Hårda GDPR-krav på företagens hemsidor – till och med typsnitten ska granskas

Mathem Fyndiq e-handel
Hårda GDPR-krav på företagens hemsidor – till och med typsnitten ska granskas

Foto: Istockphoto.com

Tobias Blixt

Reporter

Undvik de dolda fällorna.

Vi på Breakit har rapporterat mycket om svårigheterna som företag drabbas av i samband med att den nya dataskyddsförordningen – även kallad GDPR – införs den 25 maj. För en bra guide kolla in den här.

Bland annat har Google hamnat på kollisionskurs med svenska medier.

Kortfattat vill Google att alla medier ber om användarens godkännande för att samla in data, helt i linje med de nya kraven. Men Google tänker inte dela med sig av vad de gör med informationen till medierna. Trots att det faktiskt är medierna som blir ansvariga om det visar sig att användarnas personuppgifter används fel.

Det här har fått mediejätten Schibsted att sparka bakut och vägra att gå med på Googles krav.

Men det är inte bara mediejättarna som påverkas av de nya krav som följer med GDPR.

En rapport från teknikföretaget Conzentio – som specialiserat sig på att göra sajter redo för GDPR – visar att kraven som kommer ställas på annonsföretag och e-handlare kommer att vara hårda.

Vad innebär då det här?

All information som samlas in och kan knytas till en individ räknas som en personuppgift. Efter 25 maj måste alla företag kunna redovisa hur – och varför den personuppgiften används. Dessutom måste de också kunna berätta vart personuppgiften tar vägen.

De allra flesta företag har bra koll på personuppgifter som de samlar in till sin egen verksamhet. Bland e-handlare kan det till exempel vara kundens adress, så att de vet vart de ska skicka en vara.

Men på hemsidor finns det även andra typer av program som samlar in data. De används bland annat för att rikta annonser och skickar vidare informationen till en extern part. Den här informationen är oftast svårare för företagen ha kontroll över.

(Det är förresten det här som gör att när du har googlat på "joggingskor" förföljs av skoannonser runt hela internet.)

Ett annat, kanske mindre uppenbart exempel, är användandet av fonter – alltså typsnitt på hemsidan.  För att visa användaren rätt sorts bokstäver använder sig många av Google. Vad många inte tänker på är att det också innebär att sajten skickar användarens IP-adress vidare till Google i USA.

Vid den typen av datainsamling kan företag hävda att det finns legitima skäl för att samla in datan eftersom den krävs för att tjänsten ska fungera som det är tänkt. Men för att kunna hävda det krävs ändå att man faktiskt vet om att datan skickas och kan göra den bedömningen.

“Egentligen så slår GDPR hårt mot alla som har en webbsida. Varje gång en extern tjänst används på sajten följer användarens IP-adress med. Vilket innebär att alla externa tjänster måste kollas, man måste veta vart IP-adresserna tar vägen”, säger Anders Willstedt, medgrundare och teknikchef på Conzentio.

Enligt honom finns är det framförallt två delar som företag behöver kolla på. Dels är det att ha reda på vilken data som egentligen samlas in.

“Den del som är mycket jobbigare är att ta reda på är vilka tjänster som kräver samtycken, och att sedan ordna samtycken. Enligt GDPR måste man vara väldigt tydlig med vad man ska använda personuppgifterna till och det kan vara svårt att få användarna att lämna dessa samtycken.”

Hur kommer det här att påverka företag som måste anpassa sig efter GDPR?

“Vid en inspektion så måste man ha koll på vad man gör. Svenska sajter läcker personuppgifter som såll och man har ingen koll på det. När man hittar någon form av widget som verkar gratis så kostar det ofta något i form av data.”

Läs fler artiklar
LÄS MER