Med mindre du er Tibetansk munk eller til daglig bor et sted uden WiFi forbindelse og 4G, så må du næste have bemærket hvad der minder om en syndflod af mails omkring de 4 bogstaver som er på alles læber.
GDPR, General Data Protection Regulation eller Persondataforordningen, som den hedder på Dansk, trådte i kraft i fredags d. 25. maj 2018 og op til den virkede det for en kort stund som om Ragnarok ramte Internettet.
Og med dette følger en masse ansvar for virksomheder ifht. persondata og håndteringen af disse. Ret beset så betyder GDPR ikke den store forskel.
Vent! Hvad mener du med det ikke betyder den store forskel, Yan?!
Lidt forenklet er det jeg mener, at godt nok er der kommet nogle nye tiltag til, men forskellen er ikke så stor.
Virksomheder har hele tiden skullet håndtere persondata forsvarligt. Det er der ikke noget nyt i. Der er egentlig heller ikke det store nye i, at du som virksomhedsejer har skulle have styr på dine data, hvor de gemmes, osv.
Det som er nyt er, at dine brugere og kunder nu har ret til, at få udleveret deres data, få slettet data og de har også ret til, at få rettet i data.
Nå ja.. og så det med bøder. Altså, at virksomheder nu kan få bøder for, at håndtere persondata uforsvarligt og samle til hobe.
Det har betydet der pludselig kom meget håndgribelige konsekvenser og det skal jeg da lige love for at har fået alle op af stolene. Money talks og alt det der.
Målet med dette indlæg
Hvis du har en virksomhed så har du en masse data omkring dine brugere, kunder, klienter eller hvad du nu kalder dem i daglig tale. GDPR gælder hele din virksomhed – Mit mål er at give dig en konkret tilgang til at få styr din hjemmeside eller webshop.
Jeg kan ikke fortælle dig hvordan din virksomhed helt konkret skal håndtere GDPR, for det er forskelligt fra virksomhed til virksomhed. Det jeg vil give dig er konkrete råd til, at få styr på hjemmesiden.
OK! Det lyder super, Yan. Hvilket plugin skal jeg installere?
Det er her jeg må starte med, at skuffe dig. For det er desværre ikke så enkelt som at installere et plugin. Jeg ville ønske det var det, for nøj hvor kunne der spares mange administrative timer som i stedet kunne brugs på at servicere deres kunder og putte et smil på deres læber.
Overblikket
Før vi dykker videre ned i emnet, så kan det du skal gøre ifht. din hjemmeside koges ned til, at kortlægge følgende
- Hvad der indsamler data og hvilke data der indsamles
- Hvordan datene opsamles
- Hvordan og hvor dataene opbevares
- Hvor længe dataene opbevares
- Hvad dataene bruges til
- Hvem dataene evt. deles med
- Hvordan brugerne får mulighed for at rette/slette deres data
- Hvordan brugerne kan få deres data udleveret
Hvad er persondata
Før det giver mening snakke om hvad du skal gøre, så skal vi have defineret hvad persondata faktisk er, på den måde ved du hvad du skal lede efter – og hvornår alarmklokkerne bør ringe.
Persondata eller personoplysninger som det også kunne kaldes, er enhver form for data som kan henføres til et individ.
Og hvad betyder det så lige på Dansk?
Det betyder at hvis du kan knytte et stykke information til en person – også selvom det er usandligt, faktisk bare det er teoretisk muligt, så er det persondata. Det kunne f.eks. være en mail adresse – også selvom den er anabelate42jegerninja@gmail.com.
For mail adressen ville kunne Googles og der kunne være nogen, som havde gemt en mail fra Anabelate, med hendes fulde navn eller lignende i – og nu har vi pludselig noget der kan knyttes videre.
Det betyder at selv kommentarer på et website, kan være persondata. For selv hvis brugerne kan kommentere anonymt, så ligger der muligvis en IP adresse et sted i systemet. Den kunne potentielt ledes til et individ og pludselig er det også persondata.
Almindelig persondata og følsom persondata
Du kan sikkert allerede se nu, at næsten hvad som helst kunne være persondata. Tag en dyb indånding og læs med, det er ikke så slemt som det måske kan lyde. Der er råd at hente.
Det er væsenligt at skelne mellem det vi kalder “almindelig persondata” og “følsom persondata”.
