Service professionnel

האם האתר שלך תואם ל-DPA? כנראה שלא.

90% מהאתרים השוויצרים אינם עומדים ב-LPD החדש. קובצי Cookie ללא הסכמה, טפסים לא מאובטחים, Google Analytics ללא בסיס משפטי. הנה מה לתקן ואיך.

30 min gratuites Écrivez-moi

ההתבוננות המטרידה

אני מבקר באופן קבוע אתרי אינטרנט עבור PME שוויצריות, וההתבוננות כמעט תמיד זהה: רוב האתרים אינם עומדים ב-LPD החדש.

ברוב המקרים, זו רק בורות. המפתח או הסוכנות שבנתה את האתר לא חשבו על הגנת מידע. לבוס אין מושג מה החוק מחייב. ואז “זה תמיד עבד ככה.”

הבעיה היא שמאז 1 בספטמבר 2023, חוק הגנת הנתונים הפדרלי החדש (nLPD) בתוקף. הקנסות מגיעים ל-250,000 CHF, והם מכוונים לאנשים האחראים, לא לחברה. במילים אחרות, המנהל הוא זה שמשלם.

7 ההפרות הנפוצות ביותר

1. Google Analytics ללא בסיס משפטי

הבעיה: רוב האתרים השוויצרים פועלים תחת Google Analytics. Google אוספת נתוני מבקרים, מעבירה אותם לארצות הברית ועשויה להשתמש בהם לצורך פרסום משלה.

מה החוק אומר: העברה למדינה ללא הגנה מספקת (ארה"ב, מאז פסיקת Schrems II) מחייבת ערבויות נוספות, כגון סעיפים חוזיים סטנדרטיים או הסכמה מפורשת.

מה שרוב האתרים עושים: כלום. Google Analytics מותקן, הוא פועל, אף אחד לא שואל את דעת המבקרים.

הפתרון:

  • השתמש ב-GA4 עם אנונימיזציה של IP מופעלת
  • השג הסכמה מפורשת לפני טעינת הסקריפט. הבאנר הישן “על ידי המשך גלישה, אתה מקבל…” כבר לא מספיק.
  • תסתכל על חלופות אירופאיות כמו Matomo (אירוח עצמי) או Plausible (EU)

2. עוגיות הוצבו לפני ההסכמה

הבעיה: אתה מגיע לאתר, הבאנר של העוגיות מוצג, אבל העוגיות כבר מותקנים. הסכמה היא רק חזית.

מה החוק אומר: בשוויץ, ה-LPD דורש שקיפות. RGPD דורש הסכמה מוקדמת לקובצי Cookie לא חיוניים ברגע שיש לך מבקרים אירופאים. אין להציב עוגיות מעקב או שיווק לפני לחיצה על “קבל”.

מה שרוב האתרים עושים: הם טוענים את Google Analytics, Facebook Pixel, HubSpot וכחמישה עשר עוקבים נוספים ברגע שהדף נפתח. סרט הראש הוא דקורטיבי בלבד.

הפתרון:

  • יישם ניהול הסכמה אמיתי: לא נטען סקריפט לא חיוני לפני הקליק
  • סיווג קובצי Cookie (הכרחי, אנליטי, שיווקי)
  • הפוך את הסירוב לפשוט כמו קבלה, ללא דפוסים אפלים
  • באתר שלי, אני משתמש במערכת שחוסמת את GA4 עד שהמבקר מקבל. בעיניי זו הגישה הנכונה היחידה.

3. טפסי יצירת קשר ללא מידע

הבעיה: טופס יצירת קשר שאוסף שם, אימייל, טלפון והודעה, מבלי לומר מה אתה עושה עם הנתונים האלה.

מה החוק אומר: כל איסוף חייב להיות מלווה במידע ברור. מי אוסף, למה, לכמה זמן, למי מועברים הנתונים.

מה שרוב האתרים עושים: טופס, כפתור “שלח”, וזהו.

הפתרון:

  • הוסף קישור למדיניות הפרטיות בטופס
  • ציין משהו כמו “הנתונים שלך משמשים רק כדי להגיב לבקשתך ונשמרים למשך X חודשים”
  • אם הנתונים עוברים לצד שלישי (FormSubmit, Mailchimp…), אמור זאת
  • הוסף תיבת סימון שאינה מסומנת מראש לקבלת הסכמה, בעת הצורך

4. מדיניות פרטיות חסרה או הודבקה בהעתקה

הבעיה: או שאין מדיניות פרטיות כלל, או שמדובר בטקסט גנרי שהועתק מהאינטרנט שאין לו שום קשר למציאות של האתר.

