikrer datasikkerhed.
  7. Controlleren er ansvarlig for at kunne påvise overholdelse af disse principper.

Individuelle rettigheder under GDPR

Personer med beskyttelse under GDPR (EU-borgere) har syv rettigheder under GDPR, som processoren skal være villig til at opretholde:

  1. Ret til at blive informeret: Giver en person ret til at vide, hvilke oplysninger der er lagret om dem.
  2. En ret til adgang og portabilitet: En person kan anmode om, at deres information er et downloadebart format til enhver tid, samt at bruge eller overføre dataene til en anden tjeneste. (Artikel 20)
  3. En ret til berigtigelse.
  4. En ret til at blive glemt: Tillader en person at anmode om, at deres personlige oplysninger er helt slettet (medmindre der er en gyldig grund, såsom et banklån). (Artikel 17).
  5. En ret til at begrænse behandlingen.
  6. En ret til indsigelse.
  7. En ret til retfærdig behandling, når den udsættes for automatiseret beslutningstagning og profilering.

Yderligere GDPR noter

Desværre er alt ikke altid lige til, når det kommer til ting som dette, så her er et par ekstra ting at huske på:

Personlige data betyder enhver information vedrørende en identificeret eller identificerbar fysisk person (registreret) en identificerbar fysisk person er en, der direkte eller indirekte kan identificeres ved henvisning til en identifikator som navn, socialt sikkerhedsnummer, lokaliseringsdata, en online identifikator (IP-adresse eller e-mail-adresse) eller en eller flere faktorer specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den fysiske person. Det styrer også hvad der kan gøres med de personlige oplysninger (artikel 4).

Hvem påvirker GDPR?

Mens de nye GDPR-regler blev udformet til at beskytte EU-borgernes rettigheder, påvirker det i det væsentlige alle på internettet. Det er rigtigt, alle! Dette er uanset hvor en virksomhed er etableret, eller hvor dens onlineaktiviteter finder sted. Hvis din hjemmeside behandler eller indsamler data fra EU-borgere, skal du overholde GDPR-reglerne.

GDPR påvirker alle

GDPR påvirker alle

Her er blot et par eksempler på websteder uden for EU, der er påvirket:

Du kan sikkert se, hvor vi er på vej hen med dette. Medmindre du eksplicit blokerer al EU-trafik, som de fleste af jer sandsynligvis ikke gør, falder dit websted under GDPR-regler.

Hvis du spekulerer på, om din virksomhed allerede er kompatibel med GDPR, oprettede teamet på Mailjet en handy GDPR quiz. Vi anbefaler også at tjekke GDPR Checklisten.

Konsekvenser af ikke at overholde GDPR

Ifølge data.verifiedjoseph er der pr. 20. marts 2019 stadig 1,119 websteder, der ikke er tilgængelige i EU efter at GDPR blev iværksat. 😱 Mange af disse omfatter store nyhedsorganisationer.

Hvorfor? Fordi de ikke har kunnet overholde de tekniske implementeringer af GDPR og derfor ikke vil have bøder. Så de har simpelt hen blokeret trafik fra EU helt.

Hvis din virksomhed ikke overholder GDPR, kan du få sanktioneret op til 4% af den årlige omsætning på verdensplan eller bøder op til 20 mio. EUR (den højeste af de to) pr. overtrædelse. Der er også en række tilgang til bøder. For eksempel kan et selskab bøde 2% for ikke at have deres optegnelser i orden, uden at underrette tilsynsmyndigheden og registrerede om brud eller ikke foretage en konsekvensanalyse. (Artikel 83)

I januar 2019 slog fredsvagtholdet til Google op med en bøde på 57 mio. USD Under GDPR. Og fra februar 2019 har der været over 59.000 rapporterede data brud og 91 bøder.

Tjek GDPR bøder-trackeren på Privacy Affairs, for den seneste statistik. Naturligvis, hvis du er en lille e-handelsbutik eller WordPress-udvikler, kan disse bøder være ødelæggende!

Sådan laver du din WordPress Site GDPR-kompatibel

Nu til årsagen til, at i alle sandsynligvis læser disse blogindlæg, og det er sådan, du gør dit WordPress-websted GDPR-kompatibelt. Desværre, i modsætning til vores normale tutorials, kan vi ikke give dig et enkelt trin for trin vejledning, da det bliver kompatibelt, varierer pr. Websted. Men her er forslag til at komme på rette spor, samt yderligere ting at være opmærksomme på.

