Nå nærmer det seg innføringen av GDPR, og vi har fått mange henvendelser fra kunder med spørsmål rundt dette. Vi har derfor valgt å skrive en artikkel som forklarer litt hva man må tenke på for å etterkomme GDPR i WordPress.

Før vi starter ønsker vi å nevne at denne artikkelen ikke er ment som juridisk bistand, da ingen av oss i Sircon er jurister. Artikkelen er kun ment for teknisk bistand for å møte de viktigste punktene i GDPR. Dersom du er usikker på om nettsiden din etterkommer GDPR, anbefaler vi at du tar kontakt med en advokat.

Hva er GDPR?

GDPR (General Data Protection Regulation) er en regulering innført av EU, som skal bidra med å beskytte forbrukerens personlige informasjon. Dette innebærer blant annet tilgang til å se hvilken data som er lagret, og samtidig ha muligheten til å slette dette.

GDPR påvirker alle foretak som skal behandle personlig informasjon om forbrukerne, uavhengig om foretaket er registrert i et EU-land eller ikke.

GDPR blir også innført som personvernregelverk i Norge, som betyr at vi også er nødt til å etterkomme disse reguleringene.

Les gjerne mer om GDPR her.

Generelt

GDPR består av omkring 200 sider med regler, så vi velger å kun ta med de viktigste reglene her.

Du må ha en databehandleravtale med hostingleverandøren din, og eventuelle tredjeparter som mottar personlig informasjon. Dette kan eksempelvis være Google Analytics, Facebook Pixel eller en tredjeparts tjeneste for utsending av nyhetsbrev.

I tillegg bør du ha en god personvernerklæring, og kanskje også en datapolitikk.

Vi i Sircon har databehandleravtale, personvernserklæring og datapoltikk på våre nettsider:

Eksplisitt samtykke

Du må få samtykke av en person før du kan lagre og behandle informasjon om vedkommende. Dette gjelder for eksempel om du har påmelding til nyhetsbrev, kontaktskjema eller om du henter inn informasjon på andre måter.

Samtykke som bruker har gitt må kunne dokumenteres.

Rettigheter til data

Personer du har samlet informasjon om, har retten til å få tilgang til sine data. I tillegg har de retten til å bli glemt.
I hovedsak skal vedkommende ha muligheten til å laste ned sine data, og samtidig ha muligheten til å slette all data om seg selv.

Varsling ved brudd

Dersom foretaket har opplevd brudd i datasystemer eller at sårbarheter er blitt utnyttet, skal dette rapporteres til myndighetene. Dette med mindre bruddet er betraktet som harmløst og at det ikke er risiko for at personlig informasjon har lekket ut.

Hvis det er en høy risiko for at personlig informasjon har lekket ut, skal hver enkelt som er påvirket varsles.

WordPress ut av boksen

WordPress etterkommer GDPR ut av boksen, fra og med versjon 4.9.6. De har blant annet implementert en del verktøy som skal bistå med å etterkomme GDPR.

Uthenting og sletting av personlig informasjon

GDPR-reguleringen sier at en hver bruker har rett til å få laste ned all informasjonen et foretak har lagret om vedkommende. I tillegg har brukeren retten til å bli glemt. Dette innebærer at du må gi brukeren tilgang til all data, og samtidig slette all informasjon dersom de ber om dette.

Forespørsler om eksportering av data og sletting av data finner du under Verktøy i venstremenyen.

Personvernerklæring

Det er også viktig å ha en god personvernerklæring på plass. Denne skal informere om hvilken data som lagres, hvor det lagres og hvorfor det lagres. Her bør man også spesifisere hvilke tiltak som gjøres for å sikre den personlige informasjonen, som for eksempel kryptering og slikt.

WordPress har en generator som lager en standard personvernerklæring. Dette er riktig nok et eksempel som baserer seg på WordPress i seg selv, så justeringer/tilføyninger kan være nødvendig.

Du finner personvernerklæring under Innstillinger i venstremenyen.

Temaer og utvidelser

Hvorvidt et tema eller en utvidelse etterkommer GDPR er veldig individuelt, og du må derfor gjøre litt research på disse. Vi samler likevel de utvidelsene som vi selv anbefaler, og som brukes mest av våre kunder.

Kontaktskjema

De fleste kunder hos oss bruker Contact Form 7 som kontaktskjema på sine nettsider. Contact Form 7 lagrer ingen informasjon som standard, og sørger kun for å sende henvendelsen til kunden. Riktig nok finnes det andre utvidelser som lar deg lagre informasjon som sendes via kontaktskjemaet, og man må da ha samtykke fra brukeren.

I tillegg må man også ha samtykke fra brukeren dersom informasjonen skal brukes i form av markedsføring, for eksempel nyhetsbrev.

Ved eventuell lagring av data fra kontaktskjemaet, skal kun nødvendig informasjon lagres. Dette betyr at du må sørge for at utvidelsen ikke lagrer unødvendig data som for eksempel IP adresse.

Hvis kontaktskjemaet sendes via en tredjeparts tjeneste, må du ha en databehandleravtale med tredjeparten.

Nyhetsbrev

Den mest brukte utvidelsen for nyhetsbrev i WordPress er MailPoet. I hovedsak behøver du samtykke fra brukeren om at han faktisk vil melde seg på og at data kan lagres og behandles. MailPoet har støtte for dobbelbekreftelse (Double Opt-in), hvor en e-post sendes til brukeren med en bekreftelseslink.

I e-posten som sendes kan du selv velge hva som skal stå, og har da mulighet til å spesifisere hvilken data som lagres, hvor dette lagres og hvorfor. Husk samtidig å nevne at de godtar dette ved å trykke aktiveringslenken.

Hvis du bruker en tredjeparts tjeneste til å sende ut og/eller lagre informasjon om abonnentene, må du ha en databehandleravtale på plass med tredjeparten.

Nettbutikk

Den mest brukte utvidelsen for nettbutikk i WordPress er WooCommerce. Når du har en nettbutikk er det viktig å lagre en del personlig informasjon, for eksempel når kunder bestiller varer.

WooCommerce har allerede implementert en god del features som skal hjelpe deg med å etterkomme GDPR. Blant annet har de implementert støtte for WordPress sin funksjon for sletting og eksport av persondata.

De har også skrevet en guide på hvordan man etterkommer GDPR med WooCommerce, og anbefaler alle og lese denne.

Du finner guiden til WooCommerce her.

Sporing / Retargeting annonsering

De fleste ønsker å holde oversikt over besøksstatistikk og hvordan brukere benytter nettsiden. Samtidig er det enkelte som ønsker å benytte seg av retargeting annonsering.

For at disse skal fungere må man benytte informasjonskapsler, og man må også dele data med tredjeparts tjenester som for eksempel Google Analytics eller Facebook. I disse tilfellene er det viktig at du får samtykke av brukeren til å benytte informasjonskapsler, og at dataen deles med disse tjenestene.

Her kan du enkelt benytte utvidelsen Cookie Notice, som viser en linje med en liten varsel om bruk av informasjonskapsler. Teksten skriver du inn selv, og du kan også velge hvor den skal vises og en del mer.

Cookie Notice finner du her.