WordPress och dataskyddsförordningen GDPR

EU: s nya dataskyddsförordning GDPR (General Data Protection Regulation) trädde ikraft våren 2016 och började tillämpas 25/5 2018. I Seravos WP-tjänst har utvecklandet av datasäkerheten och dataskyddet utgjort centrala delar i flera års tid och vi har följt förberedelserna för GDPR under lång tid.

Den nya dataskyddsförordningen förbättrar EU-medborgarnas dataskydd. Alla har rätt enligt dataskyddsförordningen att:

  1. Få kännedom om vilken information som samlas in om honom/henno.
  2. Förbjuda datainsamling och datahantering, inklusive kräva att insamlade personuppgifter raderas.
  3. Få kopia av informationen om sig själv i ett format som lämpar sig för överföring till annat system.
  4. Få kännedom om dataläckage där personens egna uppgifter kan ha läckts.

Som ett resultat av denna förordning kommer ansvaret för insamlaren av personuppgifter, det vill säga registeransvariga att öka avsevärt.

EU:s dataskyddsförordning finns i informationstjänsten EUR-Lex. Den nationella lagstiftningen utarbetas fortfarande, men Seravo följer utvecklingen av ärendet. Företaget Seravo Oy är registrerat i Finland och vi följer nu och fortsättningsvis alla finska regler så att en finsk kund inte behöver oroa sig om förhållandet till Finlands lag, något man ibland tvingas göra som kund hos utländska företag.

Varje webbplatsinnehavare är registeransvarig.

Varje WP-kundföretag ansvarar för hur personuppgifter samlas in via WordPress, om de samlas in. Alla kundföretag ansvarar själva också för vad som görs med de data som samlas in och hur man garanterar rättigheterna för de registrerade. Ur dataskyddsförordningens synvinkel kan Seravo Oy vara datahanterare (data processor) och alla ägare av WP-tjänsten vara registeransvariga (data controller). Seravo strävar efter att främja sina kunders förmåga att fungera som registeransvariga på ett framgångsrikt sätt, men Seravo bestämmer eller kontrollerar inte på något sätt vilka data som kundernas WordPress-webbplatser samlar in från besökare, hur data används eller vart data överförs av webbplatsinnehavarna.

WordPress erbjuder ett antal funktioner som underlättar korrekt bearbetning av data. Det lönar sig för webbplatsskaparen att bekanta sig med funktionerna när man planerar vilken typ av webbtjänst som ska byggas. WordPress i sig självt utgör i princip ingen särskild svårighet ur GDPR-direktivets synvinkel.

Som grund för GDPR står EU:s försök att motverka typiska praxis hos i synnerhet amerikanska företag (som inte begränsas av dataskyddslagstiftningen) där alla möjliga data om webbplatsanvändarna samlas in och data samkörs och säljs vidare på ett sätt som försämrar medborgarnas dataskydd. I publiceringssystemet WordPress finns inga sådana funktioner inbyggda.

Ett annat syfte med GDPR är att tvinga företagen att ta dataskyddet mer på allvar, för att mina sannolikheten för stora dataläckage. I Seravos WP-tjänst är kundernas datasäkerhet på en god nivå, eftersom underhållet av datasäkerheten och den övriga servicemiljön ingår i tjänsten, till skillnad från konkurrenter där kunden traditionellt endast köper serverkapacitet och helt själv ansvarar för funktionaliteten.

Seravos skyldigheter som datahanterare

De krav som gäller persondatahanteraren har uppräknats i GDPR artikel 28. Seravo Oy uppfyller alla krav.

  • När kunden gör en beställning väljer kunden i vilket land och i vilken servercentral som webbplatsen placeras. Seravo kan överföra webbplatsen till olika servercentraler inom samma land, men webbplatsen överförs inte till någon annan av Seravos servercentraler i något annat land utan kundens uttryckliga begäran.
  • För säkerhetskopiorna gäller samma åtaganden och krav som för ursprungliga data. Säkerhetskopieringarna av webbplatsdata i Finland finns också i Finland, och säkerhetskopiorna är endast tillgängliga för de administratörer som har tillgång till den ursprungliga versionen.
  • När tjänsten avslutas avlägsnas kundens webbplats med all data permanent och kan inte återställas när datalagringstiden för säkerhetskopiorna upphört.
  • All personal hos Seravo har förbundit sig att följa tystnadsplikten både enligt lagen och enligt specifika åtaganden. Serveråtkomsträttigheter hanteras strikt.
  • Underleverantörer används inte i databehandlingen, utan endast Seravos personal har laglig tillgång till data på våra servrar.
  • Kunderna får omfattande information om datasystemens uppbyggnad och om dataskyddsmekanismer, dock utan att avslöja Seravos eller andra företags affärshemligheter eller sådan information som hör till dataskyddspraxis, vars röjande skulle minska dess effektivitet.
  • Den registeransvariga får tillgång till all information som behövs för att påvisa att man följt de skyldigheter som fastställts i GDPR, och tillåts göra revisioner och kontroller i den utsträckning som är möjligt utan att skada datasekretessen eller affärshemligheter för någon annan kund eller tjänsteleverantör. För revision och kontroll kan en avgift tas ut, vars storlek står i förhållande till den arbetsmängd som krävs för att assistera vid kontrollen.
  • Kunderna informeras om alla datasäkerhetskränkningar, där kunden som registeransvarig är skyldig att informera de registrerade.