1. Leje en advokat

Hvis du har nogen bekymring over GDPR overholdelse (som de fleste af jer sandsynligvis har) anbefaler vi altid at ansætte en advokat, selvom det kun er midlertidigt. Dette er et af de områder, vi kraftigt opfordrer dig til ikke at forsøge at tackle på egen hånd. En advokat kan give dig juridisk rådgivning, der er specielt tilpasset din situation. Hvis du får det forkert, kan det medføre store bøder.

2. Gennemgå din dataopsamling og behandlingsproces

Vi anbefaler at gennemgå hele dit WordPress-websted og afgøre, hvor dataindsamling- og behandling finder sted, samt hvor oplysningerne er gemt, og hvor længe. Dette omfatter ting som:

Når du har fastlagt alle disse, skal du bekræfte, at du beder om den besøgendes tilladelse, samt at oplyse, hvordan de indsamlede data anvendes.

3. GDPR-projektet er blevet slået sammen til WordPress Core for udviklere

Dejlig Lama & Peter Suhm begyndte oprindeligt at arbejde på et projekt kaldet GDPR for WordPress. Dette skulle give plugin-udviklere en simpel løsning til GDPR, validere deres plugin og tilbyde webstedsadministratorer oversigten og værktøjerne til at håndtere de administrative opgaver, der er involveret i at være GDPR-kompatible. Men den store nyhed er, at dette nu er blevet en del af WordPress-kernen.

For at se, hvad der var gjort, kan du tjekke GDPR trace-billetterne samt roadmap for GDPR-overholdelse. Dette var lige så vigtigt for WordPress-brugere som det var for udviklere, da GDPR-overholdelse er en tovejs gade. WordPress-brugere havde brug for nye funktioner, der var indbygget i plugins, som de allerede brugte, f.eks. afkrydsningsfelter, vejledninger osv. for at sikre, at de er kompatible, når de samler data.

4. Opdater alle juridiske dokumenter

Med GDPR er det nu på tide at opdatere dine vilkår og betingelser-sider, privatlivs-sider, tilknyttede vilkår, samt andre juridiske dokumenter eller aftaler, du måtte have. Du kan ikke længere have formularer uden afkrydsningsfelter, medmindre de alle er under behandlingens lovlighed. Med andre ord skal der være en måde for brugeren at give et specifikt samtykke. Borte er de dage, hvor man bare smider vilkår i et link nederst og antager, at brugeren vil læse dem.

Betingelserne for samtykke er blevet styrket, og virksomhederne vil ikke længere kunne bruge lange ulæselige vilkår og betingelser, der er fulde af retssikkerhed, da anmodningen om samtykke skal gives på en forståelig og let tilgængelig form, med formålet med databehandling knyttet til det samtykke. Samtykke skal være klart og skelnes fra andre forhold og tilvejebringes i en forståelig og let tilgængelig form ved hjælp af klart og almindeligt sprog. Det skal være lige så nemt at inddrage samtykke som det er at give det. (Kilde: EU GDPR)

Igen er dette et område, som vi anbefaler at man benytter en advokat. Hvis du bare kører en simpel blog, skal du i det mindste bruge et værktøj som iubenda eller noget der ligner det, for at skabe stærkere privatlivspolitikker.

En ny privatlivsside-funktion blev tilføjet i WordPress 4.9.6. Du kan nu udpege en privatlivsside på dit websted, og det vises på dine login og registreringssider. Vi anbefaler også at sætte det i din sidefod.

WordPress privatlivsside

WordPress privatlivsside

Her er et eksempel på standard politik for beskyttelse af personlige oplysninger, der nu genereres af WordPress. Dette skal bruges som en skabelon og eller udgangspunkt, det vil ikke have alt, hvad dit websted har brug for.

Privatlivsside eksempel i WordPress

Privatlivsside eksempel i WordPress

5. Tilbyde dataportabilitet

Ifølge artikel 20, vil enhver virksomhed, der indsamler data, skulle give mulighed for, at brugeren kan downloade den og tage / overføre data andetsteds.

