10 tips til at gøre din WordPress Hjemmeside GDPR-kompatibelt

Som de fleste ved så trådte databeskyttelsesforordningen (GDPR) i kraft den 25. maj. Hvis du har en WordPress hjemmeside, betyder det, at du er berørt af den nye forordning og skal foretage nogle ændringer for at overholde lovgivningen – undladelse af dette kan medføre store bøder.

I dette indlæg giver vi dig nogle tips og tricks til at få styr på din GDPR i WordPress, som sikrer at de personoplysninger som indsamles (b.la. via Cookies), sker på en forsvarlig måde. Listen her er tænkt som en hjælp til de emner, som du i hvert fald bør være opmærksom på. Husk dog at GDPR er meget mere end blot din WordPress hjemmeside og der er flere forholdsregler som man som skal tage stilling til.

Hvad er GDPR?

GDPR er en ny forordning der har til formål at forbedre sikkerheden for EU-borgernes personoplysninger. Det gør sig gældende for enhver virksomhed, som indsamler data på EU-borgere, uanset om de er EU-borgere eller ej. Hvis du har brug for en bredere forståelse af GDPR, kan du læse denne artikel:

Hvad er personlig data?

Personlige data er noget der kan bruges til at identificere en person. Personlig data indeholder også følsomme data, som kan dække en persons race eller etniske oprindelse, politiske holdninger, religiøse overbevisninger, fysisk eller psykisk helbred, økonomiske detaljer. Bemærk at IP-adresser også betegnes som en personfølsom oplysning.

Hvordan WordPress hjemmesider indsamler personlige data?

WordPress hjemmesider kan indsamle personlige data på en række måder. Nogle gange sker det bevidst, andre gange automatisk gennem hjemmesidens software – og måske ved du det ingen gang. Typiske eksempler er:

  • Analytics og øvrige pixels
  • Blog kommentarer
  • Kontaktformularer
  • Logning værktøjer
  • Sikkerhedsværktøjer
  • Hjemmesideudvidelser / Plugins
  • Brugerregistreringer eller nyhedsbreve

Oplysninger kan fx  være kundenavne og e-mailadresser, eller registrering af  køb/ forespørgsel. Endvidere kan det også være data indsamlet ved brug af en ‘cookie’ via en hjemmeside. Noget man ofte ser i forbindelse med en remarketing-kampagne. 

Sådan bliver din WordPress GDPR kompatibel

1. Overvej nødvendigheden
Sørg for at du kun indsamler de personoplysninger du skal bruge. Er det nødvendigt for brugen af din WordPress hjemmeside, din markedsføring eller for at komme i kontakt med kunden efterfølgende, kan det være din argumentation. Får du en forespørgsel fra en kunde er det helt OK at bede om deres oplysninger, men undlad at bede brugeren om personfølsomme oplysninger, som du alligevel ikke bruger. Du skal samtidig vurdere, om og hvornår de personoplysninger du allerede har indsamlet, skal slettes.

2. Installer en firewall
En firewall er et sikkerhedsværn mod udefrakommende forsøg, på at tilrane sig de data du har på din hjemmeside. Især har persondata en høj interesse blandt cyberangreb.

I forbindelse med GDPR har du et kæmpe ansvar hvad disse data angår, og det er derfor vigtigt at du har en firewall der kan sortere disse typer angreb fra. Helt lavpraktisk kan dette både gøres på din WordPress side, men din valgte hosting platform skal også kunne hjælpe dig med dette – hvilket mange allerede gør. Undersøg det dog, så du er sikker på at du ikke har et åbent hul på din hjemmeside, som en firewall ville have dækket. Firewalls er afgørende for at beskytte din hjemmeside mod cyberangreb og er afgørende for at holde dine data sikre. For at sikre det skal WordPress ejere installere en firewall på sin hjemmeside.

3. Få et SSL-certifikat
SSL-certifikater er afgørende for WordPress hjemmesider, da de krypterer data i transit mellem en brugers browser og din server. Det betyder, at hvis nogen sender dig personlige oplysninger, såsom kreditkortoplysninger, forbliver det sikkert. Dette betyder også at du bør være sikker på at sendt data fra siden også benytter en sikker forbindelse, herunder afsendte mails, og eventuel data udleveret til tredje part.