מה החוק אומר: המדיניות חייבת להיות ספציפית לאתר שלך. הוא מתאר את הכלים שבהם אתה משתמש בפועל, את הנתונים שאתה אוסף וכיצד אתה מעבד אותם.

השגיאות שאני רואה לרוב:

  • ציין כלים שאתה לא משתמש בהם, או שכח את אלה שאתה כן משתמש בהם
  • שמרו על שתיקה לגבי העברות נתונים מחוץ לשוויץ
  • אין לציין את פרטי ההתקשרות של מבקר הנתונים
  • טקסט בצרפתית בלבד, למרות שהאתר רב לשוני

הפתרון:

  • כתוב פוליסה מותאמת אישית שמתאימה למצבך האמיתי
  • עדכן אותו ברגע שאתה מוסיף כלי (תוסף חדש, אינטגרציה חדשה)
  • הפוך אותו לנגיש מכל עמוד, באמצעות קישור כותרת תחתונה

5. אין אישור HTTPS או SSL שפג תוקפו

הבעיה: בשנת 2026 זה נראה ברור. עם זאת, אני עדיין נתקל באתרי PME ב-HTTP, או עם תעודת SSL שפג תוקפו לפני חודשים.

מה זה מרמז:

  • הנתונים מטופס יצירת הקשר מסתובבים לא מוצפנים ברשת
  • כל מי שנמצא באותו WiFi יכול ליירט אותם
  • Google מעניש את האתר בתוצאות החיפוש
  • הדפדפן מציג אזהרת “לא מאובטח” שמפחידה מבקרים

הפתרון:

  • התקן אישור SSL (Let’s Encrypt בחינם)
  • הגדר ניתוב HTTP ל-HTTPS
  • בדקו שהתעודה מחדשת את עצמה
  • הוסף כותרת HSTS כדי לאלץ את HTTPS

6. חסרות כותרות אבטחה

הבעיה: אפילו עם HTTPS, אם כותרות האבטחה של HTTP אינן מוגדרות, האתר נשאר פגיע.

כותרות חשובות:

  • ‘מדיניות אבטחת תוכן’ (CSP) חוסמת טעינת סקריפטים זדוניים (הגנה על XSS)
  • X-Frame-Options מונע מהאתר שלך להשתלב ב-iframe מזויף (clickjacking)
  • X-Content-Type-Options מונע מהדפדפן לפרש קובץ בצורה שונה מהצפוי
  • Strict-Transport-Security (HSTS) כופה על HTTPS, ללא חזרה אפשרית ל-HTTP
  • Referrer-Policy שולט במידע שנשלח בעת לחיצה לאתר אחר
  • ‘מדיניות-הרשאות’ שולטת בגישה לAPI של הדפדפן (מצלמה, מיקרופון, מיקום גיאוגרפי)

מה עושים רוב האתרים: אף אחת מהכותרות הללו אינה מוגדרת.

הפתרון: הגדירו אותם בשרת האינטרנט (Apache, Nginx, CloudPanel). אפשר בערך שלושים דקות, ורמת האבטחה של האתר משתנה לחלוטין.

7. נתוני הזמנה/טופס מאוחסנים ללא הצפנה

הבעיה: נתונים שנשלחים באמצעות טופס מאוחסנים במסד הנתונים בטקסט ברור. במקרה של פריצה, הכל ניתן לקריאה בבת אחת.

מה החוק אומר: ה-DPA דורש אמצעים טכניים מתאימים כדי להגן על נתונים אישיים. אחסון נקי אינו מתאים.

הפתרון:

  • הצפין נתונים רגישים בבסיס
  • Hash סיסמאות עם bcrypt או Argon2, לעולם לא אחסן אותן בטקסט רגיל
  • הגבלת גישה למסד הנתונים (עקרון ההרשאות הקטנות ביותר)
  • מחק נתונים ברגע שאין בהם עוד צורך

כיצד לאמת את האתר שלך תוך 10 דקות

ניתן לבצע אבחון ראשוני בעצמכם, ללא כלים מיוחדים.

