Project

General

Profile

Bug #3659

GDPR og persondataforordningen: Default kontaktformularen skal overholde GDPR (Sti: /contact)

Added by Rolf Madsen almost 2 years ago. Updated 1 day ago.

Status:
Needs code review
Priority:
High
Assignee:
Estimated time:
URL med eksempel:
Kategorier:
Driftsvedligehold - Oversættelser (udarbejdes før udrulning), Driftsvedligehold - Sikkerhedsopdateringer

Description

Problemstilling

Default kontaktformularen under /contact overholder ikke GDPR og Persondataforordningen.

Mål

Når brugerne kontakter biblioteket via default kontaktformularen under /contact så skal de vide hvordan deres persondata behandles.

Løsningsforslag

Indsæt et link til beskrivelse af hvordan biblioteket håndterer persondata i defaultkontaktformularen under /contact.

3659-contact-form-cookies.png (63.9 KB) 3659-contact-form-cookies.png Simon Holt, 04/27/2020 02:53 PM

Related issues

Related to DDB CMS - Bug #3532: SAMLESAG - GDPR og persondataforordning - GDPR analyse af DDB CMSTechnical test
Related to DDB CMS - Bug #4290: Kontaktformular /contact sender ikke brugernes mailadresse medReviewed
Related to DDB CMS - Bug #3594: GDPR og Persondataforordning: EU Cookie compliance - WebtrekkReviewed
Related to DDB CMS - Bug #4314: "Luk boks"-kryds på cookieboksenClosed
Related to DDB CMS - Bug #3585: GDPR og Persondataforordningen: Cookies i DDB CMS TESTETS SAMMEN MED 3594Reviewed - Needs info/rework
Related to DDB CMS - Bug #4687: Cookiepop-up vises ikke på DDB CMS 31. - INTET PR - TESTES MED #3585; AFVENTER DENNETechnical test
Related to DDB CMS - Bug #4745: Samtykke vedr. cookies på hjemmesideClosed

History

#2 Updated by Rolf Madsen over 1 year ago

  • Status changed from Needs prioritization to Ready for development
  • Assignee changed from Rolf Madsen to Christel Krabbenhøft

@Christel, vi skal have undersøgt:

  1. hvilke oplysninger der skal vises for brugerne af /contact formularen.
  2. om og hvordan oplysningerne kan tilføjes /contact formularen.

#3 Updated by Rolf Madsen over 1 year ago

  • Target version changed from Release 33 - Bugfixes to Release 32 - Ballerup projekter

#4 Updated by Rolf Madsen over 1 year ago

Svar fra juristen:

 

Spørgsmål 1

- hvilke oplysninger der skal vises for brugerne i GDPR sammenhæng?

Overordnet skal det kunne dokumenteres, at den data, der indhentes eller efterspørges i kontaktformularen, er nødvendig. Man skal kunne oplyse brugeren om, hvad indsamlede data bruges til, eksempelvis er e-mailadressen nødvendig for at kunne sende besvarelse eller kommentar til brugeren, telefonnummer benyttes til at kunne kontakte brugeren i særlige tilfælde – hvorfor det også er valgfrit om brugeren udfylder telefonnummer osv osv. Det er tilstrækkeligt, at det står beskrevet på underside om bibliotekernes behandling af persondata.

 

Spørgsmål 2

- hvordan føromtalte GDPR oplysninger kan tilføjes kontaktformularen.

Jeg har i den sammenhæng bemærket at mange kontaktformularer fra andre hjemmesider er efterfulgt af en samtykkeboks, eksempelvis Jeg erklærer ved afkrydsning, at have læst persondatapolitik vedrørende afgivelse af mit samtykke til den nævnte behandling af personoplysninger(Det understregede vil være et link, der fører til en underside med information herom. Ofte et link til bibliotekets persondataside, hvor det står specificeret, hvorfor der indsamles de forskellige informationer herunder navn, e-mail og telefonnummer). Brugeren skal således afkrydse for samtykke før de kan sende kontaktformularen afsted til biblioteket.

