Få styr på GDPR part 2 - den praktiske vinkel
Den 25. maj 2018 træder EU’s nye persondataforordning i kraft, også kaldet GDPR. Vi har allerede udgivet 1. del af et blogindlæg om emnet, som omhandler det juridiske perspektiv.
Har du ikke læst det, anbefaler vi, at du læser det først lige her: "Få styr på GDPR part 1 - det juridiske perspektiv"
Her i 2. del fortsætter vi med flere guldkorn fra vores GDPR-workshops, men denne gang anskuer vi den nye persondataforordning fra et mere praktisk perspektiv. Vi kommer bl.a. omkring:
- Tips til, når I skal forholde jer til GDPR i jeres forretning
- Dandomain Webshop og de nye features, vi implementerer
Igen vil vi gerne pointere, at dette blogindlæg ikke må ses som et facit for jeres databehandling. Vi er naturligvis interesseret i at hjælpe, men vores kerneydelse er hosting og ikke advokatrådgivning, så har du specifikke juridiske hovedpiner, så kontakt hellere en persondata-ekspert.
Hvilke persondata har I, og hvor og hvordan behandles det?
Et godt udgangspunkt for at efterleve GDPR er at vide, hvilken persondata I har, og hvor I opbevarer det – det kunne f.eks. være ved Dandomain, men måske også Google, Facebook, Mailchimp og mange andre steder.
Kun ved at vide, hvilken persondata I har, og hvor det opbevares, kan I finde ud af, om I skal have en databehandleraftale med jeres leverandører.
For at finde svar på spørgsmålet om, hvilke persondata I har, og hvor og hvordan det behandles, kan I med fordel starte med at mappe jeres data.
Mapping af persondata
Grundlæggende handler mapping af persondata om at:
- Identificere hvor persondata behandles, opbevares og overføres
- Kategorisere og klassificere data
- Dokumentere formål med behandling
Vi anbefaler at tage udgangspunkt i en skabelon, der er nem at forstå, og udarbejdet af Henning Mortensen, It-sikkerhedschef i Bdr. A&O Johansen.
90 % af danske virksomheder kan komme 90 % i mål ved at udfylde skabelonen.
Det mener Henning Mortensen. Se skabelonen her >>
Vi anbefaler dig at forsøge at mappe jeres data på samme måde. For hvis du ikke ved, hvad eller hvor du har persondata, kan du ikke beskytte det.
Bemærk: Dette er ikke nødvendigvis en endegyldig løsning, men det er en god måde at få besvaret det grundlæggende spørgsmål, nemlig ”Hvilke persondata I har, og hvor opbevares de?”.
Privacy by Design og Privacy by Default
To principper, som vi ikke kom så meget omkring i blogindlæggets 1. del, er ”Privacy by Design” og ”Privacy by Default” – to principper, som virksomheder skal følge jf. den nye persondataforordning.
Privacy by Design omhandler, at privatliv og sikkerhed heraf skal være indbygget i ”systemer” som standard. I GDPR-sammenhænge kaldes det privatlivsfremmende teknologier. Det er umiddelbart kun relevant for dig, som selv udvikler systemer, services og lignende.
I praksis kan privatlivsfremmende teknologier f.eks. være:
- Anonymisering: Er data gjort anonyme, er det ikke længere persondata, idet det ikke kan kædes tilbage til en fysisk person.
- Pseudonymisering: Her handler det om at fjerne personen fra data. Et eksempel kan være, at et dataset er delt op i tre, så ét indeholder de følsomme oplysninger, ét andet indeholder personerne, og det tredje indeholder referencen mellem de to. Kun ved at have alle tre dataset kan du reelt bruge data til noget.
- Kryptering: Udover at kryptere data under selve transporten, altså når data bliver sendt fra én person/én server til en anden, kan du med fordel også kryptere data, der ”ligger stille” så at sige. Altså når det f.eks. gemmes på serveren. Ved at kryptere filer på serveren sikrer du, at ingen kan læse data korrekt uden den rigtige dekrypteringsnøgle.