Jeg har lavet følgende grafik som forklarer det lidt tydeligere (bemærk dog at dette ikke er fuldstændig liste, det er bare eksempler der skal få dig til at tænke)
Almindelige persondata er f.eks. (men ikke begrænset til):
- Navn og efternavn
- Privatadresse
- Telefonnummer
- E-mailadresse
- Pasnummer
- Oplysninger om økonomiske forhold
- Fødselsdato
- IP-adresse
- Cookie ID
- Ansøgning, CV, ansættelsesdato, stilling, arbejdsområde
- Kundeforhold eller andre lignende ikke-følsomme oplysninger.
Følsomme persondata er f.eks. (men ikke begrænset til):
- Oplysninger om race eller etnicitet
- Politiske, religiøse eller filosofiske overbevisninger
- Fagforeningsmæssigt tilhørsforhold
- Genetiske og/eller biometriske data med der entydigt kan identificere et individ
- Helbredsoplysninger
- Oplysninger seksuelle forhold og/eller seksuell orientering
For følsomme persondata gælder det, at de kun må indsamles og anvendes hvis du har fået specifikt samtykke eller det er tilladt ifht. lovgivningen.
For behandling af CPR-numre og gælder det at de enkelte lande selv kan fastsætte reglerne. I Danmark gælder det, at du bør anvende en krypteret forbindelse til at indsamle CPR-numre og du må ikke sender dem videre i f.eks. en e-mail – Som f.eks. i et autosvar til en person.
Opbevaring af CPR-numre behøver ikke at være krypteret, men det er anbefalelsesværdigt at gøre dette hvor det er muligt.
Hvad det vil sige at behandle data
Det at behandle data omfatter alle former for håndtering af persondata. Det betyder at hvis du indsamler, registrerer, organiserer, systematiserer, opbevarer, anvender dem til søgninger eller statistiske formål, så behandler du persondata.
Eller helt enkelt sagt. Du behandler altid persondata hvis du har en virksomhed, det er bare et spørgsmål om hvilke persondata og hvordan.
Det betyder at du skal forholde dig til nogle grundlæggende ting omkring disse persondata.
Gennemsigtighed, lovlighed og rimelighed
Sørg for at informere omkring hvem I er, hvorfor du indsamler data og i hvor lang tid du opbevarer dem, samt hvem du evt. deler dataene med.
Formål
Du skal kunne argumentere for hvorfor du indsamler de data du gør på en saglig og tydelig måde. Det er f.eks. ikke en gyldig årsag, at du på et senere tidspunkt kunne måske kunne anvende de indsamlede data til statistik. Formålet skal være klart og specifikt fra start af.
Begrænsning
Du skal begrænse de data du indsamler til det nødvendige.
Et meget konkret eksempel på dette, kunne være ved opskrivning til nyhedsbreve hvor det ikke strengt taget er nødvendigt at bede om personens fornavn og efternavn.
Det kunne argumenteres at fornavnet skal anvendes til personalisering af markedsføring (Husk at det så skal fremgå af formålet). Det kunne dog også argumenteres at det ikke er nødvendigt at bede om, hvis du ikke nogensinde laver personaliseret markedsføring.
Rigtighed
De data du opsamler skal være korrekte og ajourførte. Dette kunne f.eks. være adresse oplysninger på kunder i din webshop.
I tilfælde af oplysningerne er ukorrekte, skal de rettes eller slettes.
Opbevaringstid
Du skal som udgangspunkt slette de oplysninger du ikke længere har behov for ifht. formålet. Således hvis du har indsamlet e-mail adresser hvor du angav at formålet var markedsføring ifht. et kommende kursus, bør du slette disse efter kurset er afholdt.
Ønsker du f.eks. fremadrettet at beholde disse, så bør du give modtagerne besked herom og anmode om deres samtykke til, at du anvender deres e-mail i anden sammenhæng.
Fortrolighed
De data du indsamler skal beskyttes mod uautoriseret og ulovlig behandling, dette kunne være at sikre dem mod hackere så vidt muligt. Det kunne også være et spørgsmål om, at medarbejdere i udviklingsafdelingen ikke nødvendigvis har behov for, at tilgå de samme som dem i markedsføringsafdelingen.
Rettigheder omkring persondata
Ud over du skal være eksplicit omkring hvad du opsamler og hvad du anvender dataene til, så har dem du opsamler persondata omkring, en række rettigheder.
De væsenligste rettigheder er følgende:
- Oplysningspligt: Retten til at modtage oplysning om en behandling af sine personoplysninger. Dette er f.eks. hvis du videregiver oplysningerne til andre.