#5 Updated by Christel Krabbenhøft over 1 year ago

  • Assignee changed from Christel Krabbenhøft to Simon Holt

Hej Simon. Det er først til rel. 32, men vil du kigge på sagen ved lejlighed? //Christel

#6 Updated by Simon Holt over 1 year ago

Hej Christel. Det kan du tro, jeg kigger på den :)

#7 Updated by Simon Holt about 1 year ago

Indsæt et link til beskrivelse af hvordan biblioteket håndterer persondata i defaultkontaktformularen under /contact.

Jeg ville til at kigge på denne, men har muligvis misforstået løsningsforslaget i ovenstående.

Som jeg læser det, troede jeg vi havde en eller anden generel tekst om håndtering af persondata, som vi kunne linke til diverse steder f.eks. fra brugeroprettelse og kontaktformular. Havde kigget på arbejdet i #3590 og troede man havde lavet det der, men det ser ud til at være lavet specifikt til brugeroprettelses-flowet og bliver kun vist der (og er desuden flettet ind i gatewayf modulet).

Jeg bider også mærke i følgende fra svaret til Spørgsmål 1 fra juristen:

Det er tilstrækkeligt, at det står beskrevet på underside om bibliotekernes behandling af persondata.

Har vi sådan en siden et sted? Hvis det skal være en generel side, der skal refereres til fra flere steder, mener jeg ikke det er korrekt at have den flettet ind i gatewayf modulet og brugeroprettelses-flowet på den måde som det er nu.

Eller jeg kan også bare selv prøve at formulere noget til kontaktformularen? Ikke sikkert det bliver særligt godt ;)

#8 Updated by Simon Holt about 1 year ago

  • Status changed from Ready for development to Need more info
  • Assignee changed from Simon Holt to Rolf Madsen

#9 Updated by Rolf Madsen about 1 year ago

  • Assignee changed from Rolf Madsen to Simon Holt

@Simon, det har du da helt ret i ...

Når jeg graver tilbage finder jeg #3590 hvor teksten om om behandling af persondata i forbindelse med GDPR skulle placeres under https://upgrade-fbs.ddbcms.dk/gatewayf/registration/information

Det vil sige at teksten er indsat som en del af brugeroprettelse via Nem ID flowet, hvilket gør at det ikke som sådan er en side der er egnet til refernce fra andre sider.

#10 Updated by Rolf Madsen about 1 year ago

Har du en løsning på hvordan den samme tekst kan benyttes i begge sammenhænge?

#11 Updated by Rolf Madsen about 1 year ago

I øvrigt har vi også https://upgrade-fbs.ddbcms.dk/cookies, men det er ikke rigtig relevant i denne sammehæng.

#12 Updated by Simon Holt about 1 year ago

@Rolf jeg tænker vi kan lave det på samme måde som cookie siden. Så vi for eksempel har den under https://upgrade-fbs.ddbcms.dk/persondata

Skal jeg prøve at gå videre med det?

#13 Updated by Rolf Madsen about 1 year ago

@Simon, jeg har lige bedt Gitte give sit besyv med.

Jeg vil helst undgå at vi har den samme tekst liggende to steder.

#14 Updated by Rolf Madsen about 1 year ago

  • Related to Bug #3532: SAMLESAG - GDPR og persondataforordning - GDPR analyse af DDB CMS added

#15 Updated by Rolf Madsen 12 months ago

  • Related to Bug #4290: Kontaktformular /contact sender ikke brugernes mailadresse med added

#16 Updated by Tue Gaston 8 months ago

  • Target version changed from Release 32 - Ballerup projekter to Release 32 - Bugfixes

#17 Updated by Simon Holt 7 months ago

  • Assignee changed from Simon Holt to Rolf Madsen

@Rolf skulle vi have en side hvor vi samler oplysninger om behandling af persondata ligesom vores cookie side? Og hvordan forholder det sig med #3590 efter adgangsplatformen?

