Hvad er GDPR overhovedet?
I maj 2018 trådte EU’s nye lovgivning om beskyttelse af persondata i kraft. Det hedder General Data Protection Regulation og forkortes som regel GDPR.
GDPR stiller nye krav til indsamling og håndtering af data om EU-borgere. I korte træk skal virksomheder fremover:
- have skarp kontrol med, hvor persondata gemmes og hvor de anvendes
- have særlige it-værktøjer, der skaber transparens i data, logger ændringer og kan rapportere på håndteringen af data
- have særlige data-politikker og -processer, der kan give de enkelte personer kontrol over deres egne data.
Hvad er overhovedet persondata?
Persondata er information, som kan relateres til en specifik person. Persondata kan være navn, e-mail, data fra sociale medier, fysisk, psykologisk eller genetisk information, medicinske data, kulturel identitet, lokationer, bankoplysninger, IP-adresse og Cookies.
GDPR stiller meget strikse krav til vores it-systemer og vores virksomheds interne politikker om, hvordan data håndteres.
Disse er inddelt i tre overordnede emner.
1. Personligt privatliv (Privacy)
Ifølge GDPR har personer følgende rettigheder vedrørende de data, som vi gemmer om dem:
- skal kunne få adgang til data
- skal kunne rette fejl i persondata
- skal kunne slette deres data
- skal kunne gøre indsigelse mod behandling af deres persondata
- skal kunne eksportere deres persondata
Det er langt fra simpelt. Det er i virkeligheden en udvidet og selvbetjent aktindsigt, der principielt kræver en særskilt kundeportal, hvor alle kan logge ind for at se, ændre, slette og eksportere data, eller klage.
2. Kontrol og advisering
Som virksomhed skal vi
- Beskytte persondata med passende sikkerhedsforanstaltninger
- Advisere myndighederne ved brud på sikkerheden
- Indhente passende samtykke til at behandle data
- Have sporbarhed i databehandlingen
3. Politikker for transparens
Som virksomhed skal vi kunne:
- Give dig en eksplicit notifikation om indsamling af data
- Beskrive formål med databehandlingen
- Kommunikere en politik for hvornår data gemmes og slettes
Vi skal advisere kunder om hvad vi har tænkt os at gøre med dine data og dermed give fuld transparens.
For at opfylde kravene til denne transparens skal vi som virksomhed
- Formulere en overordnet datapolitik og definere arbejdsprocesser
- Sikre at IT-systemer lever op til sikkerhed og processer
- Etablere adgang for personer til egne data
- Uddanne medarbejdere der har adgang til persondata
- Eventuelt ansætte en Data Protection Officer
- Udarbejde politikker for transparens, kontrakter og betingelser for samtykke
- Overvåge overholdelse af datapolitikker og advisere myndigheder om brud
- Revidere og opdatere datapolitikker
Således altså de nye EU-krav omkring datahåndtering.
Det afgørende spørgsmål er, hvordan vi som virksomhed kan efterkomme disse krav i praksis.
GDPR i vores lille virksomhed – en tur i virkelighedens verden
Vi er en lille virksomhed og har ikke mange tusinde kunder.
Alligevel skal vi bruge tid og ressourcer på at sætte os ind data-regler, som kræver juridisk og teknisk indsigt langt ud over det rimelige.
Reglerne er ikke mindst lavet fordi store multinationale selskaber misbruger dine data. Kravene rammer nu små erhvervsdrivende, som blot forsøger at give god kundeservice.
Vi gør vores bedste for at behandle ALLE kunder med respekt. Det har vi gjort, siden vi startede vores virksomhed.
Vi gemmer kun data for at yde kunder og samarbejdspartnere den bedst mulige service.
Vi har forsøgt at skrive hvad vi gør, så alle kan forstå det. Også os selv.
Følgende data gemmes hos os:
Navn
Ja, det ville lyde underligt at skrive hej ID73621 istedet for “Kære Torben” – så derfor gemmer vi dit navn.
Det er ikke sikkert, det er det fulde navn og det er heller ikke sikkert, at det er det rigtige.
Det er nemlig det navn, du selv har oplyst, når du har skrevet til os via mail, sms, messenger, et kommentarfelt eller andre digitale platforme.
CPR-nummer
Vi gemmer aldrig dit CPR-nummer – og vi beder heller ikke om det.
