GDPR for nettsider

Publisert 30. januar 2022
This post thumbnail

Dersom din virksomhet har en nettside, så er det som regel noen hensyn du må ta til GDPR. Her får du en oversikt. Les også vår oversikt over viktige GDPR regler her.

Ingen personopplysninger - ingen GDPR

La oss ta det enkleste caset først: Dersom din virksomhet ikke behandler personopplysninger på nettsiden, så trenger du ikke tenke på GDPR her. Det kan være fort gjort å tenke at man ikke behandler personopplysninger dersom man ikke samler inn noe data fra brukerne gjennom skjemaer og lignende, men hver obs på at webanalyseverktøy ofte behandler personopplysninger (for eksempel Google Analytics). Men ved å bruke riktig webanalyseverktøy så kan du unngå hele denne problemstillingen. Les vår test av Fathom Analytics, et alternativ til Google Analytics. Cookies kan også brukes til å behandle personopplysninger, så dette bør du også sjekke før du kan være sikker på at nettsiden ikke behandler personopplysninger. Les mer om cookies og GDPR. Merk at i nesten alle tilfeller hvor du legger til scripts på din nettside fra eksterne tjenester som Facebook, Instagram, LinkedIn, Google etc. så vil nettsiden behandle personopplysninger. Ikke bare det, men ved å legge til slike scripts på virksomhetens sider så vil nettsiden fungere som en datainnsamler som sender data til disse tjenestene om hvor de besøkende beveger seg og hva de klikker på. Og det kan du ikke gjøre uten at de besøkende samtykker til en slik behandling. Se hvordan du lager et lovlig cookie-samtykke her.

Vårt tips til enkle nettsider er å unngå behandling av personoppysninger ved å:

  • Bruk et personvernfokusert webanalyseverktøy som Fathom Analytics eller Plausible.
  • Unngå bruk av cookies.
  • Unngå å legge scripts fra tredjeparter på nettsiden.
  • Unngå bruk av kommentarfelt (alle input felt kan potensielt behandle personopplysninger).

Når du behandler personopplysninger på nettsiden

Alle nettsider som behandler personopplysninger må ha en personvernerklæring. Denne skal beskrive hvordan man behandler personopplysninger på en forståelig og informativ måte. Merk at du også skal informere om hvem som er behandlingsansvarlig. Det vil si, hvilket juridiske organ eller person som er ansvarlig for behandlingen. En feil vi ser mange gjør er å skrive at nettsiden er behandlingsansvarlig, som for eksempel "www.eksempel.no er behandlingsansvarlig for personopplysninger som hentes inn og behandles på denne nettsiden." Men dette er altså ikke bra nok. Bruk vår mal til personvernerklæring for å lage din egen personvernerklæring.

Husk at en personvernerklæring skal inneholde en beskrivelse av all innhenting og behandling av personopplysninger, ikke bare det som samles inn gjennom nettsiden. Dersom du har en nettside som har veldig adskilte funksjoner kan det være lurt å dele opp personvernerklæringen og lage en personvernerklæring per funksjon. Enkle nettsider som kun inneholder informasjon trenger ingen personvernerklæring, men dersom du for eksempel samler inn epostadresser til et nyhetsbrev så trenger du å forklare hvordan disse dataene behandles. Se vår enkle mal for personvernerklæring for nyhetsbrev her.

Mange nettsider benytter seg også av cookies, og i mange tilfeller vil man behandle personopplysninger med cookies. Hvis det er tilfellet for din nettside så skal nettsiden også ha en cookie-erklæring. Som regel er denne adskilt fra personvernerklæringen, men du bør henvise til nettsidens cookie policy i selve personvernerklæringen.

© 2023 GDPRControl. Av Anders Svensson og Jan Ove Skogheim.