Samtykke, cookies, dataminimering og hvad sletteknappen kræver
Det er en udbredt misforståelse, at databeskyttelse kun rager juristerne. I virkeligheden afgøres en stor del af det i koden: hvilke felter en formular indsamler, hvilke cookies en side sætter, hvor data sendes hen, og om en brugers data overhovedet kan findes og slettes igen. Databeskyttelsesforordningen (GDPR) gælder, så snart en side behandler oplysninger om identificerbare personer — og det gør de fleste.
Persondata er enhver oplysning om en identificerbar person — ikke kun det åbenlyse som navn og e-mail. Også en IP-adresse, et enheds-id, en cookie-værdi eller en kombination af oplysninger, der tilsammen peger på en person, tæller med. Som udvikler er pointen at vide, hvilke data en side reelt opsamler — også det, der sker i baggrunden via tredjepartsscripts og statistik.
Et af de stærkeste principper er dataminimering: indsaml kun det, der reelt er brug for. Det er en konkret beslutning hver gang, du laver en formular. Har du virkelig brug for fødselsdato, telefonnummer og adresse for at sende et nyhedsbrev? Hvert felt, du fjerner, er data, du ikke skal beskytte, opbevare sikkert eller kunne slette igen. Mindre indsamling er både mere privatlivsvenligt og mindre arbejde for dig.
Cookies og lignende teknologier, der ikke er strengt nødvendige for, at siden virker, kræver som hovedregel brugerens samtykke, før de sættes. Det gælder typisk statistik-, marketing- og sporingscookies. Strengt nødvendige cookies — fx den, der holder en bruger logget ind eller husker indholdet af en kurv — kræver ikke samtykke. Et gyldigt samtykke skal være frivilligt, informeret og en aktiv handling: forhåndsafkrydsede felter og 'fortsæt for at acceptere' tæller ikke. Det skal være lige så let at sige nej og at trække samtykket tilbage som at sige ja.
Brugere har ret til indsigt, rettelse, sletning og at få deres data udleveret. De rettigheder lever eller dør med, hvordan du har bygget systemet. Kan du finde alle data om én bestemt person? Kan du eksportere dem i et brugbart format? Kan du slette dem — også i logfiler, i backup og hos de tredjeparter, du har sendt dem til? En 'slet min konto'-knap, der i virkeligheden kun skjuler kontoen, opfylder ikke retten til sletning. Tænk det ind i datamodellen fra start.
Moderne websider trækker ofte på eksterne tjenester: statistik, skrifttyper, kort, videoindlejring, betalingsløsninger. Hver gang du indlejrer noget eksternt, kan brugerens data — som minimum IP-adressen — blive sendt til den tredjepart. Vær bevidst om hvilke tredjeparter en side taler med, om der er en databehandleraftale, og hvor data ender. Det, der ligner en harmløs indlejring, kan være en dataoverførsel, der skal kunne stå mål med reglerne.
Forordningen kræver et passende sikkerhedsniveau — uden at diktere konkrete tal eller produkter, fordi det skal afpasses risikoen. I praksis er det de samme web-sikkerhedsvaner, der gælder: kryptering under transport, sikker opbevaring af adgangskoder, adgangskontrol på serveren, opdaterede komponenter og logning, så et brud kan opdages. Et databrud — fx en lækket database med brugeroplysninger — udløser anmeldelsespligt, så evnen til at opdage og dokumentere det er en del af compliance, ikke kun god skik.
“Privatliv er ikke en bannertekst, man hælder ind til sidst. Det afgøres i datamodellen, i formularens felter og i, hvad siden sender videre i baggrunden.”
— Erfaringsregel fra webudvikling med persondata