- Indsigtsret: Retten til at få indsigt i sine personoplysninger.
- Ret til berigtigelse: Retten til at få ukorrekte personoplysninger berigtiget.
- Ret til at blive glemt: Retten til at få sine personoplysninger slettet.
- Markedsføring: Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring.
- Automatiske afgørelser: Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering.
- Dataportabilitet: Retten til at få udleveret sine personoplysninger i et maskinlæsbart format.
Og lad os så komme i gang..
Hvis ikke jeg har været tydelig nok omkring det, så kommer det helt eksplicit her. Det følgende er ikke en skudsikker metode til at blive GDPR-skudsikker. Det er en løbende process og det følgende kan bruges som et kompas for din hjemmeside.
Der kan være forhold som gør, at du skal forholde dig anderledes end andre virksomheder. Det er derfor en god idé, når du har overblikket, at konsultere en jurist, advokat eller anden specialist for at sikre du gør det korrekte.
Jeg foreslår at du starter med at danne dig et overblik, fordi før nogen specialist kan hjælpe, skal du have et overblik at tale ud fra.
Skridt 1: Hvad der indsamler data og hvilke data
Alt efter hvor kompleks din hjemmeside eller webshop er, kan de være mange dele der opsamler persondata. For WordPress gælder det at der er 4 kategorier du skal gennemgå.
WordPress
WordPress i sig selv har mulighed for, at opsamle persondata via de indbyggede brugerprofiler. WordPress kan også opsamle persondata via kommentarsystemet, hvis du har slået det til – Det er det som standard.
Tema
De fleste temaer opsamler ikke persondata, men det er muligt, at temaet måske udvider WordPress’ funktionalitet og dermed giver mulighed for, at indsamle persondata. Det kunne f.eks. være i tilfælde af temaer som har indbygget forum funktionalitet eller lignende.
Plugins
Denne kategori er for de fleste den største om mest omfattende. Jeg foreslår at du starter med, at gå ind i “Plugins” i WordPress administrationen.
Her laver du en liste med navnene på alle de plugins du har installeret og så gennemgår du dem for hvad de anvendes til, for det vil som oftest afsløre hvad de indsamler af data.
Eksterne services
Den sidste kategori du skal gennemgå er de eksterne services du anvender. Det kunne f.eks. være nyhedsbrev systemer som MailChimp, Google Analytics eller adfærdsanalyseværktøjer som HotJar.
Lav en liste over dem du anvender og skriv derefter ned, hvad de opsamler af data.
Skridt 2: Hvordan data opsamles
Nu da du har en liste over de data du opsamler og hvad der opsamler dataene, kan du danne et overblik over hvordan de opsamles.
Hvis du f.eks. har en nyhedsbrevtilmelding, vil det være en manuel indtastning som medfører at brugerens e-mail registreres.
I tilfælde af Google Analytics er opsamlingen automatisk og det er brugerens besøg på hjemmesiden som medfører at der indsamles data om personen.
Skridt 3: Hvordan og hvor dataene opbevares
Med listen over de data du indsamler og hvordan de indsamles er det næste skridt, at du danner dig et overblik over hvordan og hvor dataene opbevares.
I tilfælde af WordPress brugerprofil data vil dataene være gemt i en database, med andre ord gemmes de på en server hos en hosting udbyder. Derfor er det relevant, at du finder ud af hvor denne hosting udbyder er henne i verden.
Er hosting udbyderen f.eks. i Danmark, EU/EØS landene eller i et land som har aftale som f.eks. USA med EU/US Privacy Shield Agreement.
Anvender du MailChimp så vil dataene være gemt hos MailChimp og det er dermed væsenligt, at du indhenter en Databehandler aftale fra dem, så du kan dokumentere hvad de gør med dataene (MailChimp har f.eks. en EU/US Privacy Shield Agreement aftale).
Skridt 4: Hvor længe dataene opbevares
Nu da du ved hvordan du opsamler persondata og hvor de opbevares henne er det næste skridt, at finde ud af hvor lang tid, at dataene de opbevares.
Persondataforordningen foreskriver at du må opbevare persondata så længe de er relevante ifht. formålet. Det betyder i praksis, at du ikke bare kan nøjes med, at gemme data “for evigt”.
Som udgangspunkt vil det være god skik, at gemme persondata så længe brugeren er “aktiv”, det kunne være i tilfælde af en webshop hvor du med rette kunne gemme brugerens data hvis de har købt noget inden for 12 måneder.
