Jeg regner med at du gleder deg veldig. Eller…….?
Det virker faktisk ikke helt sånn… Det virker som mange har fått helt panikk, og tror at EU-dyret kommer etter oss for å kreve inn millionbeløp om vi har en sjekkboks eller to for lite.
Det er jo ikke det som er hensikten med denne loven. Hensikten er å beskytte dine og mine personlige data, slik at disse ikke kan misbrukes av hvem om helst. Og det burde vi faktisk ta i mot med åpne armer.
Jeg skal ikke komme med juridiske råd, det får de som er kompetente til det gjøre. Men litt info om hva som skjer i forhold til WordPress skal du få fra meg 🙂
Her er mitt lille bidrag på GDPR fronten!
Personvern – få denne siden på plass først!
Det første du bør få på plass(eller oppdatere) er en personvern side. Her synes jeg faktisk Datatilsynet sin oversikt er veldig grei å forholde seg til. Bare ta av deg brillene med «dette er vanskelig» filteret når du leser punktene.
Du skal f.eks opplyse om hvilke personopplysninger du henter inn, hvor du henter dem fra og hvorfor. Ett konkret eksempel på det, for WP Skolen sin del, er hva vi ber om når du melder deg på kurs.
Hvor henter vi opplysningene fra? Jo, fra skjemaet du fyller inn når du melder deg på.
Hva henter vi inn? Navn, e-post og postadresse + evt firmanavn og org.nr.
Hvorfor? Fordi vi er forpliktet til å sende deg en formell faktura på kjøpet, som tilfredstiller formkravene i bokføringsforskriften. E-post adressen brukes som brukernavn på kontoen din, slik at du kan logge deg inn og få tilgang til kurset du har kjøpt, samt gjenopprette passord om man har glemt det.
Det er faktisk ganske logisk!
Hva gjør WordPress når det gjelder personvern?
Neste oppdatering, versjon 4.9.6, er forventet å komme 15. mai. Lovlig sent til å være første versjon som har noe som helst om GDPR inkludert. Men…, bedre sent enn aldri.
Det skal sies at det har kommet en del utvidelser som har vært mulig å installere en god stund allerede, og jeg har testet ut en del av dem. Men jeg har valgt å sitte litt på gjerdet for å se hva som faktisk kom fra WordPress sin side først.
En ting som kommer i 4.9.6 er en «personvernsidegenerator», om det er ett ord 🙂
Under Innstillinger -> Privacy vil du få opp ett valg for å velge side for personvern. Opprett gjerne en tom side som heter Personvern før du setter i gang, ellers blir den automatisk kalt for Privacy Policy.
Når du har valgt side, så rutes du automatisk videre til siden, og du kan begynne å redigere tekst.
WordPress vil automatisk sette inn ett forslag til tekst, men her må du selvfølgelig gå gjennom og gjøre de nødvendige endringene som kreves for akkurat din side.
Foreløpig er alt på engelsk. Om alle oversettelser er klare før de slipper denne oppdateringen vet jeg ikke enda. I første versjon lå det en mengde med gul hjelpetekst på denne siden, men heldigvis gikk de bort fra den idéen igjen. Nå kan du klikke på «check out our guide» linken for å finne hjelpetekster.
Som du ser på høyre side her, så gjelder teksten her foreløpig WordPress og WooCommerce, og hvilke opplysninger du bør ha med på personvernsiden din i forhold til disse to.
Dette er et tegn på at WooCommerce også har gjort noen grep for å hjelpe deg med opplysninger. Her ligger det med andre ord mulighet for alle som utvikler utvidelser til WordPress, til å legge inn informasjon om sine plugins. Alle som tar GDPR på alvor og utvikler utvidelser som på en eller annen måte samler personlige opplysninger bør inn på denne lista.
Men husk at det fortsatt er ditt ansvar å vite hva som skjer på din nettside!
Samtykke – ett sentralt stikkord når det gjelder GDPR
GDPR loven legger veldig stor vekt på at du må innhente samtykke til å bruke den infoen du samler inn. Når du har en WordPress-side, så henter du høyst sannsynlig inn noe informasjon om brukerene dine. De fleste har i det minste et kommentarfelt og et kontaktskjema.
Og hvordan gir man samtykke? Veldig ofte ved å sette en hake i en sjekkboks hvor det f.eks står: Jeg samtykker til at WP Skolen lagrer navn, e-post, ip-adresse osv og bruker det til ________(sett inn det som måtte passe).
