Artikler om: Cookies & Persondata

Dine Forpligtelser Som Dataansvarlig

Bemærk at denne vejledning ikke er en decideret facitliste, men bør ses som en guideline. Det er altid dit ansvar som dataansvarlig at overholde lovgivningen, når du bruger Bricksites services. Du kan finde yderligere information om GDPR for små virksomheder gennem dette website: http://ec.europa.eu/justice/smedataprotect/index_da.htm.

Er Jeg Dataansvarlig?



Det korte svar er JA! Hvis du har en hjemmeside eller en emailadresse gennem Bricksite, så er du dataansvarlig for indholdet på din hjemmeside og for indholdet (email og kontakter) på din professionelle email.

Som dataansvarlig er der nogle ting i forbindelse med GDPR, du selv er forpligtet til. I denne vejledning gennemgås de væsentligste punkter. Vi ved godt, at denne artikel er en af de længere af slagsen, men vi anbefaler, at du gennemgår den punkt for punkt.

Undtagelse



Hvis du udelukkende anvender din emailadresse i privat øjemed, så er du undtaget GDPR. Hvis du derimod sammenblander din private emailadresse med din virksomheds emails, så er du ikke undtaget, og skal kunne stå inde for sikkerheden af den emailløsning, du anvender. I den forbindelse er det for eksempel ikke godt nok at bruge en almindelig @gmail.com -adresse.

ER MIN HJEMMESIDE OGSÅ UNDTAGET? Det er ligegyldigt, om du bruger din hjemmeside til rent personlige formål. En hjemmeside er pr. definition offentligt tilgængelig, og falder derfor uden for privatsfæren. Du skal derfor tænke grundigt over — og få lov til — at lægge tekst og billeder om andre personer op, fx hvis du skriver blogindlæg.

Dit Ansvar



Når du har en hjemmeside ved os, så lægger du dine data op i Bricksites systemer. Derfor er du som standard omfattet af vores databehandleraftale som betalende kunde ved Bricksite. Databehandleraftalen er en fælles aftale mellem dig og Bricksite, som sikrer at vi hver især lever op til vores forpligtelser og at Bricksite har din godkendelse til at være din databehandler. Samtidigt stiller vi en række garantier, som viser, at vi er en kompetent databehandler. Ordlyden af databehandleraftalen kan du læse, når du er logget ind på din bruger. Vi arbejder på at få det skrevet ind i vores standardvilkår.

Du skal huske at overholde din oplysningspligt, hvilket vil sige, at du skal oplyse om en databehandling, før den sker. Dette kan du fx gøre ved at indsætte en samtykkeboks i din kontaktformular, og en cookieadvarsel, når man besøger din hjemmeside (se nederst i denne vejledning).

Som dataansvarlig er det vigtigt at du har styr på dine brugeres indsigtsret. Helt lavpraktisk betyder det, at du—vederlagsfrit, og mod brugerens forespørgsel—skal udlevere de oplysninger, du har indsamlet om vedkommende.

Dine brugere har retten til at få slettet de data, du har indsamlet, hvis der ikke eksisterer andre retlige hensyn. Her går særligt Forældelsesloven forud for GDPR.

Nogle væsentlige pointer



Hold dig orienteret om dine forpligtelser som dataansvarlig.
Undlad at behandle persondata, som du ikke har brug for og undgå, hvis muligt, at behandle særlig følsomt persondata.
Det persondata du behandler skal være indsamlet på et legalt grundlag.
Benyt krypterede protokoller til web, mail og filoverførsel.
Adgang til data skal være begrænset.
Data skal ikke opbevares længere end det er nødvendigt til at levere den service/produkt til din kunde — og højst så længe, som andre regler kræver det.

Den almindelige forældelsesfrist i Danmark er 3 år; og for bogføringsmateriale er fristen til udgangen af det 5. regnskabsår. Den absolutte forældelsesfrist er altid til udgangen af det 10. år i Danmark. Det kan svinge, hvilken dato du tæller fra, men ifølge Persondataforordningen skal indsamlet data faktisk slettes nærmest øjeblikkeligt, når der ikke længere er saglige og juridiske grunde til at beholde det. I praksis kan forældelsesfristen derfor være nærmest fra dag til dag.

Tag dine forholdsregler



Du skal tage nogle meget basale forholdsregler, når du indsamler personfølsomme data. Des mere sensitive og fortrolige information, du indsamler, jo bedre tiltag skal du tage. For eksempel:

Brug stærke adgangskoder
Brug gerne tofaktorgodkendelse (2FA), hvis det er sensitive eller fortrolige data aktiver tofaktorgodkendelse på din email her.
Lås din computer, når du forlader den
Sørg for at have antivirus installeret
Brug et sikkert WiFi-netværk med kode. Undgå at sidde på åbne netværk.
Brug VPN.

TIP. Hop ned i bunden af denne vejledning for en mere fuldendt liste over sikkerhedstiltag, du kan tage (afhængigt af risici selvfølgelig).

Databehandlere



Hvis du videregiver data til andre (også hvis det sker automatisk), så er du stadig Dataansvarlig for, at "de andre" opfører sig ordentligt. Så udvis rettidig omhu ved at identificere, hvem du benytter som Databehandlere, og underskriv en Databehandleraftale / Data Processing Agreement (DBA/DPA) med hver især, navnligt hvis data føres uden for EU.

