Som leder er du ansvarlig for, at selskabet overholder love og regler, og nu gælder det EUs nye persondataforordning, der træder i kraft til maj 2018. 'To do'-listen involverer både advokater, teknologer og specialister i (digital) kommunikation og strategi, mens I selv kan foretage en stor del af kortlægningen. Gode strategiske GDPR-projekter danner grundlag for hurtigere implementeringstid og mindre dobbeltarbejde.
Hvad skal kortlægges? Hvad skal der gøres? Ledelsesudfordringerne, som GDPR stiller
Af Christer Dalsbøe, Stine Strandvik, Henning Dahl og Stein Opsahl – strategiske rådgivere hos Knowit Experience
Baggrund
GDPR (General Data Protection Regulation) er nye EU-krav til behandling og brug af følsomme persondata og andre personlige oplysninger. Den nye EU-lovgivning erstatter en forældet lovgivning, der oprindeligt var tilpasset lagring af personoplysninger på papir. Formålet er at styrke borgernes ret til privatliv i en digital hverdag. Det nye er, at moderselskabet nu vil være økonomisk ansvarlig for eventuelle straffereaktioner udløst af misligholdelse af datterselskaber i samme koncern. Derfor skal alle virksomheder opfylde kravene til GDPR,, når EU-forordningen træder i kraft den 25. maj 2018.
Den nye EU-forordning er en stramning og styrkelse af de gældende regler, og for første gang får de europæiske virksomheder og borgere en overnational lovgivning, de skal forholde sig til. Sanktionerne i form af bøder bliver på et helt nyt niveau, potentielt op til to til fire procent af virksomhedens globale omsætning. Vi må forvente, at håndhævelsen vil blive skærpet af tilsynsmyndighederne i både Norge og EU.
Knowit har en række igangværende GDPR-opgaver i Norden; baseret på en holistisk tilgang, hvor vi ser teknologi, kommunikation, brugere og lovgivning i sammenhæng. Vi forventer stor efterspørgsel efter vores GDPR-ekspertise i både strategi-, kommunikations- og udviklingsprojekter frem mod den 25. maj 2018.
Forskellige virksomheder, forskellige behov
For virksomheder, der er funderet på en abonnementsmodel og lange kunderelationer på forbrugermarkedet, betyder GDPR bare mere af det samme – ærlige kundedialoger. De nye regler åbner for, at kunder og forbrugere har ret til at få slettet oplysninger, de selv har opgivet i virksomhedernes databaser, hvis de ønsker det. Derudover har en forbruger ret til at få udleveret alle de data, din virksomhed har gemt om vedkommende, f.eks. CRM-data, samt de typer profiler, du har oprettet af vedkommende. I en opsigelsessituation vil forbrugeren kunne kræve, at disse oplysninger overføres til en af dine konkurrenter.
Det bedste svar på denne udfordring er at få en effektiv, åben og ærlig digital kundedialog. GDPR giver kunderne/borgerne mere magt, og I vil sandsynligvis være nødt til at foretage ændringer på systemsiden for at gøre data tilgængelige for redigering, sletning og portering til konkurrenterne, hvis kunden ønsker det.
GDPR drejer sig om digital kundedialog
GDPR er faktisk en stor markedsmulighed, og erfarne ledere, der forstår kunden, bør ikke have så mange betænkeligheder. I praksis drejer dette sig om åben, ærlig og enkel dialog.
I sidste ende betyder GDPR, at I skal tænke endnu mere i retning af det, som englænderne kalder 'privacy by design'. Det betyder, at man skal se på beskyttelse af personlige oplysninger som et centralt udgangspunkt, når man udvikler løsninger, der opbevarer kundedata. Dette bliver nu obligatorisk og meget aktuelt, fordi de teknologier, der benyttes, giver så mange muligheder for at komme i konflikt med GDPR. Kundens ret til at blive informeret understreger behovet for åbenhed i forhold til, hvordan I håndterer og benytter personoplysninger.