#18 Updated by Rolf Madsen 6 months ago

  • Related to Bug #3594: GDPR og Persondataforordning: EU Cookie compliance - Webtrekk added

#19 Updated by Rolf Madsen 6 months ago

  • Related to Bug #4314: "Luk boks"-kryds på cookieboksen added

#20 Updated by Rolf Madsen 6 months ago

  • Related to Bug #3585: GDPR og Persondataforordningen: Cookies i DDB CMS TESTETS SAMMEN MED 3594 added

#22 Updated by Stefan Søndervang 6 months ago

  • Target version changed from Release 32 - Bugfixes to Release 31-2 - Bug fixes (7.x-5.?.?)

#23 Updated by Rolf Madsen 4 months ago

  • Related to Bug #4687: Cookiepop-up vises ikke på DDB CMS 31. - INTET PR - TESTES MED #3585; AFVENTER DENNE added

#24 Updated by Rolf Madsen 3 months ago

  • Related to Bug #4745: Samtykke vedr. cookies på hjemmeside added

#25 Updated by Rolf Madsen about 2 months ago

  • Status changed from Need more info to Ready for development
  • Assignee changed from Rolf Madsen to Simon Holt
  • Priority changed from Urgent to High

#26 Updated by Simon Holt 30 days ago

  • Status changed from Ready for development to Need more info
  • Assignee changed from Simon Holt to Rolf Madsen

Har lavet et PR der indsætter en tekst om ikke at indsætte persondata eller pinkode i kontakformularen (foreslået af Rolf i mail). Se nedenstående screenshot.
Teksten indsættes uden oversættelse, så det ikke er muligt at fjerne/ændre den.

Fandt desuden også ud af, at contact modulet indstiller to cookies med hhv. det indtastede navn og mail efter indsendelse af formularen, hvis brugeren er anonym. Disse cookies indstilles til et helt år.

Formålet er at autoudfylde felterne for anonyme brugere, men det virker alligevel ikke, da de fornødne scripts til at håndtere dette ikke inkluderes.

Så vi har altså potentielt cookies liggende rundt omkring på enheder med indtastede navn og mail uden nogen nytte (se vedhæftede screenshots).

Jeg har derfor inkluderet i PR, at disse cookies fjernes i ding_contact, når formularen indsendes. Hvis der tidligere lå cookies på enheden, vil disse også blive fjernet.

PR: https://github.com/ding2/ding2/pull/1613

Tilbage er spørgsmålet om vi skal linke (eller gøre det muligt at linke) til en side med info om privatlispolitik eller om dette er tilstrækkeligt? Se spørgsmål i #note-15 i denne sag. Jeg sætter derfor sagen til Rolf og "Needs more info" indtil videre.

#28 Updated by Rolf Madsen 29 days ago

Udfordringen er at bibliotekerne selv skal oprette en side omkring behandling af persondata, så der er ikke én relativ URL vi kan referere til.

Jeg vil alligevel foreslå at vi indsætter teksten med et link, hvor bibliotekerne så selv må ændre linket via oversættelsesfunktionen eller tilpasse stien til deres persondata side.

Forslag til teksten:

BEMÆRK: Indsæt ALDRIG persondata (fx CPR-nr. eller PIN-kode) i formularen.

Læs hvordan dine persondata behandles i bibliotekets persondata politik.

HTML:

<p><strong>BEMÆRK</strong>: Indsæt ALDRIG persondata (fx CPR-nr. eller PIN-kode) i formularen.</p>
<p>Læs hvordan dine persondata behandles i <a href="/persondata">bibliotekets persondata politik</a>.</p>

#29 Updated by Rolf Madsen 29 days ago

  • Status changed from Need more info to Ready for development
  • Assignee changed from Rolf Madsen to Simon Holt

#30 Updated by Simon Holt 29 days ago

  • Status changed from Ready for development to Needs code review
  • Assignee changed from Simon Holt to Gitte Barlach

PR er opdateret med Rolfs forslag: https://github.com/ding2/ding2/pull/1613. Det er nu muligt at oversætte teksten for at redigere link.