Og da kommer det store spørsmålet: Hvordan gjør jeg det i praksis?
La oss ta kommentarfeltet først!
I WordPress sitt standard kommentarfelt bes det om navn, e-post adresse og evt. nettside. I tillegg lagres ip-adressen til den som legger igjen en kommentar.
Her kan det selvfølgelig diskuteres om det å oppgi nettside er nødvendig informasjon. Det er ikke nødvendig for meg som nettsideeier, men jeg setter veldig pris på at andre gir meg mulighet til å legge igjen link til min nettside der jeg kommenterer.
Når GDPR loven trer i kraft, så skal det(visstnok) i tillegg opplyses om at disse dataene lagres, og den som kommenterer må gi sitt samtykke til det.
Hvordan? Ved å huke av en sjekkboks!
Foreløpig tyder alt på at dette også kommer til å være inkludert i versjon 4.9.6, så min anbefaling er å sitte på gjerdet litt til. Skulle det ikke komme 15. mai, så kan du installere en plugin(mer om det lenger ned i innlegget).
Så har vi kontaktskjemaet
Kontakt- eller andre skjemaer du bruker på nettsiden er også steder du henter inn informasjon. Nå finnes det skjemaplugins som ikke lagrer innkommede skjemaer. Det er en uting(spør du meg), for da har man heller ikke mulighet til å sjekke om man har uleste meldinger.
Vi anbefaler GravityForms eller WP Forms til skjemabruk, og da får du også en oversikt over oppføringer i skjemaene på kontrollpanelet i WordPress.
Den som sender inn et skjema må få vite hva du lagrer av informasjon og gi sitt samtykke til dette.
Enda en sjekkboks, med andre ord 🙂
Her er en gif som viser hvordan du setter opp en sjekkboks i GravityForms.
Metoden er omtrent den samme i andre kontaktskjemaer.
Teksten jeg limer inn i sjekkboksen er i html format, slik at linken blir klikkbar:
Jeg samtykker til at navn, e-post adresse og melding lagres til meldingen er lest og besvart av en av våre administratorer. Du kan lese mere om <a target="_blank" href="https://wpskolen.no/personvern/">Personvern</a> her.
Hva med retten til å bli glemt eller slettet?
Her tyder det også på at ting kommer i 4.9.6. I betaversjonen ligger det to ny linker i menyen under «Verktøy».
Det finnes plugins som har disse funksjonene også. Faktisk også noen som lar brukere slette seg selv. Sånne ting gjør meg litt bekymret. Spesielt om man ikke kjenner til utviklere bak denne type plugins.
Men så lenge det er innebygget som en funksjon i WordPress, så kan vi vel gå ut fra at sikkerheten er ivaretatt.
Uansett, så håper jeg du har en plan for backup av både database og filene på webhotellet ditt! Det har alltid vært viktig, og kommer ikke til å bli mindre viktig heretter!
Slik det ser ut nå, så ser det ut til at dette er ment å fungere på følgende måte i WordPress: En person som har kommentert på bloggen din, eller har en brukerprofil, kontakter deg og ber om å få se eller slettet sine data fra nettsiden din(f.eks kommentarer, hvilke data som er registert på brukerkonto, etc).
Du kan da gå inn som administrator og klikke på enten «eksporter» eller «fjern» og generere en e-post med en link.
Når brukeren klikker på linken, så bekrefter han sletting/fjerning og du får en tilbakemelding og kan utføre handlingen.(Dette har jeg ikke testet ut i praksis enda, men som sagt. det ser ut som det er ment å fungere slik.)
Hva om du selger noe via nettsiden din?
Da samler du garantert inn informasjon som krever samtykke. På WP Skolen bruker vi MemberMouse til å håndtere salg av nettkurs. I den forbindelse må vi faktisk ha noe informasjon om den som kjøper. Hva vi samler inn av informasjon står på personvernsiden vår.
Og hva må kunden gjøre når hun eller han melder seg på kurs?
Fylle ut skjemaet OG huke av for…..jepp, en sjekkboks hvor det gis samtykke. Skulle vi startet på nytt i dag, så hadde vi valgt WooCommerce i samarbeid med et par andre plugins for å sette opp kurs og medlemskap.
