Konec prejšnjega tedna, če sem natančen, v petek 25. 5. 2018 je stopil v veljavo GDPR. Čez vikend sem se odločil, da se izpišem iz določenih spletnih strani oz. servisov, ki jih ne uporabljam več ter da ukinem e-poštne naslove, ki niso več aktualni.

Če ob logiranju v administracijo ni bilo možnosti, da bi pobrisal uporabniške podatke oz. uporabniški profil sem pisal na podporo in jih prosil za izbris. Še posebej Američani so mi hitro ustregli in zadeve so bile dokaj hitro urejene.

A priznati moram, da je včasih, ko iščeš tisti gumb za »deleted« prav mučno, ker je pogosto nekje »skrit« ali pa ga sploh ni. V tem primeru je vaša edina možnost ta, da pišete na podporo. Na nekaj »izbrisov« še čakam, saj mi še niso vsi odpisali ter mi sporočili kako to urediti.

Sicer ima GDPR tudi »čudne zadeve« o čemer sem pisal že tukaj in tukaj, a priznati moram, da prinaša tudi nekaj dobrega – kot uporabniki imamo možnost, da se naši zasebni podatki zbrišejo ali pa vsaj anomizirajo, v kolikor izbris iz pravnih razlogov ni možen.

Danes bom izpostavil še posebej pereč problem, ki se tiče spletne varnosti in tudi zasebnosti na splošno, ko govorimo o internetu. In kateri je to? Posodobitve. Mnogi lastniki spletnih strani si kar sami postavijo spletno stran, spet drugi pa koga najamejo in jim potem profesionalec postavi stran.

Žal pa … Opažam eno zadevo, ki je med lastniki spletih strani kar precej razširjena. Potem, ko jo postavijo nanjo dobesedno pozabijo, ker si mislijo, da je to to, da zanjo ni več potrebno skrbeti, da je ni potrebno posodabljati, ne vsebinsko, ne varnostno.

Včeraj sem tako naletel v svojem inboxu na mail z registracijo na neko spletno stran. Le-ta spletna stran je pred časom ponujala določene brezplačne vsebine s področja osebnostne rasti. Ne bom omenjal za koga gre, lahko povem le to, da je bilo po mojem skromnem mnenju nanjo vpisanih zagotovo vsaj 5.000 ljudi ali celo 10.000 ljudi. Skratka, ni šlo za neki majhen spletni projekt in za slovenske razmere je baza 10.000 ljudi že kar sorazmerno velika.

Preden sem jim poslal prošnjo za izbris profila me je »matral firbec« in sem si rekel – dajmo se logirati, da vidimo ali so morda vsebine še gor. In ko se logiram (šlo je za spletno stran izdelano na WordPressu) nisem mogel verjeti temu, kar sem videl.

Različica WordPressa, ki je v skladu z GDPR je 4.9.6 in je izšla 17. 5. 2018, se pravi le nekaj dni pred uradno uvedbo GDPR-ja. Katero različico WordPressa pa je imela spletna stran na katero sem se logiral? Reci in piši 4.4.1 in slednja je izšla 6. 1. 2016! Skratka, več kot dve leti so bili uporabniški podatki (geslo, e-poštni naslov) nekaj tisoč Slovencev in Slovenk dobesedno »na prepihu«. 🙁

Moj razlog za izbris je bil prvenstveno ta, da niso skrbeli za varnost spletne strani in so jo več kot dve leti pustili sami sebi. Predvidevam, da tudi tema in vtičniki niso bili posodobljeni. Imel sem že priložnost prevzeti spletne projekte od drugih izdelovalcev spletnih strani. Priznam, da sem se pogosto samo »križal«, ker jim je za osnovno varnost »dol viselo« – neposodobljen WordPress, neposodobljeni vtičniki, neposodobljena tema, da ne govorim da so še mnoge spletne strani na PHP-ju 5.4 ali 5.5 namesto na vsaj 7.0. Mislim, da komentar ni potreben.

Drage bralke in dragi bralci bloga! Če že imate svojo spletno stran, ne pustite je, ne zanemarite je in jo redno posodabljajte. V primeru, da nimate kakšnih posebnih podatkov na spletni strani in registriranih nekaj tisoč uporabnikov – v kolikor bo šlo karkoli narobe škoda (če seveda redno izvajate back-up) ne bo prevelika. Toda … Če imate mnogo registriranih uporabnikov in neposodobljene zadeve, v tem primeru se igrate, ne samo s svojo spletno stranjo, temveč tudi s podatki nekaj tisoč ljudi.

Toliko za danes, naslednjič pa sledi še drugi del, ki bo tudi marsikomu dal misliti o varnosti na internetu in o zasebnosti.