Det kunne dog være rart på en eller anden måde at få samlet alt det information vi har de forskellige steder til en samlet side om privatlivspolitik, som bibliokerne selv kunne redigere i og som havde en fast uri vi kunne referere til. Lige nu har vi en der vises ved brugeroprettelse (kan redigeres under /admin/config/ding/adgangsplatformen/registration), en cookieside (kan redigeres som almindelig indhold. har fast /cookies uri), og så den side biblioket selv opretter og som skal referere til her ved kontaktformularen og andre steder. På vejlebib.dk har tre sider, hvor der står meget de samme ting :)

Men det kan ikke altid blive helt perfekt. Lad os komme i mål med denne opgave :)

#31 Updated by Gitte Barlach 29 days ago

  • Assignee changed from Gitte Barlach to Jørgen Nielsen

#32 Updated by Jørgen Nielsen 22 days ago

  • Status changed from Needs code review to Reviewed - Needs info/rework
  • Assignee changed from Jørgen Nielsen to Simon Holt

@Simon: der er et par Scrutinizer fejl - retter du lige dem?

#33 Updated by Simon Holt 22 days ago

  • Assignee changed from Simon Holt to Jørgen Nielsen

@Jørgen Har opdateret PR. Se lige min kommentar på github angående det resterende issue på scrutinizer.

#34 Updated by Christel Krabbenhøft 20 days ago

  • Status changed from Reviewed - Needs info/rework to Needs code review

#35 Updated by Jørgen Nielsen 7 days ago

  • Status changed from Needs code review to Reviewed - Needs info/rework
  • Assignee changed from Jørgen Nielsen to Simon Holt

Koden ser fin ud.
Men: Behat Test fejler. Det er næppe relateret til dét her PR, men jeg så gerne, at de blev fikset før PR bliver godkendt.

 

#36 Updated by Simon Holt 7 days ago

  • Status changed from Reviewed - Needs info/rework to Needs code review
  • Assignee changed from Simon Holt to Gitte Barlach

Behat test fejl: #4826

Opdaterede også PR til at bruge som streng som i #4743.

#37 Updated by Palle Fast Christensen 5 days ago

Rolf Madsen skrev:

<p>Læs hvordan dine persondata behandles i <a href="/persondata">bibliotekets persondata politik</a>.</p>

Kan vi få rettet persondata politik til persondatapolitik

:-)

#38 Updated by Rolf Madsen 2 days ago

  • Kategorier Driftsvedligehold - Oversættelser (udarbejdes før udrulning) added

@Palle, godt spottet!

Jeg fanger den når teksten skal oversættes!

#39 Updated by Simon Holt 2 days ago

@Rolf jeg har faktisk allerede inkluderet standard oversættelser i PR'et som en lille ekstra service :)

Men hvis det ikke er til hjælp og det er nemmere at håndtere det samlet, kan jeg godt fjerne det igen?

#40 Updated by Rolf Madsen 1 day ago

@Simon, det lyder smukt!

Har du et link til det, hvor jeg kan tage et kig?

#41 Updated by Simon Holt 1 day ago

Kommer her: https://github.com/ding2/ding2/pull/1626/commits/d227208be77d1cb640dedb97f93ccb2e6d238e58

Lige en rettelse: det var i det andet PR i #4743, at jeg havde tilføjet oversættelserne, da den samme tekststreng også anvendes der.

#42 Updated by Rolf Madsen 1 day ago

Tak for det!

Kan jeg lokke dig til at lave rettelsen i min oversættelse:

  1. Fra: "bibliotekets persondata politik"
  2. Til "bibliotekets persondatapolitik"

På forhånd tak! :-)

Also available in: Atom PDF