- Adgangsbegrænsning ift. data: Tænk over, hvilke medarbejdere der har adgang til hvilke data – og om nogle medarbejdere måske ikke burde have adgang.
- Log management: Sørg for registrering af, hvem der har tilgået hvilke data og hvornår. Især relevant for dem, der behandler følsomme oplysninger i stort omfang.
- Data Loss Prevention: En teknologi, hvor man kan scanne filer, der bliver sendt. Altså en teknisk kontrol af, om persondata forlader virksomheden. Sandsynligvis ikke relevant for almindelige webshops.
Privacy by Default handler om, at privatlivsfremmende indstillinger skal være slået til som standard.
Hvis du f.eks. opretter dig på et sociale medie, og der er en indstilling, som skjuler din adresse, lokation, venneforbindelser og lignende, skal denne indstilling være slået til fra start.
Privacy by Default er altså yderst relevant på de sociale medier, men princippet gælder f.eks. også:
- Nyhedsbrevstilmeldinger under en købsproces
- Mobil apps-adgang til persondata som lokation, kontakter, osv.
- Adgangsstyring til jeres egne persondata
Sådan forholder du dig til indsigtsretten
Som vi nævnte i 1. del, indebærer ikrafttrædelsen af GDPR, at kunder har ret til indsigt, også kaldet indsigtsretten.
Den dataansvarlige (f.eks. dig som webshopejer) skal efter anmodning af datasubjektet (typisk en kunde) give datasubjektet indsigt i:
- Om den dataansvarlige behandler personoplysninger om datasubjektet
- Adgang til personoplysningerne
- Følgende informationer:
- Formålene med behandlingen
- Kategorierne af personoplysninger
- Kategorier af modtagere
- Opbevaringstid (eller hvordan denne beregnes)
- Oplysninger om rettigheder
- Retten til at klage til myndigheder
- Oplysning om, hvor personoplysningerne stammer fra
- Oplysning om brugen af automatiske afgørelser, herunder profilering
- De fornødne garantier, hvis overførsel til tredjeland
Det er endnu ikke til at vide, om folk rent faktisk vil benytte sig af indsigtsretten – og i så fald hvor mange.
Uanset det ekstra arbejde det eventuelt kan give, skal du vide, at det ikke er lovligt at fakturere kunderne for at opgrave disse informationer.
Kun hvis en kunde bliver ved at bede om yderligere indsigt (f.eks. ved at bede om indsigt uge efter uge og dermed begrave dig i administrativt arbejde), må du opkræve et rimeligt gebyr baseret på de administrative omkostninger.
For at blive klar til indsigtsretten bør I rent praktisk forberede jer på:
- Automatiseret persondataudtræk. I bør udarbejde en eksportmulighed for kunderne, hvor de selv kan se, hvad I har registreret af persondata om dem, og hvor det er muligt at gemme det i pdf-format.
- Bemærk: Har du en webshop hos Dandomain, laver vi en funktion til dig, der kan fremsøge persondata, som du herefter kan videresende til kunden, efter du har gennemgået data grundigt.
- Slettefunktion. Hvis et datasubjekt tilbagekalder deres samtykke til behandling af data, skal der indbygges en slettefunktion af kundens data, såfremt tilbagekaldelsen er berettiget (mere om dette nedenfor).
- Bemærk: Dandomains webshop kommer også til at understøtte en slettefunktion vedr. persondata i din webshop. Data uden for shoppen, fx i et økonomisystem, sletter shoppen ikke direkte.
Kort sagt handler det om, at du skal være klar til at efterleve kundernes ret til indsigt samt kundernes ret til at blive glemt.
Dandomain introducerer funktioner i webshoppen, der hjælper jer med at efterleve GDPR, men vi må understrege, at det er jeres eget ansvar at være opmærksom på andre systemer, I måtte have, f.eks. ticket-systemer, nyhedsbrevssystemer, økonomisystemer osv.
I bør derfor undersøge, hvad I gemmer af persondata, hvordan I behandler data, og ikke mindst hvordan I sletter data i de øvrige e-handelsværktøjer, I sandsynligvis bruger.