Den registrerede har ret til at modtage de personoplysninger om ham eller hende, som han eller hun har stillet til en registeransvarlig, i et struktureret, almindeligt anvendt og maskinlæsbart format og har ret til at overføre disse data til en anden registeransvarlig uden hindring fra den registeransvarlige, som personoplysningerne er blevet leveret til.

Sørg for at have et system på plads endnu for at give en bruger en downloadbar fil af deres data, hvis det ønskes (.csv, .xml, osv.). Hvis du ikke i øjeblikket kan tilbyde dette, kan du måske ansætte en WordPress-udvikler.

Nye funktioner vedrørende databehandling blev tilføjet i WordPress 4.9.6. Webstedsejere kan nu eksportere en ZIP-fil, der indeholder en brugers personlige data, samt slette en brugers personlige data. Der er også en ny e-mail-baseret metode, som de kan bruge til at bekræfte anmodninger om personlige data.

WordPress eksporter personlige data

WordPress eksporter personlige data

6. Selvcertificer under Privacy Shield Framework

På grund af det faktum, at mange hjemmesider indsamler data fra hele verden og med strammere begrænsninger i personoplysninger, certificerer mange virksomheder nu under EU-USA. og schweizer-us. Privacy Shield Framework. Disse blev designet af US Department of Commerce og European Commission og Swiss Administration for at give virksomheder på begge sider af Atlanterhavet en mekanisme til at overholde databeskyttelseskravene, når de overfører personoplysninger fra EU og Schweiz til USA til støtte for transatlantisk handel.

Læs mere om fordelene ved selvcertificering under Privacy Shield.

7. Krypter dine data / HTTPS

Med hensyn til kryptering er der forskellige dele til dette: kryptering af din webtrafik (HTTPS) og kryptering, hvor dine data er gemt. Vi anbefaler dig altid at kryptere din webtrafik, uanset GDPR. Fordelene ved at flytte til HTTPS langt opvejer ulemperne, og det er her, hvor nettet er på vej.

Begrebet kryptering er faktisk kun nævnt et par gange i GDPR og er ikke nødvendigvis obligatorisk.

For at opretholde sikkerheden og for at forhindre forarbejdning i strid med denne forordning bør den registeransvarlige eller forarbejdningsvirksomheden evaluere de risici, der er forbundet med behandlingen og iværksætte foranstaltninger til afhjælpning af disse risici, såsom kryptering (betragtning 83).

Så mens det ser ud til, at kryptering ikke er lovligt nødvendigt for at overholde GDPR, anbefales det, da du er ansvarlig for dataene. Hvis du bruger en WordPress-vært som Kinsta, er vi drevet af Google Cloud Platform, hvilket betyder, at alle data er krypteret i ro. Læs mere om GDPR-kryptering.

8. Tjek dine WordPress-temaer, plugins, services, API’er

Eventuelle WordPress-plugins eller tema-specifikke funktioner, du har installeret, som indsamler eller gemmer personlige data, skal opdateres for dit websted for at være fuldt GDPR-svagt. Hvis du er en WordPress-udvikler, har du forhåbentlig allerede lavet GDPR-ændringer for brugere. Vi vil medtage nogle populære plugins og konfigurationer nedenfor, sammen med direkte links til, hvordan de håndterer GDPR.

Kontaktformular plugins

En af de nemmeste måder at overholde GDPR på er at blot tilføje en nødvendig afkrydsningsfelt til din kontaktformular, der giver brugeren tilladelse til at acceptere, at deres indleverede data bliver indsamlet og gemt. Den vigtige del her er dog “lettest”. Ikke alle kontaktformularer behøver nødvendigvis samtykke. Dette kan falde ind under det, der kaldes lovlighed ved forarbejdning.

Kontaktformular 7 GDPR

Kontaktformular 7 GDPR

Tjek ekstra WordPress-kontaktformular plugins.

Kommentar plugins

Selv kommentarer plugins samler personlige oplysninger. Så ligesom med kontaktformularer er en af de nemmeste måder at sikre, at du overholder kravene, at tilføje et samtykke afkrydsningsfelt. Men igen kan dette falde ind under det, der kaldes lovlighed ved forarbejdning.