Samtykkeudfordringer og praktiske konsekvenser
Der skal indhentes samtykke i forbindelse med lagring af alle persondata, som man ikke ellers ville have et lovligt grundlag for at gemme. Der skal informeres om, hvilken slags data der lagres, og der skal gives specifikt samtykke for hver enkelt formål, som dataene bruges til. Det betyder, at hvis du har fået tilladelse til at gemme data, der skal bruges til et tilbud om en strømaftale, kan du næppe sende en e-mail med reklame for et mobilabonnement.
For mange virksomheder betyder det, at der skal indhentes samtykke igen. Disse og andre krav betyder, at der skal etableres nye systemer frem til maj 2018. Det nye sanktionssystem giver myndighederne ret til at pålægge et overtrædelsesgebyr for grove overtrædelser af forordningen. Da eventuelle bøder gives på koncernniveau, kan sjusk og genveje i et datterselskab med få kunder få store konsekvenser for koncernen.
Så hvordan skal I kommunikere med kunden?
Retten til at blive informeret betyder, at brugerne får fuldt indblik i, hvordan deres personoplysninger behandles. Det vigtige her er at kommunikere i almindeligt sprog – fortælle kunden, hvilke data du gemmer, hvorfor du behandler deres data, hvor længe de vil blive opbevaret, og hvem der modtager dem.
Dette er et af de centrale punkter i GDPR, og det nødvendiggør, at oplysningerne skal være "kortfattede, ærlige, forståelige og lettilgængelige." Det er ikke tilladt at bruge forudfyldte afkrydsningsfelter, men vigtigere er måske, at kunden aldrig har brudt sig om det. GDPR er en større udfordring for virksomheder, der ignorerer kundernes behov, end for virksomheder, der har den bedst mulige kundeoplevelse som rettesnor.
Brug GDPR som en mulighed
Formålet med GDPR er også at imødegå trusler som cyberangreb og identitetstyveri, og konsekvensen er, at virksomhedernes normale kommunikationskanal er truet. Der er mange gode løsninger, som både varetager virksomhedernes behov for effektiv, digital kundedialog, og som opfylder de nye sikkerhedskrav. GDPR er simpelthen en mulighed for virksomhederne til at vise, at de tager de fornødne skridt til at beskytte forbrugernes personoplysninger og datasikkerhed.
Spørgsmålene, du skal have svar på
- Hvilke data er allerede indsamlet i dag, hvad er der egentlig behov for, og hvor er dataene gemt?
- Har vi en digital log over, hvordan vi skaffede os samtykke til f.eks. e-mail den første gang, eller hvordan samtykkets forløb har været? Hvis ikke, må vi søge godkendelse fra kunden fra gang til gang.
- Indsamler vi kun et minimum af information eller alt for meget information?
- Er vi forberedt på henvendelser fra brugere, der ønsker at slette eller redigere eller flytte deres personoplysninger? Har vi procedurer for dette på plads?
- Ved vi, hvordan vi kan varetage backup, så vi ikke indlæser information igen for en bruger, der har ønsket sletning?
- Bruges CPR-nummer, medlemsnummer, mobilnummer, bilens registreringsnummer eller andre følsomme oplysninger som nøgle mellem tabeller og systemer?
- Ved vi, hvordan vi gemmer pseudo-anonymiserede syntetiske data, der kan bruges som testdata?
- Har vi tilstrækkelig adgangskontrol på plads til at sikre fortroligheden af informationen internt i organisationen?
- Er Privacy by Default på plads i programmer og systemudvikling?
- Har vi vurderet, hvad brud på databehandlingen kan resultere i for vores brugere?
Hvem skal gøre hvad?
'To do'-listen involverer som tidligere nævnt både advokater, teknologer og specialister i (digital) kommunikation.
- I skal kortlægge, hvor og hvordan I gemmer personoplysninger, om datasikkerheden er tilstrækkelig, og hvad I bruger dataene til.
