Bemærk at denne vejledning ikke er en decideret facitliste, men bør ses som en guideline. Det er altid dit ansvar som dataansvarlig at overholde lovgivningen, når du bruger Bricksites services. Du kan finde yderligere information om GDPR for små virksomheder gennem dette website: http://ec.europa.eu/justice/smedataprotect/index_da.htm.

Er Jeg Dataansvarlig?

Det korte svar er JA! Hvis du har en hjemmeside eller en emailadresse gennem Bricksite, så er du dataansvarlig for indholdet på din hjemmeside og for indholdet (email og kontakter) på din professionelle email.

Som dataansvarlig er der nogle ting i forbindelse med GDPR, du selv er forpligtet til. I denne vejledning gennemgås de væsentligste punkter. Vi ved godt, at denne artikel er en af de længere af slagsen, men vi anbefaler, at du gennemgår den punkt for punkt.

Undtagelse.

Hvis du alene anvender din emailadresse i privat øjemed, så er du undtaget GDPR. Hvis du derimod sammenblander din private emailadresse ved Bricksite med arbejdsrelaterede emails, fx ifm. din hjemmeside, så er du ikke undtaget, og skal kunne stå inde for sikkerheden.

ER MIN HJEMMESIDE OGSÅ UNDTAGET? Det er ligegyldigt, om du bruger din hjemmeside til rent personlige formål. En hjemmeside er pr. definition offentligt tilgængelig, og falder derfor uden for privatsfæren. Du skal derfor tænke grundigt over — og få lov til — at lægge tekst og billeder om andre personer op, fx hvis du skriver blogindlæg.

Dit Ansvar

Når du har en hjemmeside ved os, så lægger du dine data op i Bricksites systemer. Derfor er du som standard omfattet af vores databehandleraftale som betalende kunde ved Bricksite. Databehandleraftalen er en fælles aftale mellem dig og Bricksite, som sikrer at vi hver især lever op til vores forpligtelser og at Bricksite har din godkendelse til at være din databehandler. Samtidigt stiller vi en række garantier, som viser, at vi er en kompetent databehandler. Ordlyden af databehandleraftalen kan du læse, når du er logget ind på din bruger. Vi arbejder på at få det skrevet ind i vores standardvilkår.

Som dataansvarlig er det vigtigt at du har styr på dine brugeres indsigtsret. Helt lavpraktisk betyder det, at du—vederlagsfrit, og mod brugerens forespørgsel—skal udlevere de oplysninger, du har indsamlet om vedkommende.

Dine brugere har retten til at få slettet de data, du har indsamlet, hvis der ikke eksisterer andre retlige hensyn. Her går særligt Forældelsesloven forud for GDPR.

Nogle væsentlige pointer.

Hold dig orienteret om dine forpligtelser som dataansvarlig.
Undlad at behandle persondata, som du ikke har brug for og undgå, hvis muligt, at behandle særlig følsomt persondata.
Det persondata du behandler skal være indsamlet på et legalt grundlag.
Benyt krypterede protokoller til web, mail og filoverførsel.
Adgang til data skal være begrænset.
Data skal ikke opbevares længere end det er nødvendigt til at levere den service/produkt til din kunde — og højst så længe, som andre regler kræver det.

Den almindelige forældelsesfrist i Danmark er 3 år; og for bogføringsmateriale er fristen til udgangen af det 5. regnskabsår. Den absolutte forældelsesfrist er altid til udgangen af det 10. år i Danmark. Det kan svinge, hvilken dato du tæller fra, men ifølge Persondataforordningen skal indsamlet data faktisk slettes nærmest øjeblikkeligt, når der ikke længere er saglige og juridiske grunde til at beholde det. I praksis kan forældelsesfristen derfor være nærmest fra dag til dag.

Tag dine forholdsregler.

Du skal tage nogle meget basale forholdsregler, når du indsamler personfølsomme data. Des mere sensitive og fortrolige information, du indsamler, jo bedre tiltag skal du tage. For eksempel:

Brug stærke adgangskoder
Brug gerne 2-faktorgodkendelse, hvis det er sensitive eller fortrolige data (når det er muligt)
Lås din computer, når du forlader den
Sørg for at have antivirus installeret
Brug et sikkert WiFi-netværk med kode. Undgå at sidde på åbne netværk.
Brug VPN.

TIP. Hop ned i bunden af denne vejledning for en mere fuldendt liste over sikkerhedstiltag, du kan tage (afhængigt af risici selvfølgelig).

Databehandlere.

Hvis du videregiver data til andre (også hvis det sker automatisk), så er du stadig Dataansvarlig for, at "de andre" opfører sig ordentligt. Så udvis rettidig omhu ved at identificere, hvem du benytter som Databehandlere, og underskriv en Databehandleraftale / Data Processing Agreement (DBA/DPA) med hver især, navnligt hvis data føres uden for EU.

Du har allerede en DBA med Bricksite. Vi har adgang til alle informationer på din hjemmeside og email. Det ligger i et sikkert system, og vi tilgår det kun, hvis vi får lov, hvis vi har mistanke om misbrug, eller hvis vi er blevet det pålagt af myndighederne.

Eksempler på Databehandlere.

Dette er en ikke-udtømmende liste over mulige databehandlere, som du muligvis bruger.

Hvis du bruger andre end Bricksite til at håndtere din email, fx Microsoft Office 365 eller Google GSuite. Vær særligt opmærksom på, hvis data føres uden for EU, og du behandler sensitive persondata, fx sundhedsdata.

Google Analytics til websidestatistik og analyse.

MailChimp til udsendelse af nyhedsbreve.