4. Sørg for at du har eksterne sikkerhedskopier
Fjernbackups er afgørende, hvis din hjemmeside eller server går ned, og du skal genoprette den hurtigt. Men fra et GDPR-perspektiv skal du sørge for, at sikkerhedskopien selv er sikker, da den indeholder en kopi af alle de personlige data, du har.

5. Sørg for at data er sikker
Når det kommer til at sikre din data, skal du sørge for at den data som indsamles og opbevares, er beskyttet, indtil det slettes sikkert igen. Du er nemlig forpligtet til at beskytte de personfølsomme oplysninger som du indsamler. Sørg også for at medarbejdere er trænet i at håndtere personoplysningerne og holde det sikkert.

 

6. Forbedre login sikkerheden til din WordPress
Dårlig login-sikkerhed gør det lettere for hackere at bryde ind på din hjemmeside og stjæle personlige data. En af de mest oplagte metoder er at bruge en sikker adgangskode, og her anbefaler vi at man bruge den såkaldte “Passphrase” metode til at oprette sig en ny adgangskode, da de oftere er mere sikre end korte koder med tilfældige tegn.

7. Opdater din privatlivspolitik
En af de ting, du skal gøre i henhold til GDPR i WordPress er informerer dine brugere om:

  • Hvilke typer data din hjemmeside indsamler
  • Hvorfor du indsamler disse data og hvordan du bruger det
  • Hvordan disse data bruges og lagres
  • Hvordan data deles
  • Hvordan brugerne kan få en kopi af personlige oplysninger, som du har på dem
  • Hvordan man beder om, at dataene slettes eller flyttes
  • Alle disse oplysninger bør samles i din privatlivspolitik og en side om beskyttelse af personlige oplysninger. I den seneste version af WordPress (v 4.9.6) er der oprettet en ny politik for beskyttelse af personlige oplysninger, der gør det muligt at oprette og vise din politik for beskyttelse af personlige oplysninger.
  • Eventuelle tredjeparter som du samarbejder med i forbindelse med det indsamlede persondata.
  • Levetiden for det indsamlede data, da det skal have en udløbsdato i forbindelse med at formålet for indsamlingen ophører.

8. Installer et GDPR plugin
For at opfylde nogle af de mest basale krav til GDPR foreslår vi at du downloader og installerer et GDPR-plugin, som f.eks. GDPR WordPress Kontrolcenter Plugin. Dette plugin er nyttig, fordi de udfører en række opgaver, du skal overholde. Disse omfatter:

  • Cookie oversigt som kan inddeles og beskrives
  • Få brugerens samtykke til privatlivspolitikken, når de besøger din hjemmeside
  • Få brugernes accept ved kontakt via kontaktformular, fx ved brug af Contactform 7.
  • Oversigt over accepter og personlige data indhentet med IP
  • Behandling af anmodninger om sletning af data
  • Håndtering af brugernes anmodninger om adgang til deres data
  • Kontakte den dataansvarlige

9. Sørg for, at din WordPress hosting er GDPR kompatibel
Hvis din hjemmeside er hostet på en tjenesteudbyders server, skal du også sørge for, at der findes passende sikkerhedsforanstaltninger på denne server. Du skal have en ‘Databehandler aftale’ med din vært, der forklarer, hvordan de håndterer alle data, du gemmer på deres systemer. Hvis du har en databehandler, der er etableret uden for EU, er der særlige krav, som du skal leve op til. Du bør derfor spørge dine databehandlere om de behandler dine kunders data uden for EU.

10. Samtykke for markedsføring
Hvis du vil bruge personfølsomme oplysninger til at sende dine kunder markedsføringsmaterialer, som fx reklamemails er det vigtigt at du har deres samtykke. Husk dog at når folk tilmelder sig, eller benytter en formular, så må fluebenet for ”accept af privatlivspolitikker” ikke være forhåndsudfyldt og der skal laves en aktiv godkendelse.

Konklusion

GDPR vil have indflydelse på alle, der indsamler personoplysninger, så det er vigtigt, at du overholder forordningen. For WordPress-brugere er der mange ting, du skal gøre for at sikre, at personoplysninger holdes sikre, og at du giver brugerne mulighed for at udøve deres rettigheder over deres data. Forhåbentlig vil de råd, der gives her, hjælpe dig på vej med at overholde lovgivningen.