GDPR for nettsider: dette plikter du å informere om
GDPR på din nettside er ditt ansvar
For å kunne informere tilstrekkelig etter GDPR på nettstedet ditt må du forstå noe rundt hva slags teknologi nettsiden din bygger på, og hva slags funksjonalitet som ligger i den.
Du som eier nettstedet er ansvarlig for at du følger kravene etter GDPR. Hvis du bruker et byrå eller får hjelp av en person til det tekniske, er det fortsatt ditt ansvar å sørge for at riktige grep tas.
Du kan ikke skylde på en databehandler eller leverandør om Datatilsynet kommer etter deg (akkurat som at du heller ikke kan skylde på regnskapsføreren din om du får bokettersyn og en saftig bot fra Skatteetaten – du som daglig leder er fortsatt den som er øverst ansvarlig).
Les også: GDPR: Trenger du egentlig en personvernerklæring?
Teknologi som samler personopplysninger
På nettsiden din må du kartlegge alt som på en eller annen måte behandler (samler inn, analyserer, registrerer osv.) personopplysninger, enten det gjøres a) direkte i et skjema (kontaktskjema, for nyhetsbrev og annet) eller b) gjennom verktøy og/eller cookies. I denne artikkelen skal vi gå gjennom sistnevnte.
Husk at en IP-adresse er definert som en personopplysning i GDPR, fordi det kan være mulig å identifisere en enkeltperson ut fra denne.
I tillegg til bruk av cookies og verktøyene nevnt nedenfor, er det mye annet som kan samle personopplysninger. Det kan i tillegg være kommentarfelt på bloggen din, nettbutikk, medlemsportal, like- og delingsknapper for sosiale medier, administrasjonsverktøy som Google Tag Manager og verktøy for kommunikasjon og support/kundeservice (f.eks. Messenger Chat og Zendesk).
Kort sagt; du må ha en fullstendig oversikt over og informere om all teknologi/funksjonalitet på nettstedet ditt som behandler personopplysninger, med eller uten bruk av cookies/informasjonskapsler.
Les også: Hva er cookies, og må du ha samtykke for å bruke dem?
Hva er sporingsverktøy?
Sporingspiksler, tags, web beacons, JavaScript, fingerprinting, analyseverktøy, målingsverktøy, webbasert verktøy, webanalyseverktøy, annonseringsverktøy…
Uansett hva en velger å kalle det, er dette ulike former for verktøy/teknologi en installerer på nettstedet sitt (enten direkte, via plugins eller via administrasjonsverktøy som Google Tag Manager), der formålet er å spore og analysere trafikken til de besøkende, og noen ganger også målrette markedsføring til disse på andre plattformer.
Disse verktøyene brukes i kombinasjon med cookies, men gjør altså mye mer enn det. Et godt samlebegrep er «sporingsverktøy», nettopp fordi formålet er å spore besøkende (personer) av ulike årsaker.
(Fra et personvernperspektiv er det flere betenkeligheter med å bruke slike verktøy, og i dag er det i praksis nærmest umulig å være anonym på nett, men det kommer vi ikke nærmere inn på her.)
Verktøy for analyse- og statistikkformål
Svært mange (nesten 30 millioner nettsider ifølge BuiltWith) har installert Google Analytics for å måle trafikken på nettsiden sin (hvor besøkende kommer fra, hvor lenge de blir, hvilke individuelle sider de klikker på osv.).
Andre tjenester, f.eks. Hotjar og Crazy Egg, måler og observerer (overvåker!) hvordan besøkende bruker en nettside, og fremstiller dette visuelt gjennom ulike kart («heatmaps»). Disse kartene kan vise hvor langt ned en besøkende scroller på en gitt side og hvor de klikker.
CRM-systemer (Customer/Client Relationship Management) som Hubspot kan også brukes for å spore nettsidetrafikk. Da plasseres også en kodesnutt på nettsiden, og en kan se fra hvilke domener og kanaler trafikken kommer fra, hvilke sider som besøkes, antall ganger og mer.
