Ét GDPR-råd, du ikke vil være foruden
Mange danske virksomheder er i læsende stund i færd med at klargøre de sidste GDPR-detaljer, inden kalenderen skriver den 25. maj – og hvis du sidder og læser dette, er din virksomhed ganske givet en af dem. Ikke desto mindre kan vi desværre konstatere, at alt for mange virksomheder har overset én væsentlig detalje, som kan overflødiggøre store dele af det ellers fine compliance-arbejde, der er blevet udført ude i virksomhederne.
Hvis du kan krydse nedenstående 3 punkter af, skal du ikke have svedige håndflader, når du læser denne artikel. Hvis ikke du kan, vil vi anbefale dig at tage en dyb indånding og læse med...
- ✔ Har din virksomhed et website?
- ✔ Bruger I kontaktformularer på websitet?
- ✔ Har du nogensinde hørt om HTTPS eller SSL?
Den konkrete fejl, som I muligvis skal have udbedret, vil vi komme ind på senere i artiklen, men først vil vi indføre dig i selve problematikken, så du er klædt på til at forstå og håndtere situationen.
GDPR og de nye regler
GDPR er skruet sådan sammen, at dataansvarlige skal kunne redegøre for, hvordan og hvorfor de erhverver sig persondata, og uanset om det er personfølsomt (CPR-nummer, sygdomshistorik, seksuelle overbevisning, mv.), eller om det er personhenførbart (navn, telefonnummer, e-mail, mv.), så skal virksomheden kunne beskytte data. Dette kan forekomme åbenlyst, men det er en væsentlig tilpasning af Persondataforordningen og årsagen til denne artikel. Historisk set har personhenførbar data ikke på samme vis været underlagt streng instruks om beskyttelse.
Konkret eksempel
Hvis vi forestiller os et scenarie, hvor du har en webshop og en bruger tilgår denne for at købe – lad os sige – kalkuner af dig, så skal brugeren afgive personfølsomme oplysninger, for at kunne bestille, betale og modtage den kalkun, som denne ønsker. Såfremt denne data ikke er krypteret, vil det være en relativt simpel øvelse for udefrakommende at tilgå data og potentielt set udføre et "man in the middle"-angreb – altså et angreb, hvor informationsudvekslingen mellem kunde og virksomhed infiltreres. Faktisk vil vi påstå, at du kan lære at hacke den slags data på lige så kort tid, som det tager dig at læse dette indlæg.
De fleste webshops har af samme årsag i lang tid – og længe inden GDPR kom ind i de flestes bevidsthed – haft det, man i branchen kalder en Hypertext Transfer Protocol Secure-forbindelse (forkortet "HTTPS"), som er en krypteret forbindelse, der sikrer besøgene og webshopejeren imod "man in the middle"-angreb og således beskytter data, som GDPR foreskriver. For at have en velfungerende HTTPS-forbindelse er det nødvendigt med et Secure Socket Layer-certifikat (forkortet "SSL").
Hvad har det med min kontaktformular at gøre?
For at vende tilbage til den problemstilling, som vi indledte artiklen med, så har HTTPS og SSL været hverdagslingo og allemandseje for webshopsejere i mange år. Ikke desto mindre så er det et nyt og relativt ubetrådt land for mange virksomheder med et ganske almindeligt website – altså en hjemmeside, hvor der ikke foregår udveksling af personfølsom data eller sker en transaktion. Det er en udfordring, fordi mange virksomheder har en kontaktformular på deres website, og når det er tilfældet, vil brugere af websitet have muligheden for at fremsende personhenførbar data via dit website. Hvis den data bliver udsat for "man in the middle"-angreb, bliver det meste af det gode GDPR-compliance arbejde, I har lavet, så ikke overflødiggjort?
Sådan tjekker du, om I har styr på HTTPS og SSL
Det er faktisk ganske nemt. Du går blot ind på jeres website og ser, om der står 'Secure' og 'https' før jeres domænenavn, som herunder:
Sådan forholder du dig, hvis I ikke har HTTPS-kryptering:
- Træk vejret
- Hent din mobiltelefon
- Ring til jeres webbureau og sig "Jeg vil gerne bede om hjælp til HTTPS-kryptering og indkøb af SSL-certifikat på vores website, tak"
- Gå ind til chefen og bed om lønforhøjelse 😎
Læs også denne artikel om, hvordan HTTPS bidrager til jeres SEO-arbejde og dermed kan give jer en fordel i indekseringsræset i søgemaskinerne.