Du har allerede en DBA med Bricksite. Vi har adgang til alle informationer på din hjemmeside og email. Det ligger i et sikkert system, og vi tilgår det kun, hvis vi får lov, hvis vi har mistanke om misbrug, eller hvis vi er blevet det pålagt af myndighederne.

Eksempler på Databehandlere


Dette er en ikke-udtømmende liste over mulige databehandlere, som du muligvis bruger.

Hvis du bruger andre end Bricksite til at håndtere din email, fx Microsoft Office 365 eller Google GSuite. Vær særligt opmærksom på, hvis data føres uden for EU, og du behandler sensitive persondata, fx sundhedsdata.

Google Analytics til websidestatistik og analyse

MailChimp til udsendelse af nyhedsbreve.

Bambora for at tage mod betalingskort i din webshop.

Et webbureau, som laver marketing og analyse for dig.

Risici



Du skal tage en risikobetonet tilgang. Des mere sensitive persondata, du indsamler, jo flere sikkerhedstiltag skal du tage.

Har du kontaktformular, hvor den besøgende udfylder navn, email, m.m.?
Har du statistik på hjemmesiden (Google Analytics, Facebook Pixel, m.fl.)? Det har langt de fleste.
Har du tredjepartskode på din hjemmeside, som indsamler data, fx IP-adresser, o.lign.?
Høj risiko. Har du en webshop, hvor kunden ved bestilling udfylder sit betalingskort? Hvis din kortindløser (Bambora, MobilePay) giver mulighed for login med tofaktorgodkendelse, så aktiver det!
Kritisk risiko. Spørger du om dine kunders CPR-nr.?
Ekstrem risiko. Indsamler du rutinemæssigt helbredsoplysninger, enten fysisk eller mentalt, over email? Det gør du måske, hvis du er en af vores mange privatpraktiserende kunder.

Hvis risikoen er høj, kritisk, eller endda ekstrem, så skal du huske at lave en RISIKOVURDERING, da konsekvenserne for dine kunder/patienter kan være meget alvorlige, hvis du bliver hacket. Risikovurderingen kan blot være en tabuleret liste over de potentielle risici, der kunne være; og hvad konsekvenserne ville være for dine kunder; og slutteligt, hvilke tiltag, du har taget på den baggrund. Tiltagene kan være noget så enkelt som at lave ekstra stærke kodeord med tofaktorgodkendelse aktiveret, og at sende krypteret/sikker email.

Hvis Det Går Galt



Hvis du bliver hacket, så kontakt Bricksite hurtigst muligt, så vi kan få nulstillet adgangen til din bruger og emailadresser ved os. Sæt dig derudover grundigt ind i, om du behandler så mange personoplysninger, eller så sensitive og fortrolige personoplysninger, at du skal anmelde det til Datatilsynet (inden for max 72 timer), og om du skal informere dine kunder/patienter.

Sikkerhedstiltag



TIP. De nyeste krav kan findes på sikkerdigital.dk. For konkret vejledning og myndighedskontakt, så kan du skrive til Center for Cybersikkerhed.

Adgangskontrol



Man skal anvende stærke adgangskoder til alt. I praksis betyder dette minimum 10 tegn, blandede små- og store bogstaver, tal, specialtegn, mellemrum. I praksis medfører det også, at man skal skifte adgangskoder med jævne mellemrum. Anvend fx en Password Manager til at generere og gemme dine koder i. Eksempler er Lastpass, Dashlane, 1Password.

Hvis du bliver hacket eller lignende, så kan du have pligt til at anmelde sikkerhedsbruddet til Datatilsynet (og andre relevante myndigheder) rettidigt inden for max 72 timer.

DNS & Domæner



Anvend DNSSEC på alle domæner

Opsæt en DMARC reject-policy på alle domæner, også inaktive domæner. DMARC kræver indirekte, at du også opsætter SPF og DKIM. Dette beskytter dig mod misbrug og spam. SPF er opsat som standard på Bricksites mailløsning.

Email



Anvend en stærk adgangskode.

Anvende Forced TLS v.1.2 på ind- og udgående email. Dette kan du gøre ved at anvende IMAP med Port 993 til indgående email, og Port 465 til udgående email.

Du skal anvende en sikker mailserver uden open relay. Bricksites professionelle email tillader ikke open relay, og vi sørger for løbende vedligehold og nye tiltag i vores systemer.

Send et autosvar med et link til din privatlivspolitik.

Hjemmesiden



Indsæt et cookie-samtykkebanner med tilhørende cookiedeklaration/privatlivspolitik på din hjemmeside.

Hvis du har en kontaktformular, så husk at indsætte en samtykkeboks i din kontaktformular, at man skal acceptere din privatlivspolitik, når man skriver til dig.

Du skal have en hjemmeside med https://. SSL-certifikatet skal være minimum TLS v.1.2. Her ved Bricksite får du gratis SSL–certifikat med til din hjemmeside, og det sker endda automatisk i baggrunden, så du ikke behøver røre en finger. Vores SSL-certifikater anvender pt. TLS v.1.2 og højere, som overholder det påkrævede sikkerhedsniveau.

Webserveren skal opdateres regelmæssigt med de seneste sikkerhedsopdateringer. Det er en del af det at være kunde ved Bricksite, at vi sørger for dette, så du kan koncentrere dig 100% om at lave din hjemmeside, og de andre essentielle ting.

Opdateret den: 15/06/2022

Hjalp denne artikel dig?

Del din feedback

Annuller

Tak!