WooCommerce kommer også med noen nye oppdateringer i forhold til GDPR
Og noe av det tipper jeg du har savnet om du bruker WooCommerce. Som f.eks muligheten til å bestemme hva som skal vises på utsjekkingssiden på en enkel måte. Jeg er en av de som irriterer meg når jeg blir bedt om å oppgi telefonnummer, så der setter jeg alltid inn 99999999.
Nå kan det hende jeg slipper det framover, for nå kan du fjerne de unødvendige feltene. Det er også ett GDPR krav. Du skal kun be om nødvendig informasjon fra kundene dine. Om denne oppdateringen også kommer 15. mai, vet jeg ikke. Men den skal være på plass før 25. mai.
Når du oppdaterer så vil du få opp ett nytt felt under Utseende -> Tilpass -> WooCommerce -> Til kassen:
Trenger jeg GDPR spesifike plugins?
Det jeg egentlig hadde tenkt å skrive om i denne bloggen her, var tips om de ulike GDPR utvidelsene som har vært på markedet en stund. WordPress folket har vært så dypt ned i Gutenberg de siste månedene, så jeg begynte å lure på om de kom til gjøre noe som helst i forhold til GDPR.
Men nå begynner det å skje ting, heldigvis. Det er jo litt synd på de som har brukt hundrevis av timer på å utvikle plugins, men det er tross alt bedre at lovpålagte ting er bygget inn i WordPress «core»(det er et faguttrykk for det folk flest trenger 🙂 )
Om du trenger ekstra plugins eller ikke, kan jeg ikke svare ja eller nei på. Du må selv finne ut hva du samler av informasjon via nettsiden din og ta nødvendige grep.
Av de utvidelsene jeg har testet, så synes jeg dette er den eneste som forklarer på et forståelig språk hva den faktisk gjør.
WP GDPR Compliance
WP GDPR Compliance har foreløpig støtte for sjekkbokser i både kommentarfelt, Contact Form 7, GravityForms og WooCommerce. Men nå har vi jo allerede slått fast at kommentarfeltet antageligvis blir å finne i «core», sjekkbokser i skjemaplugins har aldri vært noe problem, så det trenger du ikke ekstra plugins til. Og WooCommerce har også gjort jobben sin.
Men jeg kan jo ta med ett lite skjermbilde av den, så du kanskje synes litt synd på meg også, som har brukt unødvendig mye tid på testing av plugins 🙂
Skal vi ha is i magen litt til?
Hvis du abolutt vil, så gjør du jo ikke noe feil ved å ta i bruk en plugin eller to. Men jeg liker ikke å gjøre dobbeltarbeid, så jeg anbefaler at du venter til den 15. mai i det minste. Den største jobben her er jo tross alt å sette seg inn i regelverket, og få rutiner på plass. Sjekkboksene er peanøtter i forhold!
Heisann og flott blogginnlegg.
Hva er reglene med å slette unødvendig data liggen i back-end på nettsidene(for eksempel gamle brukere som ikke har noe aktivt medlemskap)? Må man slette denne dataen innen ett år eller lignende?
Mvh Alexander
Hei Alexander!
La meg først si at jeg ikke anser meg som en GDPR ekspert, så jeg uttaler meg basert på min forståelse av reglene. Når det gjelder det her så mener jeg det kommer an på hvilke betingelser man har gitt medlemmer når de meldte seg inn. Såvidt jeg vet er det ingen tidsfrist for sletting, men det heter seg at det man samler av info skal være formålstjenlig. Hos oss er det f.eks ingen utløpsdato på noen kurs, vi lover tilgang så lenge WP Skolen eksisterer. Ergo ville vi brutt vårt eget løfte ved å slette medlemmer som ikke har vært aktive det siste året. Mister man tilgang etter ett år, så er det som regel ingen grunn til å lagre data på brukeren heller når det året er omme. Ellers er det jo sånn at man ikke skal be om eller lagre unødvendige data i det hele tatt, ferdig snakka 🙂 Man skal kun be om data som er nødvendige for å levere «varen». Hvis det er snakk om produkter man selger, så stilles det jo visse krav til salgsbilag. Navn og adresse på kunden skal angis(eller evt. org nr i stedet for postadresse), tidspunkt og leveringstid for kjøpet etc. Og der er det jo også et krav om at regnskapsdata skal lagres i minst 5 år.