Bambora for at tage mod betalingskort i din webshop.

Et webbureau, som laver marketing og analyse for dig.


Risici.

Du skal tage en risikobetonet tilgang. Des mere sensitive persondata, du indsamler, jo flere sikkerhedstiltag skal du tage.

Har du kontaktformular, hvor den besøgende udfylder navn, email, m.m.?
Har du statistik på hjemmesiden (Google Analytics, Facebook Pixel, m.fl.)? Det har langt de fleste.
Har du tredjepartskode på din hjemmeside, som indsamler data, fx IP-adresser, o.lign.?
Høj risiko. Har du en webshop, hvor kunden ved bestilling udfylder sit betalingskort? Hvis din kortindløser (Bambora, MobilePay) giver mulighed for 2-faktorlogin, så aktiver det!
Kritisk risiko. Spørger du om dine kunders CPR-nr.?
Ekstrem risiko. Indsamler du rutinemæssigt helbredsoplysninger, enten fysisk eller mentalt, over email? Det gør du måske, hvis du er en af vores mange privatpraktiserende kunder.

Hvis risikoen er høj, kritisk, eller endda ekstrem, så skal du huske at lave en RISIKOVURDERING, da konsekvenserne for dine kunder/patienter kan være meget alvorlige, hvis du bliver hacket. Risikovurderingen kan blot være en tabuleret liste over de potentielle risici, der kunne være; og hvad konsekvenserne ville være for dine kunder; og slutteligt, hvilke tiltag, du har taget på den baggrund. Det kan være noget så enkelt som at lave ekstra stærke kodeord med 2-faktorgodkendelse, og at sende krypteret/sikker email.


Hvis Det Går Galt.

Hvis du bliver hacket, så kontakt Bricksite hurtigst muligt, så vi kan få nulstillet adgangen til din bruger og emailadresser ved os. Sæt dig derudover grundigt ind i, om du behandler så mange personoplysninger, eller så sensitive og fortrolige personoplysninger, at du skal anmelde det til Datatilsynet (inden for max 72 timer), og om du skal informere dine kunder/patienter.


Sikkerhedstiltag.

TIP. De nyeste krav kan findes på sikkerdigital.dk. For konkret vejledning og myndighedskontakt, så kan du skrive til Center for Cybersikkerhed.

Statslige myndigheder (dette inkluderer visse frivilllige foreninger, der modtager statsstøtte) [S] skal leve op til en lang række sikkerhedskrav stillet af Digitaliseringsstyrelsen, Erhvervsstyrelsen, og Center for Cybersikkerhed fra 01 Januar 2020. De relevante krav, som du skal leve op til som kunde ved Bricksite, står oplistet nedenfor.

Kommunale myndigheder (dette inkluderer visse frivillige foreninger, der modtager kommunal støtte) [K] skal leve op til visse sikkerhedskrav, og kan leve op til de resterende sikkerhedskrav, hvis man ønsker. Det er nok et spørgsmål om tid, før de statslige krav også gælder her, og vi anbefaler vores kunder at man sætter barren højt og løbende arbejder sig hen mod den samme, høje sikkerhedsstandard.

Resten af Erhvervslivet [E] skal i praksis leve op til mange af de samme krav, hvis man er dataansvarlig, men det er mere eller mindre frivilligt, og afhænger af risici.

Adgangskontrol.

Man skal anvende stærke adgangskoder til alt [S, K, E]. I praksis betyder dette minimum 10 tegn, blandede små- og store bogstaver, tal, specialtegn, mellemrum. I praksis medfører det også, at man skal skifte adgangskoder med jævne mellemrum. Anvend fx en Password Manager til at generere og gemme dine koder i. Eksempler er Lastpass, Dashlane, 1Password.

Hvis din email, hjemmeside, computer, osv. bliver hacket, så skal du måske anmelde sikkerhedsbrud til Datatilsynet (og andre relevante myndigheder) inden for max 72 timer [S, K, E]. Du har som dataansvarlig pligt til at indberette sikkerhedsbrud rettidigt.

DNS & Domæner.

Anvend DNSSEC på alle domæner [S].

Opsæt en DMARC reject-policy på alle domæner, også inaktive domæner [S]. DMARC kræver indirekte, at du også opsætter SPF og DKIM. Dette beskytter dig mod misbrug og spam. SPF er opsat som standard på Bricksites mailløsning.

Email.

Anvend en stærk kode, se ovenfor [S, K, E].

Anvende Forced TLS v.1.2 på ind- og udgående email [S, K]. Dette kan du gøre ved at anvende IMAP med Port 993 til indgående email, og Port 465 til udgående email.

Du skal anvende en sikker mailserver uden open relay [S, K, E]. Bricksites professionelle email tillader ikke open relay, og vi sørger for løbende vedligehold og nye tiltag i vores systemer.

Hjemmeside.

Du skal have en hjemmeside med https://. SSL-certifikatet skal være minimum TLS v.1.2 [S]. Her ved Bricksite får du gratis https:// med til din hjemmeside. Vores SSL-certifikater anvender TLS v.1.2 og højere, som er det påkrævede.

Du må ikke anvende Flash-indhold på din hjemmeside [S]. Vær særligt opmærksom på dette, hvis du anvender Bricksite Classic.

Webserveren skal opdateres regelmæssigt med de seneste sikkerhedsopdateringer [S, K]. Det er en del af det at være kunde ved Bricksite, at vi sørger for dette, så du kan koncentrere dig 100% om at lave din hjemmeside, og de andre essentielle ting.
Hjalp denne artikel dig?
Annuller
Tak!