Retten til at blive glemt
Som nævnt skal den dataansvarlige (altså dig) slette data uden ugrundet ophold, hvis:
- Samtykke tilbagekaldes, og der ikke er anden hjemmel
kunden vil ikke længere have, at I behandler data om vedkommende, og I har i øvrigt ingen anden grund til at gemme vedkommendes data. - Datasubjektet gør indsigelse, og den dataansvarlige har ikke tungere-vejende grunde til behandling
Som nævnt vægter national lovgivning højest, så hvis en kunde, der har handlet hos jer i går, vil have slettet sin data i dag, er I faktisk jf. bogføringsloven forpligtet til at gemme visse oplysninger, selvom datasubjektet gør indsigelse. - Datasubjektet gør indsigelse mod, at den dataansvarlige behandler data med henblik på direkte markedsføring
Som dataansvarlig skal du altid imødekomme en indsigelse i forbindelse med markedsføring. - Behandlingen er ulovlig
Behandler du data, du ikke har lovlig hjemmel til at behandle, skal data naturligvis slettes.
Der er visse undtagelser, som giver dig ret til at beholde data, selvom et datasubjekt påkalder sig retten til at blive glemt. Det drejer sig bl.a. om bogføringsloven, som vi netop nævnte, men også ytringsfrihed, retligt krav, anden lovgivning, osv.
Hvad gør Dandomain i forbindelse med datasikkerhedsbrud?
Skulle der mod forventning ske et datasikkerhedsbrud hos os, forpligter vi os til at orientere dig som kunde inden for 48 timer.
Vi orienterer om alle relevante oplysninger, så I kan give anmeldelsen videre til Datatilsynet. Husk, at det skal gøres uden ugrundet ophold og max 72 timer efter, I har fået besked om datasikkerhedsbruddet.
Hele forløbet samt dokumentationen af alle relevante forhold omkring sikkerhedsbruddet er indarbejdet i Dandomains beredskabsplan.
GDPR i Dandomain webshoppen – eksempler på den data, du gemmer om dine kunder
I dette afsnit kigger vi nærmere på features i Dandomain shoppen, som gør det nemmere for dig som webshopejer at efterleve GDPR. Vi gør opmærksom på, at følgende kun omhandler shoppen og ikke tredjepartsintegrationer, så som apps lavet af vores partnere.
Først og fremmest har vi undersøgt, hvad det er for noget data, vi har i shoppen. Hvis vi tænker en lille kunderejse ind i datamappingen, kunne det se sådan her ud:
1. Fra forsiden klikker en kunde ind på et produkt – det vil kunne ses i statistikken ”Who is on” (en Dandomain app).
2. Hvis produktet ikke er på lager, kan kunden bede om at få en mail, når produktet er på lager igen – det vil kunne ses som en lagernotifikation med kundens e-mailadresse.
3. Når kunden køber et produkt, angiver kunden bl.a. navn, adresse og lignende, så produktet kan sendes til rette vedkommende og faktureres.
4. Efter købet vil du som webshopejer kunne se kunden i shoppens kundekartotek.
5. Hvis kunden efter købet vælger at bedømme produktet, vil du kunne se dette under ”Produkt ratings”, såfremt du bruger shoppens egen funktionalitet til dette.
6. Vælger kunden at skrive en anmeldelse, vil du kunne se det under ”Anmeldelser”.
Med andre ord gemmes der persondata følgende steder:
- Who-is-on appen
- På-lager notifikationer
- Ordrer og kunder
- Produktratings og produktanmeldelser
Persondata gemt her kan f.eks. være navn, adresse, e-mailadresse og IP-adresse.
Dette er blot et eksempel på noget den data, du som webshopejer indsamler om kunderne. Der kan selvfølgelig være flere steder i din shop, hvor en kunde kan afgive data - f.eks. nyhedsbrevstilmelding. Dette er du dog selv ansvarlig for at undersøge nærmere, f.eks. ved at mappe al persondata jf. tidligere afsnit.
