iProspect

GDPR – Apokalypsens fire bokstaver?

GDPR – Apokalypsens fire bokstaver?

 

Hva i alle dager betyr egentlig dette? Og hva betyr det for deg og din bedrift? Hvordan skal du og dataen din gå GDPR i møte? I dette blogginnlegget gir vi deg noen tips for å unngå at din Google Analytics konto bryter med retningslinjene som er i ferd med sveipe over det ganske land. Retningslinjene som følger av General Data Protection Regulation er satt av EU, og trer i kraft 25.mai (1.juli i Norge). De har til hensikt å beskytte deg som privatperson, men kan også få stor betydning for deg som bedriftseier, eller ansatt. Vi håper at denne oppsummeringen kan hjelpe deg med å ta vare på dataen til dine brukere, like godt som du ville tatt vare på din egen.

Dette er vår vurdering, og er kun ment som et bidrag til orientering i en omfattende prosess. Du og din bedrift bør søke juridisk veiledning i forbindelse med innføringen av GDPR.


  • Anta at din bedrift sitter på personlig data.

    • De aller fleste Google Analytics kontoer som driftes i markedsføringsøyemed vil ha en eller form for personlig data, på tross av at Google Analytics ikke skal samle inn denne typen data. Husk at «pseudonymisert» data også er personlig data under GDPR, og at behandlingen av disse to klassifiseringene av data er like streng.

  • Gjør deg kjent med hva som definerer personlig data, og pseudonymisert data.

    • Personlig data er all data som knyttes til en naturlig person. Dette inkluderer, men er ikke begrenset til, navn, fødselsdato, epost-adresse, gateadresse, og innloggingsdata. Pseudonymisert data er all data som er kryptert eller anonymisert, men som kan knyttes til en naturlig person, dersom denne settes sammen med riktig «nøkkel». Et eksempel på pseudonymisert data som ofte finnes i Google Analytics er transaksjons ID’er (ordrenummer), dersom du har satt opp sporing av nettbutikk i din bedrift.

  • Gjør rede for hva slags data du faktisk har liggende i din Google Analytics.

    • Du har gjort det Google ba deg om da du satte opp kontoen, og du har lagt inn frasen «anonymize IP» litt her og der. Det burde holde, ikke sant? Ikke nødvendigvis. Ofte kan små glipper, enten i oppsettet av et «event» du måler, eller i selve kildekoden til websiden din, være nok til at du for eksempel samler inn både brukernavnet og passordet til brukerne dine. Slik innsamling av personlig data, er ofte i konflikt med GDPR, og er alltid et brudd med retningslinjene til Google selv.

  • Fjern data du ikke skal ha!

    • Dersom du oppdager at du har personlig data i din Google Analytics konto bør du vurdere om denne må slettes. Foreløpig finnes det kun én måte å gjøre det på, og det er ved å slette det gjeldende «Google Analytics property», og sette opp alt på nytt. I den prosessen vil du miste all historisk data. Google jobber med å finne en bedre løsning på dette problemet. Dersom du finner pseudonymisert data er problemet langt mindre; dersom du har samlet inn riktig samtykke fra brukerne dine kan denne dataen trygt ligge i Google Analytics.

  • Sørg for at du skaffer riktig og tilfredsstillende samtykke fra dine brukere.

    • Samtykke til innsamling av personlig data under GDPR er et langt mer kravstort konsept enn det har vært, under den (snart) historiske personvernforordningen. Der implisitt samtykke (bruk er lik samtykke) tidligere har vært nok, kreves det eksplisitt samtykke under GDPR. Det betyr at brukerne dine må forstå, og aktivt godkjenne, at du samler inn data om dem. Dette samtykket må, blant annet, innbefatte:

        • Informasjon om hvilken type data du samler inn

        • Til hvilket formål du samler inn data

        • Hvor lang tid dataen vil bli lagret

        • Informasjon om hvordan brukerne kan endre og/eller trekke tilbake samtykket sitt, og hvordan og hvem de skal henvende seg til for å gjøre det.

        • Informere om hvilke konsekvenser det vil få (om noen) dersom de ikke samtykker.


Sitter du nå og tenker «søren heller, hvorfor må jeg forholde meg til GDPR?»? Svaret: fordi det gamle skillet mellom online og offline er i ferd med å viskes ut. Vår samtid er online. Vi er alltid på nett, telefonen din kjenner deg ut og inn. Den har kortinformasjonen din, blodprøvesvarene du fikk fra legen din forrige uke, den vet hvor mange gratis popcornbøtter du har råd til med KinoPluss-poengene dine, og hvor mange ganger du er innom SoMe i løpet av en dag. Dataen Facebook og Instagram sitter på er ubehagelig å tenke på, ikke bare fordi det er snakk om så vanvittige mengder, men fordi kvaliteten på dataen er så god. De kan like mye om deg som bestevennen du har hatt siden barndommen, kanskje mer. Dette faktum gjør livet ditt enklere; du slipper å fortelle om deg selv hver gang du skal i gang med noe nytt. Kortinformasjonen ligger lagret, telefonselskapet godtar Vipps i appen.

Men hvis noen hadde bedt deg om å stille deg opp på Karl Johan og lese opp den informasjonen jeg har listet opp nå, ville du sannsynligvis svart «aldri i verden». GDPR forsøker å forhindre at noen andre stiller seg opp og leser det høyt allikevel.