Praktiske tips til overholdelse af GDPR

I den analoge verden er vi vant til, at vi skal låse vores hoveddør, og vi husker at smøre os ind i faktor 30, for at beskytte os mod solen. I den digitale verden er vi imidlertid ikke ligeså gode til at beskytte os selv.

Derfor sætter EU et større fokus på datasikkerhed med den kommende persondataforordning (GDPR), som træder i kraft 25. maj 2018.

I Kruso har vi klædt mange af vores private og offentlige kunder på til den nye persondataforordning, og vi vil nu også give dig indblik i, hvordan I kan gøre data om besøgende på jeres website mere sikkert. I dette indlæg vil vi især se på tredjeparter, hvor vi berører GDPR fra en teknisk vinkel, og ikke en juridisk. Vi anbefaler derfor, at I husker at kontakte jeres jurist ved juridisk rådgivning af GDPR. 

 

Hvilke data er personlige?

Personlige data kan forholdsvist inddeles i de tre kategorier: indirekte persondata, direkte persondata og personfølsomme data.

Billede af de forskellige dataniveauer
  • Indirekte data er data, som kræver korrelation med andet data, for at kunne henvise til en person. Et eksempel er din IP adresse.
  • Direkte data er data, som er tilknyttet din identitet og derved personhenførbar. Eksempelvis dit navn.
  • Personfølsomme data er data, som er af særlig personlig karakter. Dette kunne være dit CPR, helbredsinformation etc.

 

Deling af persondata med tredjeparter

I Kruso er vi databehandlere, hvilket betyder at vi varetager oplysninger på vegne af private og offentlige virksomheder og institutioner. Som virksomhed eller institution er det vigtigt, at man ikke uddelegerer databehandling, uden at stille spørgsmål til den enhed, som behandler dataene om besøgende på ens site. Det gør sig blandt andet gældende ved deling af persondata med tredjeparter som f.eks. Google og Facebook, hvilket som udgangspunkt er lovligt. Der skal dog foreligge en databehandleraftale mellem din virksomhed og jeres valgte databehandler - og så skal samtykkereglerne selvfølgelig også overholdes.

Når vi snakker om at dele persondata med tredjeparter, refererer vi til den deling af persondata, som sker, når dine kunder eksempelvis tilmelder sig nyhedsbreve gennem sign up-funktioner i Mailchimp, liker et opslag på Facebook eller sender en jobansøgning til LinkedIns rekrutteringsdatabase. Når de udsender disse data udsættes de for at dele data med tredjeparter, som indsamler dataene og anvender dem til at opnå indsigt i kundernes brugeradfærd. Disse tredjeparter omfatter bl.a.:

  • Webanalyseværktøjer som Google Analytics.
  • Indlejret webindhold som videoer fra Youtube og Vimeo.
  • Iframes - hvor du henter ekstern indhold ind på din din side.
  • Indlejrede kort som Google Maps.
  • Webfonte - bliver ofte hentet på samme måde som iframes. Dvs. hentet fra en ekstern leverandør.

Det er derfor yderest vigtigt, at I som virksomhed undersøger, om der findes nogle gode, etiske alternativer til databehandling.

 

Vores bud på alternativer til de ovenstående tredjeparter er:

  • Alternativ til Google Analytics: I stedet for Googles webanalyseværktøj, findes der andre analytics-systemer med en databehandleraftale som Siteimprove Analytics eller lokale analytics systemer som Piwik.
  • Alternativ til indlejret videoindhold: Når det kommer til indlejret videoindhold, så brug i stedet videodeling-platforme som fx 23Video, der ligeledes har en databehandleraftale, eller lav en lokal streaming-løsning med din leverandør.
  • Alternativ til Iframes: I kan omlægge iframes til API-løsninger (Application Programming Interface), som er en softwaregrænseflade, der gør det muligt at interagere software med andet software.
  • Alternativ til Google Maps: Der findes også alternativer til Google Maps. I kan fx vælge at bruge Sweco eller Open Street Maps med egen server.
  • Alternativ til Webfont: Og til sidst, som et alternativ til Webfonte, kan I i stedet vælge at bruge lokale websafe font-filer.

