GDPR skrur personvern opp til 11
Skrevet av: Pål StrømDet er ikke til å stikke under en stol at vi deler utrolig mye informasjon om oss selv. Noe informasjon deles frivillig, men ikke alltid. For selv om du frivillig sender inn et kontaktskjema, så vet du ikke nødvendigvis hva mottakeren gjør med denne dataen. Kanskje krysskobles det mot data fra andre tjenester? Slik kan bedrifter ganske fort bygge opp et større bilde av deg som person.
Heldigvis har EU med GDPR (General Data Protection Regulation) lagt til rette for at vi må begynne å ta dette på alvor. 25. mai, 2018 trer det nye regler i kraft her i Norge, og Europa ellers, når det gjelder personvern. Nå må vi fortelle eksplisitt hva dataen brukes til etter den er sendt inn. Hvor lenge holder vi på dataen? Hvordan kan du som person fjerne spor av deg selv i systemet?
Og alt dette er vel og fint for brukere, men hva må dere som leverandører gjøre for å være klar 25. mai? Her kommer et par punkter dere må være klar over, samt et par praktiske eksempler.
TL;DR
Om du ikke har tid/lyst til å lese hele artikkelen, så kan den oppsummeres slik, ca:
- En person eier alltid sine egne data.
- Spør om så lite data som mulig, den dataen du samler inn må du ha samtykke for å gjøre noe som helst med
- Personen som dataen gjelder skal kunne slette alt dere sitter på av informasjon om vedkommende.
Fortell brukeren hva dataen du samler inn skal brukes til
Det holder ikke lenger med en «ved å bruke denne tjenesten samtykker du til våre vilkår», og så lenker dere til en side med en halv Knausgård-bok om hva, hvordan og hvorfor. Praktisk info må løftes opp og frem.
Selv noe så enkelt som et skjema for påmelding til nyhetsbrev må etterkomme disse reglene. Så i tillegg til et tekstfelt, hvor brukeren skriver inn e-post, og en knapp for å sende inn, må dere nå også inkludere en avhukingsboks (og denne kan ikke være huket av fra før, det må være et klart og tydelig samtykke fra brukeren), hvor det informeres i lettfattelig tekst hva e-posten skal brukes til, og hvor lenge dere har tenkt å beholde den.
«Jeg samtykker til at [bedriftsnavn] kan bruke min e-postadresse til å sende meg nyhetsbrev, og er innforstått med at de beholder adressen frem til jeg velger å fjerne den fra registeret.»
Ikke bruk innsamlet data til annet formål enn opprinnelig samtykke tillater
Hver gang dere har tenkt å behandle persondata på noen som helst måte må dere ha samtykke fra personen som eier dataen. Så når dere har fått samtykke til å gjøre X med data fra brukeren, kan dere ikke snu dere rundt og gjøre Y med samme data. Da må dere først få ny samtykke til dette.
Om du får telefonnummeret til kunden din for å bekrefte en avtale, f.eks., så kan ikke dette telefonnummeret brukes til markedsføring.
Mange bedrifter har store nyhetsbrevlister. Disse blir antakeligvis ubrukelige. Her har Utbrudd skrevet en god artikkel om hva du må spesifikt må tenke på når det kommer til nyhetsbrev.
Personer skal ha innsikt i hvilke data dere sitter på
Dette er både for at brukere skal ha mulighet til å slette data, men også sørge for at persondata er korrekt. Her er det, så vidt vi kan se, ikke noen krav til at det skal være et grensesnitt hvor brukeren får tilgang til data, men de skal kunne sende dere en e-post for å forespørre data. Her er det da viktig å sørge for at det sendes til riktig person. En person eier kun sine egne data, så f. eks. ektefeller kan ikke forespørre data om den andre.
Om data på brukere brukes for analyse er det mulig å anonymisere data for å unngå dette. Det må da anonymiseres tilstrekkelig, ved for eksempel aggregering. Da tar man masse data på forskjellige personer, og legger de sammen på noe vis, slik at dataen ikke lenger gjelder én spesifikk person.
Om brukeren ønsker data slettet har de i samme stund trukket tilbake samtykket sitt. Det vil si at selv om dere får tak i data på brukeren via andre systemer har dere ikke lenger samtykke til å behandle denne dataen.
– Brukere har rett til å vite hva du vet om dem, og hva du bruker den kunnskapen til.
Minimer datainnsamling
Det skal kun samles tilstrekkelig data til å dekke de behov dere har for gjennomføre den databehandlingen som er oppgitt. Så hvis det er bestilling av time, og dere skal sende en bekreftelse, så må dere vurdere om dere trenger både telefonnummer og e-post, eller om det holder med én av de. Trenger dere fødselsdato, eller holder det med fødselsår?
Så hva defineres egentlig som persondata/personopplysning?
Persondata/personopplysning er alt av informasjon som direkte eller indirekte kan knyttes til deg som person. Det vil si at også IP-adresse er persondata, selv om den kan være dynamisk og oftest knyttes til en husstand, så har det blitt vedtatt at det er nært nok til å inkluderes under paraplyen persondata. Andre eksempel er navn, adresse, telefonnummer,
e-postadresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).
Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av de nyere utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.
Kilde: Datatilsynet
Oppsummering
Det er så klart mye mer i de nye reglene enn det som er nevnt over her, men dette er de tiltakene som er mest relevant for oss i webverden. Det er mye å ta stilling til, så det viktigste er at man begynner å få personvern i ryggmargen. Få det opp i dialog når man starter nye prosjekter. Gå gjennom eksisterende løsninger og se hvor det samles inn data om brukere og sjekk at dere får samtykke til å gjøre noe med denne dataen.
De nye reglene definerer behandlingsansvarlig som den part som setter formål for innsamling av data. I vårt tilfelle er dette ofte våre kunder, som kanskje vil ha et kontaktskjema. Da må det defineres hva formålet er med data som samles inn. Hvorfor skal dere ha telefonnummeret til brukeren om dere bare sender dem en e-post i retur? Trenger dere å beholde data lengre enn en måneds tid, om det bare handler om å få kontakt med brukeren?
Videre definerer de databehandler som den part som tar seg av selve databehandlingen. I vårt tilfelle er dette ofte oss. Om man kan bestille et produkt fra en nettside, så trenger vi for eksempel en adresse så vi kan sende bestilling til varelager og sette opp en bestilling hos Bring. Da må vi sørge for at vi har fått samtykke til å bruke data til det formålet.
Det som er nytt med dette regelverket er at behandlingsansvarlig og databehandler nå står ganske likt mtp ansvar for gjennomføring av tiltak. Tidligere har dette ansvaret ene og alene stått på behandlingsansvarlig. Men nå kan også databehandler ende opp med å bli bøtelagt for brudd på regelverk.
Så til behandlingsansvarlige der ute: Sørg for at din leverandør av databehandling har tatt stilling til de nye reglene og vet hva de innebærer for dine løsninger. Sørg også for at dere vet hva formålet med innsamling av data er.
Til databehandlere der ute: Sørg for å informere kunder dere har hvor databehandling er en del av tjenesten. Dette er nye krav dere må ta stilling til, og dere er ansvarlige. Om det ikke blir gjennomført tiltak kan også dere stå ansvarlige.