Er en profil ikke “aktiv” inden for f.eks. 12 måneder kunne du med rette konkludere at det ikke længere er relevant, at opbevare disse data og derfor slette eller anonymisere dataene.
Hvornår du sletter eller anonymiserer dataene er afhængigt af konteksten, for det kunne være relevant at gemme dataene længere hvis f.eks. vi taler en online læringsplatform (e-learning) hvor brugerne formentlig ville blive utilfredse hvis de havde købt adgang og så blev slettet.
Du skal derfor tage stilling til hvornår dataene ikke længere kan siges, at være relevant.
Skridt 5: Hvad bruges persondataene til
For at opbevare og behandle persondata er det centrale ord “formål”. Med GDPR er vi gået fra en verden hvor vi næsten kunne opsamle hvad som helst og opbevare det i cirka 117 år.
Det må du ikke længere.
Du skal kunne dokumentere et lovligt og rimeligt grundlag for hvorfor du opsamler de persondata du gør. Det betyder du skal tage udgangspunkt i hvordan du kan opsamle færrest mulige persondata for at opfylde formålet.
Et eksempel på dette kunne være kontaktformularer. Formålet er, at kunden kan tage kontakt til dig og du skal svare på henvendelse. I den forbindelse kunne det siges at være rimeligt at bede om følgende:
- Kundens E-mail
- En fritekst besked fra kunden (denne kan nemlig betragtes som persondata alt efter hvad der skrives i feltet)
“Jamen hvad med telefonnummeret?”
Hvis du påtænker at kontakte kunden via telefon, så er det formålsmæssigt at bede om det. Svarer du dog primært på henvendelser via e-mail, så er der lige pludselig ikke længere et formål med, at bede om det.
Og så er det “Navn” – Er det strengt taget nødvendigt at bede om dette? Det kunne det være ifht. at give en “personaliseret” oplevelse ifht. kundeservice, men det er jo ikke sikkert, at det er nødvendigt for lige din hjemmeside.
Skridt 6: Hvem deler du persondataene med
Nu er vi ved den sidste del – Og jeg giver dig helt ret: Det er lidt af en mundfuld.
Du skal nu tage stilling til om de data du opsamler bliver delt med andre og i så fald hvem. Anvender du MailChimp? Jamen så deler du faktisk persondata med MailChimp.
Bruger du Google Analytics? Så deler du nogle persondata med Google.
AdWords? Så deler du igen persondata med Google.
Det er kort sagt væsenligt at du finder ud af hvem du deler dataene med – Og husk at din hosting udbyder også indgår i dette.
Skridt 7: Er dem du deler persondataene med i EU, EØS, underlagt EU/US Privacy Shield eller er der en Standard Contractual Clause
Nu ved du hvem du deler persondata med og det betyder, at du bør finde ud af om disse serviceleverandører opfylder følgende:
Er de i EU/EØS? Super godt! Det betyder de er underlagt GDPR.
Er de uden for EU, men i et sikkert tredjeland? Det kunne f.eks. være Schweiz, som er kategoriseret som et sikkert tredjeland. Det er også helt fint, så længe der foreligger en Standard Contractual Clause.
Er de i USA? Så skal de være underlagt EU/US Privacy Shield.
Er de uden for EU, men i et USIKKERT tredjeland? Så skal du sørge for der foreligger en Standard Contractual Clause og læse betingelserne godt igennem for hvornår det må foregå.
“Og hvad dælan er så formålet med alt dette?”
Jo ser du, med ovenstående i hænderne er du markant bedre udrustet til at dokumentere det der har med persondata og din hjemmeside at gøre. Det skal også gøres for resten af din virksomhed – Men dette bringer dig et skridt nærmere på at få styr på persondataene.
Det betyder også at du er markant bedre udrustet til en dialog hvis en bruger ønsker at rette/slette i sine data – eller at få dataene udleveret. For nu ved du hvor du skal finde dataene henne af.
Afrunding
GDPR er en mundfuld at få styr på, det kan der vist ikke være tvivl om. Fortvivl dog ej og gå ikke i panik fordi du ikke har fået styr på det hele endnu.
Det er en process og det ved Datatilsynet også. Det der forventes er, at du begynder at tage de første spadestik og kommer i gang.
Et sted du f.eks. kunne starte var at få opsat en cookie notifikation på din hjemmeside – Og her har du et værktøj der gør det enklere for dig.