Adresseoplysninger
Ja, vi gemmer i visse tilfælde din adresse med gadenavn, postnummer og by.
Eksempelvis når du har købt en bog, som skal sendes til dig. Hvordan skulle posten ellers vide hvor produktet skulle hen?
Vi gemmer også din adresse, så vi kan sende en faktura til dig.
Mail
Ja, en meget stor del af vores kommunikation med kunder foregår via mail. Hvis ikke mailprogrammer som Outlook gemte din adresse, når du skrev til os, ville vi ikke kunne svare tilbage.
Vi har også en hel del modtagere på listen til vores nyhedsbrev. I hvert eneste nyhedsbrev er der en knap, hvor du let kan afmelde dig.
Vi har INGEN interesse i at spamme dig eller på anden måde generere dig digitalt. Det er almindelig høflighed, at man ikke generer folk – og da slet ikke uden tilladelse. Måske har du glemt, at du har tilmeldt dig – den slags forekommer også hos os – men du kan ALTID afmelde dig let og uden omkostninger. Altid.
Telefonnummer
Ja, sommetider har vi også dit telefonnummer. Måske har du ringet til os og fået support via telefonen. Det kan også være, at du har sendt nummeret til os i en mail og bedt os om at ringe. Og nej, vi har ikke et avanceret telefonsystem med kø-håndtering eller optageudstyr. Vi har en helt almindelig iPhone, som vi gør alt for at svare så hurtigt som muligt. Og misser vi et opkald eller har du lagt en besked fordi vi sidder i møde, så kan vi altså godt finde på at ringe tilbage til dig. Men kun hvis du har bedt os om det.
Bankoplysninger
Ja, i visse tilfælde gemmer vi bankoplysninger, eksempelvis hvis du er leverandør til os. Det kunne være en grafiker, et trykkeri, en korrekturlæser eller anden som vi skal betale for hjælp. I disse tilfælde gemmer vi selvfølgelig dine bankoplysninger, for hvordan skulle vi ellers kunne betale dig?
Som kunde i vores lille butik kan du betale med kreditkort. Det foregår via vores samarbejdspartner, der håndterer betalingen. Vi har adgang til et administrationssystem, hvor vi kan se dit navn og dele af dit kortnummer – men altså ikke hele dit kort. Vi bruger KUN disse informationer til at se om du har betalt eller ej. Og dette adminsystem har IKKE adgang til andre oplysninger hos os.
Cookies
Vores websites bruger cookies. De kan ganske enkelt ikke undgås, hvis du vil have en brugbar hjemmeside til dine besøgende.
Du bestemmer selv hvordan du besøger os – og hvilken browser og platform du bruger. Og nej, vi har ikke styr på det, hvis Google (chrome) eller Microsoft (edge) eller andre pludselig laver om i deres browsere og gør noget, som vi ikke aner noget som helst om.
Vi bruger blandt andet cookies til at holde styr på hvilke artikler, der læses. Det er sådan vi bliver bedre til at skrive artikler, du gider læse. Og luge ud i dem, som ingen ser. Den slags foregår på et overordnet, generelt niveau og dine cookies kan du ALTID slette.
Hvor meget ved I om mig?
Det kommer lidt an på hvem du er. Nogen har vi kun et navn på, en brødkrumme i form af en cookie, andre en mailadresse eller et telefonnummer. Andre gemmer vi lidt mere data på, eksempelvis en kontrakt, et manuskript eller en mail. Men vi gør det kun for at kunne yde den bedst mulige service.
Sælger I mine data til andre?
Nej!. Vi bruger alene dine data til at yde den bedste mulige service. Det skrev vi også før, men det er værd at gentage. Vi høster ikke data i ukritiske mængder og vi sælger ikke dit digitale DNA til andre.
Kan mine digitale fodspor hos jer bruges af andre?
Ja.
Det er det korte og ærlige svar, som du helt sikkert ikke får hos andre.
Vi ville ønske det ikke var sådan, men i praksis afhænger det af dine privatlivsindstillinger eller sikkerhedsniveau i din browser, din iPhone, dine computere eller andre digitale gadgets.
Måske registrerer din browser, at du har besøgt forfatterskabet.dk og læst et forfatterportræt om Jussi Adler Olsen. Næste gang du besøger en digital boghandel får du måske tilbudt en titel fra netop den forfatter. Eller du får vist bog-annoncer på et af de mange andre websites, du besøger i din daglige færden på nettet.