Våra allmänna leveransvillkor som trädde i kraft i maj 2018 innehåller en datasekretessbilaga i enlighet med GDPR.

Inbyggd och standarddatasekretess

Artikel 25 i EU:s dataskyddsförordning månar om principerna för den inbyggda och standardiserade datasekretessen. Hos WP-tjänsten har datasäkerhet alltid varit ett centralt delområde för såväl planerandet av våra datasystem som för underhållsprinciperna. I praktiken syns det bland annat i att det i alla våra servicepaket och domänadresser ingår ett HTTPS-certifikat för att skydda internetuppkopplingen. Serverunderhållet samt underhållet av Seravos personal och kunder är möjligt endast över krypterade SSH- och SFTP-förbindelser och okrypterad användning av FTP är helt förhindrad. I kundmiljöerna är såväl loggning på WordPress som på SSH/SFTP standard för att förbättra revisionen och många dataskyddsskanningar är automatiska och regelbundna, och dessutom gäller Seravos dataskyddsgaranti för WP-tjänsten alla kunder; om krypteringen sviker städas dataintrången på WordPress-webbplatserna utan extra kostnad. Således är incitamentet för tjänsteleverantörens ansvar märkbart.

Seravo Oy:s bakgrund som upprätthållare av Linux-systemen är viktigt för förbättrandet av tjänstens dataskydd, eftersom användarna av Linuxsystemet ofta valt det på grund av dataskyddsorsaker och man krävt en hög dataskyddsnivå av underhållspartnern.

Seravo samlar in och använder endast loggdata

Seravo Oy samlar inte in personuppgifter om kundernas kunder och är på så vis inte registeransvarig. Varje internetuppkoppling lämnar spår i serviceloggarna och noteringen innehåller uppgifter om exempelvis från vilken IP-adress internetuppkopplingen skedde och när, men i loggarna samlas inte några personligt data. Av säkerhetsskäl lagrar vi data om alla inloggningsförsök på våra kunders WordPress-sajter i en separat logg, med uppgifter om vilket användarnamn som användes. Om användaren valt ett riktigt namn som användarnamn kan det vara individualiserande, men eftersom det är fråga om en logguppgift behöver man inte få tillgång till det eller tillgång till överföring, och data raderas inte även om någon skulle be om det, eftersom det är viktigt för datasäkerheten och inte heller skadar någons datasekretess. Bearbetning av loggdata skulle strida mot revisionskravet. Loggdata används på många sätt för att främja datasäkerhet, vilket i sig tjänar datasystemanvändarnas datasekretess.

Seravos egna datahantering beskrivs för tillfället i vår registerredovisning, vilken 25/5 2018 ändrats till en redovisning om datahanteringsåtgärder.

Raderade filer raderas med tiden även ur säkerhetskopiorna

I GDPR ingår att webbtjänstanvändarna har rätt att bli ”glömda”, vilket innebär att de personer vars personuppgifter samlas in, har rätt att se vilka data om dem som insamlats och har även rätt att få denna data raderad. Denna rätt stöds i Seravos WP-tjänst eftersom vi inte lagrar några data eller säkerhetskopior för evigt.

Säkerhetskopieringarna har på grund av dataskyddsorsaker genomförts så att kopiorna lagras en viss tid, vanligtvis ett par månader. Dröjsmålet är berättigat eftersom vi utan tillförlitliga säkerhetskopior, inte kan garantera tillgängligheten eller integriteten av data, vilket i sin tur vid sidan av förtroligheten utgör hörnstenar för dataskyddet. Vid säkerhetskopiering har man sett till att de varken kan förstöras på laglig eller olaglig väg. GDPR föreskriver inte hur rätten att granska och radera data ska förverkligas tekniskt. Vi tror starkt på att de åtgärder som vidtagits för att främja datasäkerheten och datasekretessen på Seravos WP-tjänst juridiskt sett är så bra hållna som möjligt ur servicemiljöns synvinkel på WordPress-webbplatsen.

Datasekretessansvariga och datasäkerhetsansvariga ger mer information

I Seravo har både dataskyddspersonal och en datasäkerhetsansvarig utsetts. I alla frågor om datasekretess och datasäkerhet kan man kontakta vårt dataskyddsteam: security@seravo.com eller vår kundtjänst på wordpress@seravo.se.