Sådan håndteres data i Dandomain shoppen
For at efterleve de nye GDPR-regler har vi nu lavet en række af ændringer i shoppen.
Privatlivspolitik
Den nye persondataforordning betyder, at alle skal have en privatlivspolitik, og denne politik skal kunderne give eksplicit samtykke til.
Privatlivspolitikken bliver en ny sektion i Vilkår, og du bør linke direkte til den.
Dandomain har lavet en skabelon til privatlivspolitikken, som du kan rette til og benytte i din webshop. Se linket nederst.
IP-adresser
Vi kommer til at anonymisere IP-adresser fra produkt ratings såvel som anmeldelser. De bruges udelukkede til fraud dectection og kan fortsat bruges hertil, selvom de er anonymiserede.
Håndtering af forespørgsler fra kunder, der vil glemmes og/eller have indsigt
Med GDPR følger også kunders ret til at få indsigt i de persondata, du har om vedkommende – og retten til at blive glemt, altså at du sletter data om kunden.
For at gøre det nemt for dig at efterleve disse forespørgsler kommer vi til at implementere nye funktioner i shoppen på det område.
Det bliver bl.a. muligt at fremsøge kundedata og herefter generere en fil med den pågældende data. Se mockup nedenfor.
Bemærk, at mockups kun er grovskitser, og der kan forekomme rettelser til disse, som du vil se, når ændringerne er udrullet til jeres shop.
Ligeledes bliver det muligt at fjerne kundedata manuelt og – på sigt – også automatisk. Der er ikke et krav om automatisering i GDPR, men det vil gøre det betydeligt nemmere for dig som shopejer at håndtere persondata i din webshop.
Se mockup nedenfor af den manuelle del.
Det er op til jer at tage stilling til, om disse funktioner er nogle, I vil gøre brug af. Vi pålægger jer ikke at gøre det, men vi giver jer muligheden, så I derved nemmere kan efterleve GDPR.
Opsummering af GDPR-tiltag i webshoppen
Kunder skal altså kunne:
- Læse om privatlivspolitikken i en separat sektion i Vilkår
- Ny tekstsektion under Design > Tekster/Knapper > Vilkår
Som shopejer får du mulighed for at:
- Fremsøge og udlevere data ved forespørgsler på indsigt
- Anonymisere og slette persondata for én eller flere kunder
- Manuelt
- Automatisk
UPDATE: Flere features er nu live - du kan læse mere om dem her >>
Hvad med de øvrige systemer jeg bruger?
Dandomain shoppen er sandsynligvis ikke det eneste system, du anvender i din forretning. Da vi som nævnt ikke er juridiske eksperter, kan vi ikke rådgive dig specifikt, omkring hvordan du skal forholde dig til GDPR i forhold til de andre leverandører/systemer/services, du bruger - ja, kort sagt, dine andre databehandlere.
Rigtig mange virksomheder er dog allerede klar med en vejledning omkring, hvordan de forholder sig til GDPR, og ikke mindst hvad du skal gøre.
Vi har samlet en række af de typiske e-handelsværktøjer nedenfor samt links til deres GDPR-vejledninger.
Liste over øvrige e-handelsservices og links til deres politik omkring GDPR
- Mailchimp
- Hotjar
- E-conomic
- Trustpilot
- Billy
- Dinero
- Clerk
- MarketingPlatform
- PayPal
- Heyloyalty
- Raptor
- Ubivox
- PostNord (PacSoft)
- MailMunch
- Shipmondo (Pakkelabels)
Savner du nogle på listen? Skriv gerne i kommentarfeltet, hvis du kender til andre.
Kilder til mere information
På disse sider kan du finde mere information og vejledning til jeres egen GDPR-proces.
- Den officielle lovtekst (på dansk og engelsk)
- Datatilsynet – Databeskyttelsesreformen
- Excel-værktøj til at dokumentere behandling af persondata (den skabelon vi omtalte tidligere)
- GDPR-tjekliste (kan downloades på vores compliance-side)
- Privatlivspolitik-skabelon (kan downloades på vores compliance-side her)