- Gennemgå de aftaler, I har med datarelaterede leverandører (CMS, hosting, kontorservice, konsulenter osv.)
- Gennemgå praksis i forhold til performance marketing (Google AdWords, Analytics, Facebook osv.), kundekommunikation og anden digital markedsføring.
- Gennemgå praksis med henblik på beskyttelse af personlige oplysninger, samtykke, sletning, portabilitet osv.
- Revidere og styrke de interne kontrolrutiner (compliance), herunder underretningsrutiner for henvendelser og overtrædelser af reglerne.
- Definere klare roller og ansvar på området for beskyttelse af personlige oplysninger (holistisk) og vurdere, om I har brug for en dedikeret databeskyttelsesansvarlig.
10 grunde til, at GDPR er vigtigt
1. Overstatsligt inden for EU og EØS
2. Loven vedrører en stor mængde data.
3. Loven gælder også uden for EU/EØS.
4. Loven gælder for databehandlere på alle niveauer, også medarbejdere i f.eks. USA eller outsourcing til Indien.
5. Der er konsekvent fokus på ansvarlighed. Indkøbere, programmører osv.
6. Den enkeltes rettigheder styrkes, og mange virksomheder er nødt til at rydde op i uklarheder i deres CRM-systemer
7. Brud på forpligtelserne inden for behandling skal meddeles senest inden for 72 timer
a. Med følsomme oplysninger menes race, religion, sundhed og seksuel orientering. (For eksempel om nærmeste pårørende til Peter hedder Jens.)
8. En databeskyttelsesansvarlig skal i mange virksomheder udpeges på koncernniveau
a. Kan også udpege databeskyttelsesansvarlige i datterselskaber
9. Eksport af data vil i mange tilfælde være vanskeligt
a. Skal være krypteret (HTTPS, VPN osv.)
b. Skal også kryptere lagrede personoplysninger. For eksempel en outsourcet ressource i Indien, som kan få adgang til filer i Norge
10. Loven giver mulighed for meget store bøder for alvorlige overtrædelser. Tilsynet kan udstede bøder på op til fire procent af koncernens globale omsætning.
a. Datatilsynet bliver EUs DPA – Data Protection Authority.
b. I praksis kan et svensk tilsyn afgøre, om vi gør noget forkert i Norge og omvendt.
Både data, programmer og processer skal kortlægges
Data
1. Hvilke datakategorier har virksomheden?
2. Kan databaser og filer lægges sammen og reduceres?
3. Er dataflows overvåget, dokumenteret og beskrevet?
4. Har man aktiv godkendelse fra registrerede brugere i dag?
5. Har en registreret bruger mulighed for at redigere oplysninger om sig selv?
6. Er dataene krypteret "in situ" og "in transit"?
1. Lønsedler skal f.eks. sendes som "en kuvert i en kuvert". Med andre ord skal lønsedlen være en krypteret vedhæftet fil, som kun modtageren kender adgangskoden til. Så de personlige oplysninger krypteret "in situ" og "in transit" og kun tilgængelige for den modtager, som kender krypteringsnøglen.
Programmer
1. Hvilke programmer behandler berørte oplysninger i virksomheden i dag?
2. Er dataflows for programmet overvåget, dokumenteret og beskrevet?
3. Har man aktiv godkendelse fra registrerede brugere for hver enkelt program i dag?
4. Har en registreret bruger mulighed for at redigere oplysninger om sig selv i et program?
5. Er Security by Design indarbejdet i programmet? (fortrolighed, integritet og tilgængelighed)
6. Er trusler og risici blevet vurderet under programudviklingen?
7. Er Privacy by Design blevet sikret i programmet?
8. Hvordan skal man behandle børns accept?
9. Er grundlaget for indsamling af specifikke oplysninger godt beskrevet?
10. Er det nemt for brugeren at anmode om at se, hvilke oplysninger der er indsamlet?
11. Er det nemt for brugeren at anmode om at redigere oplysningerne om sig selv?
12. Er det nemt for en bruger at anmode om at få oplysninger om sig selv slettet (uden at bryde øvrige lovkrav)?
13. Bliver minimering af dataindsamling, gennemsigtighed, aktiv godkendelse, proaktiv sikring af indsamlede data i form af kryptering osv. varetaget i programmet?