Den slags har vi desværre ingen indflydelse på, og derfor kan vi heller ikke garantere, at dine præferencer for at læse bøger ikke bliver brugt af andre til at markedsføre et produkt online.
Jeg vil bare gerne slettes helt fra jeres systemer!
Hvis du ikke bryder dig om vores nyhedsbrev, er det blot at afmelde det. Der er links i alle nyhedsbreve til netop det.
Hvis du have alle dine data hos os slettet, så skal du blot skrive til os på info@forfatterskabet.dk
Forbehold, undtagelser, bortforklaringer og andre undskyldninger på forhånd
GDPR er sikkert et udmærket skridt i håndtering af data.
Det burde ikke være nødvendigt, men på den anden side burde det heller ikke være nødvendigt med lås på døren. Men det er det jo som bekendt. Det er den pris, vi andre betaler, fordi nogle ikke opfører sig korrekt.
Vores personlig holdning er dog, at GDPR og andre tiltag er et fatamorgana inden for digital sikkerhed.
Med GDPR er det principielt vores ansvar, at dine kundedata ikke misbruges. Men det er reelt en garanti, som man ikke kan udstede.
Vi anvender sikkerhed i vores systemer. Mange af dem er via eksterne leverandører, herunder backup, firewall, antivirus, projektstyringsværktøjer, office-programmer og mailsystemer.
Vi har valgt nogle af markedets bedste og mest anerkendte udbydere, og de går alle op i sikkerhed. MEN vi kan ikke garantere, at der ikke kan ske nedbrud, personsvigt, hacking eller andre digitale svipsere hos dem. Sker dette, vil det naturligvis have indflydelse på dine data. Hvordan skulle vi nogensinde kunne udstede en garanti for, at det ikke kunne ske?
Vi tager sikkerhed alvorligt, men …
Vi går med livrem og seler i vores digitale adfærd. Vores arbejdscomputere er beskyttet med den nyeste firewall og antivirus, og vi bruger som sagt leverandører, der også tager datasikkerhed alvorligt.
Vi kunne sagtens udstede en garanti for dine data, sådan som GDPR forlanger. MEN – og det er et vigtigt men – det er ikke muligt i praksis. Vores kontor kunne blive udsat for indbrud, vores arbejdscomputere blive stjålet og verdens bedste hackere kunne sætte sig for at bryde vores adgangskode og derpå stjæle alle kundedata. For en dygtig hacker eller international sikkerhedstjeneste ville den slags tage så kort tid, at vi næppe ville opdage det. Endsige kan gøre noget som helst ved det.
Vi kan aldrig garantere, at sikkerhedstjenester eller efterretningsorganisationer ikke logger dine oplysninger, uanset hvor meget vi sletter. Eller ved hvem du er og hvor du er. Det er desværre den digitale verdens vilkår.
Det er et våbenkapløb i digital sikkerhed, som vi har tabt på forhånd, da vi i praksis ikke har nogen mulighed for at matche budgetterne hos hackere eller nationale sikkerhedstjenester. Alene amerikanske NSA har et årligt budget på omkring 10 milliarder dollars.
Skulle vi matche dette, ville vores produkter blive usælgeligt dyre.
Vi er ikke perfekte
Vi er to mennesker i forretningen – tvillingerne Søren & Morten Ellemose. Vi gør vores bedste og knokler mange timer hver uge. Men vi er IKKE maskiner.
Sommetider glemmer vi noget. Sommetider misser vi en deadline. Sommetider begår vi fejl. Det er en del af det at være menneske. Det kan endda være, at vi har misforstået hele (eller dele) af alt det GDPR-halløjsa.
Det er det eneste vi beder dig forstå og acceptere, når du samarbejder med os:
Vi er to mennesker, som drømmer om at føre en anstændig forretning med respekt for kunder, leverandører og samarbejdspartnere – hvis noget kan gøres bedre, så skriv til os.
Vi forsøger at være ordentlige mennesker i alle livets facetter, også forretningslivet.
Måske er du ikke enig med os. Måske er datamyndighederne hos EU heller ikke.
Men nu ved du i det mindste hvad du kan forvente som kunde hos os vedrørende dine data.
Velkommen til.