Et afkrydsningsfelt for samtykke blev for nylig tilføjet til indgående kommentarer i den seneste WordPress 4.9.6 Beskyttelse af personlige oplysninger og vedligeholdelse (som vist nedenfor).

WordPress indfødte kommentarer GDPR

WordPress indfødte kommentarer GDPR

Marketing plugin og tjenester

Alt fra nyhedsbreve plugins, undersøgelse plugins, quiz plugins, push notifikationer plugins, og din e-mail marketing software er påvirket af GDPR.

Analytics, tracking, remarketing

Enhver tredjepartstjeneste eller et plugin, der samler data. Dette omfatter ting som Google Analytics, A / B-test plugins, heat map tjenester, remarketingplatforme mv. Med hensyn til selve Google Analytics kan det anbefales at anonymisere IP’en.

Anonymize IP i Google Analytics

Anonymize IP i Google Analytics

Fra april lancerede Google en ny data retention indstilling for Google Analytics. Disse kontroller giver dig mulighed for at indstille tid, før brugerniveau og data fra begivenhedsniveau, der er gemt af Google Analytics, slettes automatisk fra Analytics ‘servere. Du kan få adgang til disse indstillinger under Admin → Ejendom → Sporinfo → Dataopbevaring.

Kæmper med nedetid og WordPress-problemer? Kinsta er hostingløsningen designet til at spare din tid! Tjek vores funktioner
Google Analytics datalagring

Google Analytics datalagring

Har du brug for en cookieprompt, hvis du kun bruger Google Analytics-rapportering og ikke viser annoncering? Det kommer an på. Tjek dette store indlæg fra Jeff på GDPR Overholdelse af Google Analytics – Do You Need Cookie Concernt?

e-handelsløsninger og betalingsprocessorer

Enhver form for WordPress eCommerce-løsning er selvfølgelig stærkt påvirket af GDPR, da disse indsamler salgsdata, personlige oplysninger, brugerkonto data og har integrationer med tredjeparts betalingsprocessorer.

Ud over ovenstående dokumentation anbefaler vi også stærkt at tjekke dette fantastiske blogindlæg om 12 måder at gøre din WooCommerce website GDPR kompatibel.

Community plugins

Community plugins, forum plugins og medlemskab plugins mange gange gemme yderligere personlige oplysninger bortset fra den integrerede WordPress tilmeldingsproces.

API’er fra tredjeparter

Selv tredjeparts API’er samler data. Et godt eksempel på dette er Google Fonts. De fleste af jer bruger sandsynligvis Google Fonts, om det er bagt ind i dit WordPress-tema, eller du manuelt har tilføjet det. Du skal virkelig se på hver API og finde ud af de data, som udbyderen samler. I nogle tilfælde er dataindsamling tilladt for lovlig bias uden samtykke (betragtning 49).

Dette kan være en masse arbejde og ligefrem forvirrende, da nogle virksomheder, selv Google, der muligvis ikke giver enkle ja eller nej svar. Tjek denne samtale mellem udviklere om, hvorvidt Google fonts er GDPR-kompatible. Du kan altid være vært for dine Google-skrifttyper lokalt på din egen CDN, og dette løser derefter problemet.

Vi holder opdateringen opdateret, da nogle WordPress plugin-udviklere arbejder på at tilføje GDPR-overholdelsesfunktioner. Eller endnu mere skræmmende, mange er ikke engang startet endnu. Hvis du har problemer med et plugin, du har kørt, skal du kontakte udvikleren direkte for at se, hvordan de planlægger at håndtere GDPR.

Lovligheden af ​​forarbejdning

Mens du blot spørger om samtykke som vist ovenfor, er den nemmeste måde at overholde GDPR på, er det ikke den eneste vej. Faktisk er databehandling i nogle tilfælde tilladt uden tilladelse på grund af betegnelsen lovlig behandling. Her er blot nogle få eksempler:

Kontraktmæssig nødvendighed

Databehandling er tilladt, hvis det er nødvendigt for udførelsen af ​​en kontrakt, som den registrerede er part i eller for at træffe foranstaltninger på anmodning fra den registrerede forud for indgåelse af en kontrakt (artikel 6, stk. 1, litra b)

Legitim interesse

Databehandling er tilladt, når det er nødvendigt med henblik på de legitime interesser, som registeransvarlig eller tredjemand forfølger, medmindre sådanne interesser tilsidesættes af den registreredes interesser eller grundlæggende rettigheder og friheder, der kræver beskyttelse af personoplysninger i især hvor den registrerede er et barn. (Artikel 6, stk. 1) f)

Bemærk: Dette gælder ikke for behandling udført af offentlige myndigheder i udførelsen af ​​deres opgaver.

