Som et konsulentfirma for digital forretningsutvikling i tillegg til omfattende utvikling av websider og apper, treffer GDPR verdikjeden vår fra to aspekter. Vi lagrer og behandler kundedata for å gjøre samhandling med oss så relevant, sømløs og verdifull som mulig for de som er i kontakt med oss. Samtidig bygger vi tekniske løsninger som skal ivareta personvern i form av sikkerhet i lagring av persondata, hvilken informasjon om som lagres, hvordan den kan krypteres, endres, slettes og porteres.
25. mai 2018 trår etter planen de nye reglene for personvern, The General Data Protection Regulation (GDPR), i kraft for alle land som samhandler med innbyggere i EU. Selv om flere medier varsler om utsettelse i Norge, er det uansett kun snakk om tid og vi anbefaler alle våre kunder om å treffe nødvendige tiltak så raskt som mulig.
Hovedpunkter for GDPR
- Styrker rettighetene til eierskap av personlig data hos enkeltpersoner
- Strammer inn plikter for åpenhet om og databehandling hos virksomheter
- Bøter på inntil 4 % av total omsetning hos virksomheter der reglene ikke følges
- Alle må gi eksplisitt og aktivt samtykke til at virksomheter kan samle inn, lagre og benytte persondata.
- Det skal være lettfattelig og tydelig forklart til besøkende og kunder hvilken og hvorfor man samler data og hva dataen blir brukt til. Her kan du se hva Datatilsynet sier skal være med.
- Den enkelte har rett til innsyn, endring og portering av data og rett til å bli glemt.
- Gjelder alle kanaler, både digitale og analoge, som f.eks. nettsider, visittkort, sosiale medier – for å drive markedsføring i etterkant
- Virksomheter må vise til dokumentasjon og rutiner for internkontroll rundt sikkerhetsbrudd ved håndtering av persondata
Er det en ting vi har lært om GDPR, er det at interne rutiner må iverksettes og tiltak må dokumenteres – da er du langt på vei.
Samtykke til å behandle persondata
Alle virksomheter må ha en legitim årsak til å registrere og lagre persondata. Det skal være lettfattelig og tydelig forklart hvorfor man samler persondata og hva dataen skal brukes til. Brukeren må gi et uforbeholdent og aktivt samtykke til bruk av denne. Om man opplever å ikke ha noe reelt valg, føler seg tvunget til å samtykke eller vil oppleve negative konsekvenser hvis de ikke samtykker, kan samtykket erklæres som ugyldig og kriteriene for samtykke ikke ansees som oppfylt. Det betyr i praksis at forhåndsutfylte checkboxes ikke lenger holder stand. Samtykket til behandling av persondata må kunne trekkes tilbake like enkelt som det gis, hvis ønskelig. Les mer om samtykke i EUs regulativ, artikkel 29.
Opplysning om og administrasjon av informasjonskapsler
Hva er informasjonskapsler eller cookies?
Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt et aktivt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene.
Det skal klart og tydelig kommuniseres på nettsiden eller i personvernerklæringen hvilke informasjonskapsler (cookies) som nettstedet bruker, hvilken informasjon som lagres gjennom cookies og hva de brukes til, slik at brukeren kan godta eller avslå bruk av cookies. [Link: Hva er egentlig dette med cookies?]
Her er et eksempel:
Hva informasjonskapsler brukes til på de nevnte domener
| Nettsted | Hva informasjonskapsler brukes til |
|---|---|
| Frontkom.no | – Identifiserer brukerens sesjon – Holder rede på språkinnstilling |
| Informasjonskapsel | Beskrivelse | Leverandør |
|---|---|---|
| _ga | Statistikk: Skiller brukere via en anonym identifikator | Google Analytics |
| _utma | Statistikk: Skiller brukere og brukersesjoner | Google Analytics |
| _utmz | Statistikk: Lagrer trafikkilden eller kampanjen som forklarer hvordan brukeren nådde siden. | Google Analytics |
På samme måte som man kan endre og slette opplysninger om seg selv gjennom informasjonskapsler i innstillingene nettleser (her for Chrome), skal man også kunne få tilsendt eller flyttet informasjonen et system er i besittelse av for den aktuelle brukeren.
Dokumentasjon og rutiner for internkontroll
Datatilsynet har også her publisert en veiledning om internkontroll og informasjonssikkerhet. Rutiner for testing, avvikshåndtering og varsling av berørte ved sikkerhetsbrudd er en svært viktig del av GDPR.
Her er et eksempel:
Det viktigste å dokumentere er navn og kontaktopplysninger på behandlingsansvarlig, formål for rutine, beskrivelse av kategorier for registerte personer og personvernopplysninger, evt. deling av personopplysninger med tredjepart. Sett opp et dokument eller regneark for registrering av gjennomførte rutiner for sletting av data og utførte tekniske og organisatoriske sikkerhetstiltak.
Databehandleravtale
Vi anbefaler å bruke Datatilsynets standard databehandleravtale. Den finner du her.
Leave your reply