Som navnet antyder, er dette en feature, der håndterer og validerer overholdelse af GDPR. For at være nøjagtig, drejer det sig udelukkende om den del af GDPR som har at gøre med de tekniske krav til din webside og den måde, den indsamler information på (mest af 3. parter).

Stort set alle websider bruger 3. part cookies

Du tænker nok, at du ingen vilde cookies har på dit site. Det er svært at gennemskue, fordi mange 3. partner er indvolveret, YouTube, Facebook, LinkedIn, stort set alle sociale platforme, analytics, Google ads, WordPress plugins osv. osv. De er alle interesseret i at indsamle persondata og nogle tilfælde er det nødvendigt.

Hvis du har bare en semi-moderne webside med lidt SoMe-indhold, videoer osv., har du cookies på dit site, der indsamler persondata.

Cookies skal overvåges og holdes i kort snor

Koden i et plugin på dit WordPress site, kan uden varsel ændres til at sende persondata fra dit site ud af EU, via hvad der til at begynde med var en harmløs, måske funktionel/nødvendig cookie. Der skal altså føres kontrol med Cookies, selvom du ikke installerer nye plugins. Det hjælper også at anvende udelukkende troværdige og premium plugins.

De øvrige tekniske krav er mere statiske af natur og kræver derfor ikke konstant overvågning. Det er ofte ting, som kun skal ordnes én gang.

Jeg ønsker at overholde GDPR nu og fremadrettet på min WordPress webside: Hvordan foregår det?

Det foregår således, at vi sammen tager en dialog, om hvordan og på hvilke punkter din webside mangler GDPR / persondataforordning-overholdelse. Efter vi har impementeret de nødvendige tiltag for at gøre websiden teknisk compliant ift. kravene til persondataforordningen i Danmark, så validerer jeg løbende om websiden fortsat overholder kravene

Men hvorfor skal det løbende valideres? Alt i WordPress økosystemet ændrer sig, i konstant dynamisk udvikling. Tænk tema og plugins, måden du udvikler dit site på, eller embedder indhold (såsom YouTube videoer) kan betyde, at din websides overholdelse af GDPR invalideres og så er alt arbejdet spildt.

Herunder opridses de nogle punkter, der næsten altid mangler på sites jeg har udført GDPR audits på tidligere:

Forudgående samtygge

Websider mangler forudgående samtygge (dvs. samtygge inden cookies uploades til den besøgnes browser. Mange går i den fælde at installere et plugin til WordPress, der giver udtryk for, at den udfører opgaven, men af forskellige årsager ikke gør det.

En pop-up der offentliggør at websiden bruger cookies, med en knap der siger "Accepter", var OK før GDPR. Nu giver det bøder.

Cookie-notifikaktionen er skal indhente eksplicit samtygge, inden der uploades noget til den besøgnes browser. I nogle tilfælde betyder det også, at alt interaktion til websiden skal blokeres, indtil den besøgne træffer en beslutning ift. cookie-samtygge. Såsom her på webmaestro.dk.

Granular samtygge til dataindsamlingsformål

Denne del er relativ ny og blev tilføjet til Datatilsynet vejledning til brugen af samtygge som behandlingsgrundlag 2. september 2019. Kort sagt, i stedet for at kategorisere cookies såsom "nødvendige" og "tracking", der groft beskriver hvad cookies gør, så skal man i stedet beskrive formålene med indsamlingen. Se billedeksemplet nedenfor.

Databeskyttelse som standard - eller privacy by default

Dette er et af principperne bag GDPR, der simpelt beskriver, hvordan du skal forholde dig til designet af cookie-samtygget. Det betyder, at cookie-samtyggen som standard skal have fravalgt alle cookie-formål, der ikke er absolut nødvendige for operation af websiden.

Cookie deklaration & administration

Der er krav om en detaljeret cookie deklaration, der informerer den besøgne om, hvad dine cookies bruges til og indsamler af information. Det kan være indbygget i selve administrationen/samtygget, den besøgne mødes med, når den besøger websiden.

Dernæst skal det være klart, hvor den besøgne kan tilbagetrække og ændre sit samtygge. Et link hertil skal være synligt på alle sider.

Hvad koster det?

Den indledningsvise implementering af tekniske krav afregnes på klippekort løsning og den løbende validering af overholdelse er inkl. i den månedlige Webmaster Service ydelse. Omkostning af implementering afhænger af din websides kompleksitet. De fleste klares indenfor 1-3 timer (4-12 klip).

Hvis det viser sig, at din GDPR-overholdelse bliver invalideret af den ene eller anden årsag, under en GDPR audit, vil du få besked herom med dokumentation. Du vil være klædt på til at tage stilling til, hvad der skal gøres, om du vil løse problemet selv, eller bruge et klip på, at jeg ordner det.