Skip to content

GDPR

Dette er en praktisk veiledning for hvordan et phpBB-forum kan etterleve GDPR i hverdagen. Vi beskriver hva som er viktigst å få på plass, med korte sjekklister. Dette er informasjon, ikke juridisk rådgivning.

Roller og ansvar

  • Behandlingsansvarlig – bestemmer formål og midler for behandlingen (typisk den som driver forumet).
  • Databehandler – behandler data på vegne av behandlingsansvarlig (f.eks. hosting/e-postleverandør).
  • Ansvar: Behandlingsansvarlig skal sikre lovlig grunnlag, informere brukere, føre protokoller, inngå databehandleravtaler og håndtere rettigheter/avvik.

Lovlig behandlingsgrunnlag

  • Avtale: For å opprette og drifte brukerkonto og forumfunksjoner.
  • Berettiget interesse: Anti-spam, sikkerhetslogger, grunnleggende analyse (etter interesseavveiing).
  • Samtykke: Kun der nødvendig (f.eks. ikke-nødvendige cookies/markedsføring). Samtykke skal være frivillig, spesifikt og dokumentert.

Dataminimering og formål

  • Samle inn minst mulig persondata for å drifte forumet.
  • Bruk data kun til formålet som er forklart i personvernerklæringen.
  • Sett tydelige lagringstider og slett/anonoymiser ved utløp.

Protokoll over behandlingsaktiviteter (art. 30)

Før en enkel oversikt (protokoll) over hva dere behandler: formål, kategorier data/registrerte, mottakere, lagringstider, sikkerhetstiltak og overføringer. Små virksomheter kan ha unntak, men i praksis er det lurt å føre protokoll uansett.

Databehandleravtale (art. 28)

Inngå skriftlig avtale med alle som behandler data for dere (hosting, e-post, anti-spam, CDN m.m.). Avtalen skal minst dekke:

  • Formål, varighet, type personopplysninger og kategorier av registrerte
  • Krav til sikkerhet og konfidensialitet
  • Regler for underdatabehandlere (forhåndsgodkjenning og oversikt)
  • Hjelp ved innsyn/sletting, avvikshåndtering og DPIA
  • Slette/returnere data ved avslutning, samt rett til revisjon/innsyn

Lagringstider og sletting

  • Definér lagringstider for kontoopplysninger, IP-logger, vedlegg og sikkerhetskopier.
  • Ha rutine for anonymisering eller sletting av gamle innlegg på forespørsel (der det er mulig uten å ødelegge trådstrukturen).
  • Sørg for at sletting også skjer i backuper etter en rimelig periode.

Rettigheter for brukere (DSAR)

  • Innsyn, retting, sletting, begrensning, dataportabilitet, protest – svar uten ugrunnet opphold og senest innen 30 dager.
  • Bekreft identitet før utlevering. Dokumentér forespørselen og svaret.
  • Ha en fast e-postadresse/prosedyre for henvendelser om personvern.

Barn og samtykke i Norge

  • I dag: Barn kan samtykke til behandling av personopplysninger ved bruk av informasjonssamfunnstjenester fra 13 år (foreldresamtykke under dette).
  • Foreslått endring: Regjeringen har sendt på høring å heve grensen til 15 år og innføre strengere alderkontroll for sosiale medier. Følg med – oppdater tekst og rutiner når lovendringen evt. trer i kraft.

Cookies og samtykke

  • Nødvendige cookies (innlogging/sesjon) kan settes uten samtykke.
  • Ikke-nødvendige (analyse/markedsføring) krever forhåndssamtykke og mulighet til å trekke det tilbake.
  • Vis en tydelig banner, gi granularitet (på/av per formål) og før samtykkelogg.

Overføring ut av EØS

  • Bruk adequacy-land der mulig. Ellers SCC + risikovurdering og tekniske tiltak (kryptering m.m.).
  • Vurder om tredjepartsløsninger (f.eks. analyse) innebærer overføringer – dokumentér vurderingen.

Sikkerhet (art. 32)

  • HTTPS overalt, sikre cookies (Secure, HttpOnly, SameSite).
  • Tilgangskontroll: minst mulig privilegier, tofaktor for admin/mod.
  • Kryptering av backuper og sensitive data, sikker nøkkelhåndtering.
  • Patch-rutiner for kjerne, utvidelser og stil. Overvåk logger.

Avvik (personopplysningsbrudd)

Når persondata kan være kompromittert, følg denne flyten:

  1. Identifiser og innskrenk – steng hull, isoler systemer, sikre bevis.
  2. Vurder risiko for de berørte (type data, omfang, konsekvens).
  3. Meld til Datatilsynet uten ugrunnet opphold og senest innen 72 timer, med fakta, konsekvens og tiltak. Trinnvis melding er lov hvis alt ikke er klart.
  4. Varsle berørte personer uten ugrunnet opphold når risikoen er høy (enkelt språk om hva som skjedde og hva de kan gjøre).
  5. Dokumentér hele hendelsen og læringspunkter.

Enkel avvikslogg (mal)

OppdagetHva skjedde?Data/omfangRisikoTiltakMeldt Dtil?Varslet brukere?
2025-10-28Feil tilgang på vedlegg10 brukere, e-post, IPMiddelsStengt URL, rotert nøklerJaNei

DPIA – vurder personvernkonsekvenser (art. 35)

  • Obligatorisk ved høy risiko (f.eks. systematisk overvåking, profilering, særlig kategori data eller barn i stort omfang).
  • Beskriv formål, nødvendighet, risikoer og tiltak – og dokumentér konklusjonen.

DPO – personvernombud

Behøves normalt ikke for et lite forum med lav risiko, men vurder om virksomheten faller i en kategori som krever ombud (systematisk, regelmessig og omfattende overvåking, eller omfattende behandling av særlige kategorier).

Hurtigsjekkliste

  • Oppdatert personvernerklæring og cookie-banner med samtykke.
  • Protokoll (art. 30) og signerte databehandleravtaler (art. 28).
  • Rutiner for rettigheter (DSAR) og sletting/lagringstider.
  • Sikkerhetsgrunnmur: HTTPS, 2FA for admin, backup + restore-test.
  • Avviksprosedyre: 72-timersfrist, maler og kontaktpunkter klare.

Neste steg: Personvern · Sikkerhet · Backup · Feilsøking

Juridisk: phpBB™ er et varemerke som tilhører phpBB Limited. Denne siden er en uoffisiell fan-side og er ikke tilknyttet, sponset eller godkjent av phpBB Limited.