Vi lever i en teknisk hverdag, hvor personvern er viktigere enn noensinne. Dersom man har en nettside som samler brukerinformasjon, er det viktig å følge visse regler og retningslinjer. Hvordan vet man hvilke regler som gjelder? Hvordan vet man om man følger dem? I dette innlegget, vil du få en innføring i hva du bør være oppmerksom på.


HVA ER GDPR?
GDPR (general data protection regulation) står for personvernforordningen, som er en lov vedtatt av EU. Loven omhandler behandling av personvernopplysninger og gjelder for alle EU og EØS landene. Loven gjelder de aller fleste bedrifter i Norge.
Hensikten med loven er å forsikre at bedrifter behandler personopplysninger på riktig måte. Dermed finnes det et sett med regler man er nødt til å følge. 


HVORFOR ER GDPR RELEVANT PÅ NETTSIDEN MIN?
Alle nettsider som samler informasjon som kan identifisere brukeren, er nødt til å følge personvernreglene. Eksempler på dette er nettsider hvor man må fylle inn navn, kontaktinformasjon, adresse og lignende. Personvernreglene sørger for at denne informasjonen både oppbevares- og behandles i henhold til loven.

Nettsider som faller under denne kategorien, skal alltid opplyse om blant annet hvordan informasjonen samles inn, hvordan disse opplysningene brukes, deles og oppbevares. Denne informasjonen skal stå klart og tydelig på nettsiden, og reglene må naturligvis følges.


KAN GDPR VÆRE POSITIVT?
Absolutt! Loven verner om hver og enkelt sine personopplysninger. Reglene sørger for at disse opplysningene ikke blir misbrukt og behandles på en lovlig måte.


ER NETTSIDEN MIN SLL-SERTIFISERT?
Redd for å bryte noen regler? Dersom du har satt opp nettsiden din hos Destinet, skal den være både trygg og lovlig.Vi følger alle personvernregler og sørger dermed for at alle personopplysninger behandles i tråd med loven.


COOKIES
De fleste nettsider inneholder cookies. GDPR omhandler ikke cookies direkte, men setter visse regler til hvordan informasjon som kan identifisere brukeren, brukes og oppbevares. Cookies er en liten fil som lagrer seg på enheten din - enten dette er en mobiltelefon, et nettbrett eller en datamaskin. Cookies er ikke skadelige og har som hensikt å registrere besøk på nettsiden. Innholdet på nettsiden kan dermed optimeres og rettes mot den besøkende sine behov og interesser. Cookies er derfor essensielle for at nettsiden skal fungere. 

Cookies samler altså informasjon rundt hva som er interessant for den som besøker nettsiden. For eksempel; når du handler på nett og legger en skinnjakke i handlekurven, men ikke gjennomfører kjøpet - vil handlekurven allikevel lagres, takket være cookies. Innloggingsinformasjon, språk og valuta plukkes også opp av cookiene. 
Brukeren har ofte mulighet til å godkjenne- eller avvise cookies. Dette kan gjøres via nettleserinnstillingene, eller ved å klikke “godta” eller “avvis” i pop-up vinduet. Dersom man avviser, vil man ikke ha tilgjengelighet til alle funksjoner på nettsiden. Noen nettsider tilbyr også funksjonen “godta kun nødvendige cookies”. 

Kort fortalt, skal cookies sørge for en bedre brukeropplevelse og vise innhold som er relevant for brukeren. Man kan tenke på cookies som “smule-spor”. 


JEG FINNER INGEN "GODKJENN COOKIES"-KNAPP PÅ NETTSIDEN MIN
“NKOM og ekomlovens forarbeider sier foreløpig at samtykke til å sette cookies kan gis gjennom nettleserinnstillingene.” - Datatilsynet

Dette betyr at man ikke er pålagt til å ha cookies pop-up på nettsiden. Dersom brukeren har slått på cookies i nettleserinnstillingene, anses det som samtykke, i følge Datatilsynet. 

Pop-up vinduet er dermed ikke lovpålagt - men man er derimot pliktet til å opplyse om hvilke cookies nettsiden bruker, og hvorfor. Det er nok å informere om dette i personvernerklæringen på nettsiden.


HVORDAN TAR DESTINET HENSYN TIL PERSONVERN I 2021?
Vi er ansvarlige for å ha tilstrekkelige sikkerhetstiltak og rutiner knyttet til våre løsninger.  Det er kun administrator som får tilgang til data om brukeren, etter å ha logget seg inn i systemet.
Som bruker, kan man selv velge om man ønsker at skjema-resultater skal tas vare på, eller ikke. 


VÅRE SERVERE
Våre systemers servere er eid og driftet av Destino AS. Serverene befinner seg på Basefarm sitt datasenter i Lørenskog. Servere ligger i låste skap og man må ha ID for å få tilgang til datasenteret. Ingen tredjepart har tilgang til innlogging på våre servere. Persondata lagres i kryptert form.

 
HVORDAN TAR VI BACKUP?
Backup av data - inkludert krypterte persondata, kjøres hver natt. Backup ivaretar den originale kryptering av persondata, og lagres i kryptert form.

Backup lagres trygt i skyløsningen "Google Cloud Storage". Vi benytter skyløsning, ettersom sikkerhetskopiering på stedet er utsatt for blant annet fysisk skade, administrative feil og tyveri.

Backuper slettes automatisk enten etter 3- eller 6 måneder, avhengig av kundens lisens.


SIKKERHETSREVISJONER
Vi kjører sikkerhetsrevisjoner på våre løsninger med jevne mellomrom. Behandlingsansvarlig kan bestille egne sikkerhetsrevisjoner, men står da ansvarlig for å dekke eventuelle ressursforbruk for dette arbeidet.

 
HVA GJØR VI VED EVENTUELLE AVVIK?
Ved avvik sendes følgende informasjon til behandlingsansvarlig:

• Beskrivelse av bruddet på personopplysningssikkerheten. Når mulig; kategori og omtrentlig antall registrerte som er berørt, samt kategori og omtrentlig antall personopplysningsposter som er berørt.
• Kontaktopplysningene til personvernrådgiveren, eller annen relevant kontaktperson.
• Beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten.
• Beskrivelse av de tiltak som er truffet eller foreslås for å håndtere bruddet på personopplysningssikkerheten, for å redusere eventuelle skader som følge av bruddet.

Behandlingsansvarlig har selv ansvaret for å sende melding til Tilsynsmyndighetene. Vi kontakter ikke Tilsynsmyndighetene uten at den behandlingsansvarlig har gitt instruks om dette.

Vi bruker i tillegg en intern database som registrerer avvik, i forbindelse med fremtidige evalueringer og gjennomganger.