5 ting du må ha ferdig til GDPR trer i kraft

5 ting du må ha ferdig til GDPR trer i kraft

 

I Norge har vi allerede tydelige retningslinjer for registrering og oppbevaring av personlig informasjon. Når EUs forordning for personvern, GDPR (The General Data Protection Regulation), trer i kraft 1. juli i år som en del av norsk lovgivning, kommer det noen nye regler å forholde seg til.

Etterlever du dagens regelverk, vil du i det store og hele også etterleve morgendagens. Samtidig må vi ikke glemme at dagens lov er 20 år gammel. Utviklingen i denne perioden har vært enorm, så noen forandringer vil det selvsagt bli. Vi ser nå en svært uheldig maktbalanse mellom individet og virksomheter. I dag sitter bedrifter på store datamengder om enkeltpersoner, og brukerne selv har ikke noen kontroll over dette.

Den nye loven innebærer en klar styrking av individets rettigheter. Fra nå av må virksomhetene vise at de følger loven. Personvern går fra å være noe som ligger under IT-avdelingen til å bli helt sentralt for hele virksomheten. Til syvende og sist handler håndteringen av personvernopplysninger om å ivareta og opprettholde tillit.

Les også: Hva betyr GDPR for inbound marketing?

Last ned gratis e-bok: 10 vekstoppskrifter til din digitale markedsføring

Enkeltindividet i sentrum

Det viktigste elementet ved å implementere GDPR er hensynet til og respekten for forbrukeren. På min ferd rundt om på internett har jeg ingen anelse om hvor mange selskaper som samler inn mine data mens jeg besøker en nettside. Det er en veldig lite gjennomsiktig prosess.

Ved å innføre GDPR gjøres det noe med dette.

Et grep for å sikre uhemmet innsamling av persondata er at det innførers en formålsbegrensing. Noen apper er avhengige av å vite hvor du befinner deg for å kunne tilby den funksjonen du ønsker. Da er det naturlig at de ber om denne informasjonen. Ønsker du å finne raskeste vei fra stedet du befinner deg på og til en gitt lokalisasjon, må Ruter-appen vite nøyaktig hvor du er. En lommelykt-app, derimot, samler lokasjonsdata kun for å selge disse videre. Det har de ikke lov til. Forskjellen nå er at forbrukeren må samtykke til formålet med den informasjonen man gir fra seg.

Så lite data som mulig

Dataminimalisering er et annet prinsipp som kommer med GDPR. I dag samler virksomheter gjerne inn så mye data som mulig for å få best mulig innsikt, mens den nye loven sier at man skal samle inn så lite som mulig. Man må forklare hvorfor man skal ha den informasjonen man ber om, så nå blir grunntanken at man ikke samler inn mer data enn man trenger.

For å gjøre det enkelt, får du her en liste med fem tips til hvordan du kan sørge for at din virksomhet har alt på plass og tilfredsstiller kravene som kommer med GDPR:

1. Sett dere inn i regelverket og få oversikt over hvilke persondata dere faktisk sitter på
Hva har dere lagret i de ulike systemene?

2. Gjennomgå hvordan dere innhenter samtykke

  • Samtykket skal skrives i et enkelt, tilgjengelig og forståelig språk
  • Samtykket skal være adskilt fra andre vilkår, ikke bakt inn eller gjemt bort som del av andre samtykkeforespørsler
  • Det skal være mulighet for å trekke tilbake samtykket
  • Vær åpen og ærlige om hva dere skal bruke opplysningene til, samt hvor lenge de lagres.

3. Gjennomgå behandlingsgrunnlaget dere bruker

Når det gjelder profilering som bygger på samtykke, skal man alltid kunne trekke dette samtykke tilbake.

Hvis interessen fra selskapet til å samle inn disse dataene er stor og ulempen for den enkelte veldig liten, kan man i enkelte tilfeller fritas fra regelen om samtykke. Hvis du for eksempel ønsker å lage brede profiler på de besøkende på hjemmesiden din, kan du fint samle slik data fra brukerne dine uten å be om samtykke til det. Hvis enkeltbrukeren da havner i en profilgruppe sammen med andre kvinner i 30-årene bosatt på Østlandet, for eksempel, vil ikke dette være personverninngripende for henne.

Driver dere med nærgående profilering, derimot, kreves samtykke. Hvis en nettavis ønsker å lage en profil på meg, slik at jeg neste gang jeg klikker meg inn der møter en forside satt sammen etter mine interesser, er dette noe jeg må godta.

Hva som faller i kategorien interesseavveiing, og hva som skal baseres på samtykke, må vurderes fra situasjon til situasjon.  

4. Gjør det mulig å motsette seg profilering

Når det gjelder profilering som bygger på samtykke, skal man alltid kunne trekke dette samtykke tilbake.

Profilering som bygger på interesseavveiing skal også gi brukeren mulighet til å motsette seg profileringen. Brukeren skal alltid ha muligheten til å takke nei og trekke seg ut, og da skal behandlingen opphøre umiddelbart.

5. Planlegg hvordan dere skal håndtere innsynsbegjæringer og sletting av data

Det er ikke mange forbrukere som har for vane å be om innsyn i egne data, men bevisstheten rundt dette øker stadig. Innsynsretten har vi alltid hatt, men nå får vi noe som heter dataportabilitet. Det er en ny rettighet hvor jeg som forbruker kan kreve å få utlevert all data en treningsapp sitter på om meg, for eksempel. Da skal jeg kunne ta disse dataene med til en annen leverandør og få dem lastet opp der.

Man skal selv kunne velge hvor man vil gå med dataene sine, og med dette ønsker vi blant annet å oppmuntre virksomheter til å bli gode på personvern. Er kunden fornøyd med måten dataene hennes blir ivaretatt på, blir hun værende. Er hun ikke fornøyd, tar hun med seg dataene sine og går til en konkurrent.

Datatilsynet har lagt ut mange nyttige ressurser for å sikre god implementering av personvernloven på deres hjemmesider, blant annet finner du flere veiledere der som kan gi svar på spørsmålene dine.

Lykke til!Gratis ebok:  Growth hackerens kokebok  10 vekstoppskrifter til din markedsføring

Temaer:

GDPR
Frode Ødmann Andersen's photo

Av: Frode Ødmann Andersen

Frode jobbet tidligere som HR-sjef i Markedspartner, hvor han hadde ansvar for bemanning, onboarding av nye medarbeidere og optimalisering av selskapets arbeidsprosesser. Frode er utdannet innen organisasjonssosiologi ved UiO og har en MBA i økonomi og ledelse fra Nord universitet