Når man arbejder med hjemmesider, så er der altid GDPR relaterede problematikker at forholde sig til. Persondata lagres ofte ved et helt almindeligt besøg på en hjemmeside. Vi giver i denne artikel et par eksempler på, hvordan GDPR kommer i spil ved udvikling af hjemmesider.
Som hjemmeside designer skal man kende GDPR
Det er helt essentielt, at man kender persondata-reglerne, når man arbejder med hjemmesider. Reglerne er ikke helt enkle, og mange små virksomheder vil typisk ikke vide, at der kan lagres persondata på deres hjemmeside.
Mange ved ikke, at det kan efterlade persondata, når man bare klikker sig ind på en hjemmeside – udtaler Nicolai Sørensen som er hjemmeside designer i København. Det Nicolai henviser til er, at den besøgendes IP-adresse typisk lagres i en log på webhotellet og/eller i analyse-software som Google Analytics.
Google Analytics er et hjælpeværktøj som bruges på hjemmesider til at indsamle data, så hjemmeside-ejere kan følge og analysere på de besøgendes færden på hjemmesiden. IP-adressen er såkaldt personhenførbar, idet den ved opslag hos en internetudbyder som YouSee kan kobles sammen med en bestemt person. Det gør at IP-adressen kategoriseres som persondata, og derfor bliver det reguleret af GDPR.
Forskellige muligheder for udveksling og lagring af persondata
Der er dog flere tilfælde, som man skal have i tankerne. Mange hjemmesider indsamler eksempelvis email-adresser, så man kan sende nyhedsbreve ud til sine potentielle kunder. Her er der flere aspekter at tage højde for.
Ved indsamling af email-adresser bruger de fleste et eksternt værktøj såsom Mailchimp. Det er et program der holder styr på mailadresserne, og gør det muligt at sende mails ud til en større grupper modtagere. For at dette er muligt kan det ikke undgås at man udveksler persondata med Mailchimp. Som minimum deles jo email-adressen. I denne udveksling indtræder man selv som dataansvarlig og Mailchimp bliver databehander. Det kræver en databehandler-aftale, hvilket du kan læse nærmere om i vores sektion “Kend begreberne”.
Der er også en del hjemmesider som har reklamer. I mange tilfælde får hjemmesideejeren en lille procentdel af salg der henvises fra hjemmesiden. For at det kan lade sig gøre skal der nødvendigvis udveksles IP-adresse og eventuelt ordrenumre. Det er igen noget som kan henføres til en bestemt person. Du skal altså også her have en databehandleraftale.
Store krav til cookiehåndtering og persondatapolitik
En vigtig del efter GDPR er trådt i kraft er at have helt styr på sin cookiehåndtering og persondatapolitik. Brugeren på en hjemmeside skal oplyses om, at der gemmes såkaldte cookies på deres computer, og de skal have mulighed for at fravælge dette.
Derudover skal man have en udførlig persondatapolitik, hvor det fremgår hvem der er dataansvarlig for hjemmesiden samt hvem den eventuelt benytter som databehandlere. Af eksempler vi har set på i denne artikel er Google Analytics og Mailchimp eksempler på databehandlere. Disse skal fremgå af persondata-politikken.
Der er altså vigtige ting at forholde sig til i forhold til GDPR, når man ejer en hjemmeside. I sidste ende vil det altid være hjemmesideejerens ansvar som dataansvarlig at leve op til bestemmelserne i GDPR, men mange har ikke forudsætningerne for at kunne forstå alle de komplicerede regler. Derfor er det i praksis ofte hjemmeside designeren, der sørger for at alt er som det skal være.