Processer for og dokumentation af gennemførelse af kontrolaktiviteter.
1. Er aftaler med databehandler og dennes underleverandør kortlagt og dokumenteret?
2. Kan databehandler fremlægge dokumentation af kontrolaktiviteterne?
3. Gennemføres der en risikovurdering af, hvor kritiske programmet/dataene er?
4. Er procedurerne for rapportering af hændelser på plads?
5. Er der en procedure på plads for at hente en brugers oplysninger ved anmodning?
Terminologi
- Datasubjekt
- Den person, hvis data indsamles, og som kan identificeres, direkte eller indirekte, ud fra dataene.
- Data Controller (den behandlingsansvarlige)
- Den organisation, der definerer årsagen til dataindsamlingen
- Den, der bestemmer, hvordan dataene indsamles og behandles
- Den, der umiddelbart er ansvarlig for datalagringen
- Data Processor (databehandler)
- En person eller enhed, der handler på vegne af den behandlingsansvarlige for at opbevare eller behandle oplysningerne
- Eksempelvis:
- konsulentvirksomheder
- outsourcingfirmaer
- offsite lagringsleverandører
- cloud-leverandører (skyen)
- markedsføringsorganisation, der fører kampagner
- Supervisory Authorities (tilsynsmyndigheder)
- Offentlige organer oprettet af myndighederne i EU-landene, der rådgiver den dataansvarlige og datasubjektet om loven og håndhævelsen afforordningen.
- De kan undersøge overtrædelser og idømme den registeransvarlige og 'databehandleren' bøder.
- Nogle gange refereret til som databeskyttelsesmyndighederne, Data Protection Authorities (DPA).
- Data Protection Officer (DPO – databeskyttelsesansvarlig)
- En databeskyttelsesansvarlig, der skal udpeges for
- Offentlige myndigheder
- Virksomheder, hvor den dataansvarlige og databehandleren regelmæssigt og systematisk overvåger datasubjekter i større skala
- Enheder, hvor en virksomhed i stor skala behandler følsomme personoplysninger
- Formuleringen "mere end 250 ansatte" er blevet fjernet i de nye regler.
- En databeskyttelsesansvarlig, der skal udpeges for
- Personoplysninger
- Navn, adresse, fødselsdato, CPR-nummer, personlig e-mailadresse,
- Virksomhedens e-mailadresse og telefonnummer.
- Online-id'er fra forskellige 'enheder' og dataprogrammer, herunder IP-adresse, cookies eller andre identifikatorer såsom RFID-koder.
- Data, der bruges alene eller sammen med andre data for at identificere et individ/en person.
- Følsomme personoplysninger
- Genetiske eller biometriske data
- Fysisk eller psykisk sundhed
- Race eller etnisk oprindelse
- Politiske holdninger
- Fagforeningsmedlemskab
- Religiøs eller filosofisk overbevisning
- Seksuelle præferencer
- Data om kriminelle handlinger og strafudmåling behandles særskilt i (direktiv 2016/680). Kan kun behandles af de nationale myndigheder.
- Genetiske eller biometriske data
Om forfatterne
Christer Dalsbøe og Stine Strandvik er strategiske rådgivere hos Knowit Experience i Oslo. Henning Dahl er strategisk rådgiver på Knowits kontor i Bergen, og Stein Opsahl er direktør for strategisk rådgivning, Knowit Experience i Norden.
Forfatterne ønsker at takke Jan Bjørnsen i Knowit Secure for hans bidrag til denne artikel.