מבחן 1: HTTPS

כתובת האתר שלך מתחילה ב-‘https://’ והמנעול מוצג בדפדפן? אם לא, זה בראש סדר העדיפויות.

מבחן 2: עוגיות

פתח את האתר שלך בגלישה פרטית. לפני לחיצה במקום כלשהו, ​​פתח את DevTools (F12) ולאחר מכן יישום ולאחר מכן קובצי Cookie. האם עוגיות כבר ממוקמות? אם הם לא נחוצים בהחלט, זו הפרה.

מבחן 3: טופס

האם טופס יצירת הקשר שלך אומר בבירור מה קורה לנתונים? האם יש קישור למדיניות הפרטיות שלך?

מבחן 4: מדיניות פרטיות

יש לך אחד? והאם הוא מזכיר בשם Google אנליטיקס, טפסים, קובצי Cookie והעברות אפשריות מחוץ לשוויץ?

מבחן 5: כותרות אבטחה

עבור אל securityheaders.com והזן את כתובת האתר שלך. מתחת לב’ יש עבודה.

למה סוכנויות אינטרנט לא עושות את זה

אני הולך להיות ישיר: רוב סוכנויות האינטרנט בשוויץ לא בודקות את תאימות ה-LPD של האתרים שהן מספקות. בשביל מה?

  1. זה לא התפקיד שלהם. הם עושים עיצוב, פיתוח, SEO. ציות לחוק הוא עולם אחר.
  2. זה לוקח זמן. הגדרה נכונה של קובצי Cookie, כותרות ומדיניות הפרטיות אינה מתאימה להצעת מחיר של 5,000 CHF.
  3. הלקוח לא מבקש את זה. אם הוא לא יודע שצריך, אף אחד לא מעלה את הנושא.
  4. CMS מאפשרים שיטות עבודה רעות. קח את וורדפרס עם חמישה עשר תוספים שכל אחד ממקם את העוגיות שלו בפינה שלו, ללא כל תיאום.

זו לא האשמה, רק התבוננות. ובדיוק בגלל זה יש ערך למקצוען שמבין טכניקה כמו משפטים.

מה עומד על כף המאזניים

תאימות ל-LPD אינה מותרות. זו חובה משפטית, וגם שאלה של אתיקה.

המבקרים שלך אומרים לך את שמם, הדוא"ל שלהם, השאלות שלהם. זה לא כלום. כל נתון שנאסף הוא אמון שניתן בך, ואין די באנר דקורטיבי של עוגיות כדי לכבד אותו. דרושים אמצעים טכניים אמיתיים.

באתר שלי, כך מטפלים בזה:

  • הסכמה אמיתית לקובצי Cookie, עם GA4 חסום עד ללחיצה
  • כותרות אבטחה מוגדרות
  • HTTPS בכל מקום, עם HSTS
  • מדיניות פרטיות מותאמת אישית
  • אין נתונים שנשלחים לצדדים שלישיים ללא סיבה

זו לא פרנויה, זה רק המינימום שכל אתר בשוויץ צריך לעשות.

מקורות ומשאבים

  • הקונפדרציה השוויצרית, חוק הגנת מידע חדש (nLPD), 1 בספטמבר 2023
  • PFPDT, מדריך מעשי לעסקים, 2024
  • CJEU, פסק דין Schrems II (C-311/18), יולי 2020
  • OWASP, 10 פגיעויות האינטרנט המובילות, 2021
  • Mozilla, Observatory (Security Headers)
  • SecurityHeaders.com, כלי לבדיקת כותרות HTTP

האם האתר שלך תואם? הזמן ביקורת חינם: אני בודק את האתר שלך לגבי תאימות ל-LPD, אבטחה טכנית וביצועים תוך 30 דקות.

Mes autres services

D'autres services qui pourraient vous intéresser

Automatisation de tâches répétitives

Lecture de PDFs, envoi d'emails en masse, exports planifiés. Avec Power Automate ou n8n.

30 min gratuites

Dashboards & analyses

Tableaux de bord Power BI, suivi des KPIs, exports comptables automatiques.

30 min gratuites

Gestion des données

Bases Access ou SQL, nettoyage de fichiers Excel, interfaces de saisie structurées.

30 min gratuites

IA & Chatbots

Chatbots entraînés sur vos propres données, web scraping, assistants sur mesure en Python.

30 min gratuites