Verktøy for markedsføringsformål
Facebook Pixel, Pinterest Tag og LinkedIn Insights Tag er eksempler på slike verktøy. Denne teknologien installeres på samme måte som Google Analytics, gir deg også statistikk og analyse, men gjør det i tillegg mulig å målrette markedsføring på de respektive plattformene.
Hvis du f.eks. har installert Facebook-pikselen på nettsiden din, lar du Facebook sette informasjonskapsler i nettleseren til den besøkende, som gjør det mulig å mårette annonser til vedkommende på Facebook.
Les også: Troverdige kilder du kan stole på i GDPR-arbeidet (og ikke)
Verktøy for å vise annonser
Og til slutt har du også ulike annonseringsverktøy (alt fra «ad tech»-bransjen) som Google AdSense, Media.net, PropellerAds og mange, mange flere. Disse verktøyene gjør det mulig å vise annonser på nettstedet og få betalt for hver annonse som vises og/eller klikkes på.
Forskjellen på «verktøy» og cookies/informasjonskapsler
Et verktøy som beskrevet over vil ikke alltid fungere uten at det settes informasjonskapsler, men det gjør som sagt mye mer. Du får tilgang til ulike oversikter (dashboards) som viser statistikk, analyser, klikk osv. over tid, for ulike sider, hvordan besøkende beveger seg inne på nettstedet ditt, hvilke sider som blir minst og mest besøkt og mye informasjon om de besøkende.
Og, som nevnt, kan du med enkelte verktøy i tillegg målrette markedsføring på andre plattformer og/eller vise annonser til de besøkende.
På den andre siden kan du ha mange informasjonskapsler på nettsiden din helt uten å bruke noen slike verktøy.
Hva må du gjøre - hvordan?
Nå som du forhåpentligvis vet litt mer om hvilke krav som stilles til deg som nettsideeier, vet du også om du faktisk sitter med en god oversikt over verktøy, cookies osv.
All denne teknologipraten er ofte overveldende i seg selv, og som sagt trenger du ikke å kunne verken koding eller nettsidebygging for å få dette til.
Det er flere måter å gå frem på for å skaffe en god oversikt. Hvis du bruker WordPress og bygger din egen nettside sitter du allerede selv med oversikten. Du går da gjennom alle plugins du har installert, og sjekker hver enkelt om de samler inn personopplysninger.
Du må også sjekke at leverandøren av plugins som faktisk samler inn personopplysninger, etterlever kravene i GDPR. Og, hvis du mangler orden og struktur i WordPress-systemet ditt, er dette en gyllen anledning til å rydde opp!
Fortsatt litt usikker på hva GDPR, ny personvernforordning, er? Da bør du starte med denne innføringen i GDPR for små bedrifter.
Samme fremgangsmåte gjelder for andre nettsideløsninger som Kajabi, Wix, Squarespace osv. Hvis du drifter din egen nettside bør du vite hva slags verktøy du ev. har lagt til (f.eks. om du har lagt inn Facebook-pikselen i Kajabi). Hvis du bruker noen andre til å hjelpe deg med nettsiden, bør de kunne lage en slik oversikt.
Når du har en oversikt over alle verktøy og cookies (som behandler personopplysninger), beskriver du disse i en personvernerklæring og/eller cookieerklæring.
NB! Pass på at personvernerklæringen din faktisk inneholder alle nødvendige punkter som skal være med etter GDPR. Slik vår mal for personvernerklæring har her. Det er ikke nok med en generisk tekst fra nettsideleverandøren din. Du må også vurdere om du må innhente samtykke til bruk av cookies og verktøy som behandler personopplysninger og som ikke er "essensielle". Les mer i innlegget om cookies.
Til slutt legger du inn en lenke til personvernerklæringen i bunnteksten på nettsiden din, så den er enkelt synlig på alle sidene. Legg også inn en lenke på alle skjemaer og på kommentarfelt på bloggen, om du har det.