Hvad skal I så gøre nu?  

  • Skift jeres tredjeparts tracking-løsning ud med andre løsninger - f.eks. dem, som vi har præsenteret for dig ovenfor.
    • Start dog ud med en risiko analyse, så I kan fremvis en plan til evt. GDPR-audit og sikre at i tager processen i en optimal rækkefølge.
  • Gennemgå de databehandleraftaler, som din virksomhed har med jeres databehandlere.
  • Kortlæg alle persondata i jeres webapplikation (Audit) ved at stille jer selv spørgsmålene:
    • Hvem har ansvaret for de pågældende data?
    • Er der tale om følsomme data?
    • Hvor og hvornår indsamles data?
    • Hvad bruges de til? Er de nødvendige?
    • Hvor længe er de relevante? Skal de opdateres?
  • Gennemgå og opdatér samtykkeformularer.
  • Begynd arbejdet med en risikoanalyse, for at vurdere de eventuelle konsekvenser af GDPR og dens indflydelse på jeres virksomhed.

 

Hvordan kan I implementere GDPR i det daglige arbejde?

  • Start med at minimere tredjeparters rolle i forhold til tracking og udvælg de alternativer, som kan matche udfordringen.
  • Giv jeres webredaktører værktøjer, der kan hjælpe dem med at håndtere data.
  • Enhver formular-værktøj bør komme med værktøjer til at tagge og datere de indsamlede oplysninger.
  • Sørg for, at webredaktørerne har nem adgang til organisationens retningslinjer for persondata, især når de er ved at uploade et dokument med ukendt indhold.
  • Udvikl simple data audit og data scrubbing-værktøjer.
  • Hvis dit site har login-funktioner, så tilbyd evt. dine brugere dataværktøjer: 
    • Vis brugerne de data der er opbevaret om dem, ved eksempelvis at gøre det muligt for dem at downloade i JSON (JavaScript Object Notation).
    • Giv brugerne en mulighed for at bede om at få slettet deres data eller brugerprofil.
  • Hvis en bruger lukker sin konto, så sørg for at få slettet data om dem med det samme.
  • Få styr på logning, jeres analytics-system og andre dataindsamlinger, og fjern data der ikke giver direkte værdi for brugerne.

 

Hvad kan Kruso hjælpe med?                       

  • Afholdelse af Workshops og Data Audit: Vi afholder gerne en workshop for din virksomhed, hvor vi kan hjælpe til med løsningen af jeres udfordring, og vi hjælper jer ligeledes gerne i jeres data-revisionsproces gennem Data audit.
  • Rapportering: Vi kan identificere tredjeparts scripts i jeres løsning gennem rapportering.
  • Kortlægning af alle persondata: Vi undersøger og frembringer gerne en systematisk og grundig beskrivelse af alle persondata i jeres webapplikation.
  • Implementering af et forbedret samtykkesystem: Vi kan hjælpe jer med at implementere et samtykkesystem, som sikrer, at brugernes rettigheder overholdes.
  • Bygge hjælpeværktøjer: Vi kan også bygge hjælpeværktøjer til webredaktørerne i jeres CMS.

 

I vores næste blogindlæg om persondataforordningen går vi i dybden med nogle af de specifikke GDPR-fokuseret alternativer, som vi har fundet for vores kunder.  

* Denne præsentation er en introduktion til dele af EU-GDPR og relaterede emner inden for omgangen med personhenførbare data. Vinklen er det digitale snit, og fokus er på de dele af EU-GDPR, der er relevante fra et web/digitalt perspektiv. Der er store dele af EU-GDPR, som slet ikke er medtaget, og andre der kun lige bliver berørt.

Wanna talk?

CTO

Telefon: +45 2681 2085

Mail: nsb@kruso.dk