For yderligere eksempler anbefaler vi at tjekke indlægget på lovlig basis for behandling af hvid og sag LLP.

Nyttige GDPR WordPress-plugins

Nedenfor er et par nyttige plugins, vi anbefaler også at tjekke ud, der kan hjælpe:

WP GDPR Compliance

WP GDPR Compliance

Vi byggede vores eget WordPress Cookie Consent Plugin

På grund af det faktum, at hver virksomhed og hjemmeside er anderledes, er det næsten umuligt for en tredjeparts plugin at garantere lovlig overholdelse.

Det er netop derfor, vi endte med at opbygge vores eget GDPR cookie-samtykke plugin. På denne måde kan besøgende på vores websted nemt tilpasse alt baseret på de scripts og cookies, vi har kørt. Dette sikrer, at vi er fuldt GDPR-kompatible.

WordPress brugerdefineret cookie samtykke plugin

WordPress brugerdefineret cookie samtykke plugin

Vi skilte vores cookies ud i tre kategorier: Nødvendige cookies (som indlæses som standard, men samler ikke PII), Analytics-cookies og markedsføringsk cookies. En bruger kan klikke på hver enkelt og vælge separat, hvis de vil acceptere dem eller ej.

Cookie indstillinger

Cookie indstillinger

Vi vil skrive et blog indlæg om, hvordan vi byggede denne løsning, så hold dig opdateret! Ellers kan du altid ansætte en WordPress-udvikler for at opbygge et specifikt til dit websteds behov.

GDPR Revision

Mere end forvirret? 😦 Bare rolig, GDPR kan være meget at ombryde dit hoved rundt, og det er en enorm ændring i forbindelse med personlig dataindsamling. Hvis du er bekymret for dit eget WordPress-websted, kan det være klogt at investere i en GDPR-revision af en ekspert, helst en, der kun arbejder med WordPress. Vi anbefaler at tjekke GDPR-revisionen fra GreyCastle Security.

Ændringer Kinsta foretog for GDPR

På grund af det faktum, at Kinsta er baseret i Europa, har vi fra starten haft strengere begrænsninger på vores data. Men som enhver virksomhed skal gøre, måtte vi revidere alle vores politikker med vores juridiske team vedrørende databehandling, indsamling og opbevaring.

Som du så ovenfor inkluderede dette kig på vores WordPress-websted og opbyggede vores egen cookie-godkendelsesløsning for at sikre, at vi var fuldt ud i overensstemmelse med deadline.

Kinsta anvender Google Cloud Platform, som er fuldt engageret i GDPR, og vi har gennemgået alle vores tredjepartsleverandører og integrationer for at arrangere lignende GDPR-klare databehandlingsaftaler.

Et par ændringer, vi har implementeret, omfatter:

Som Kinsta-klient kaldes du som en datastyring. Det betyder, at du er ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og demonstrere, at enhver databehandling udføres i overensstemmelse med GDPR.

Resumé

Som du nok har forstået, er GDPR en rigtig stor aftale! Det påvirker næsten alle WordPress-websteder på internettet. Fristen er kommet og gået, derfor opfordrer vi alle til at tage tid, gøre din forskning og sikre, at dit websted er fuldt kompatibelt. Hvis du ikke gør det, kan du se på nogle temmelig stødende bøder!

Har du nogen spørgsmål om GDPR og WordPress? Drop dem nedenfor i kommentarerne. Eller hvis du kender til et andet populært WordPress-plugin, der allerede er kompatibelt med GDPR, så lad os det vide, og vi tilføjer det ovenfor!


Hvis du godt kunne lide denne artikel, så vil du elske Kinstas WordPress hostingplatform. Boost dit website og få 24/7 support fra vores WordPress-ekspertteam. Vores Google Cloud-drevne infrastruktur fokuserer på automatisk skalering, ydeevne og sikkerhed. Lad os vise dig Kinsta-forskellen! Tjek vores planer