GDPR. Fire bogstaver. Det er alt hvad der skal til for at forvandle selv de mest erfarne webshop-ejere med stålsatte øjne til omvandrende spørgsmålstegn med bekymringsrynker så dybe, at de truer med at efterlade et varigt aftryk i ansigtet på den nu modløse ejermand. GDPR (General Data Protection Regulation) er den europæiske persondataforordning, som trådte i kraft i Europa 25. maj 2018. Formålet er at give forbrugerne kontrol med de personlige oplysninger, der afgives, til eksempelvis webshops.
Virksomheder som ikke lever op til forordningen risikerer kæmpebøder fra Datatilsynet, som er tilsynsmyndigheden i Danmark. Så GDPR er en vigtig del af det at have en webshop, men hvordan bør du gribe det an? Vi har spurgt Kevin Peter Gade fra konsulentvirksomheden Open Company, hvor han også arbejder som GDPR rådgiver.
Allerførst har han et budskab til dig, der er så GDPR-forvirret, at du har mistet al tænkelig ansigtsfarve, og er i tvivl om den nogensinde kommer tilbage.
– Der er ingen grund til at gå i panik. Skab et overblik og løs de vigtigste opgaver først. For de fleste webshop-ejere kræver det ikke mere end et par dages arbejde, siger han.
Grundprincipperne i GDPR
Helt overordnet bygger persondataforordningen på fire grundprincipper:
- Virksomheder skal have overblik over og kunne redegøre for, hvilke oplysninger, som kan forbindes med konkrete personer, der indsamles, hvilke, der eventuelt videregives til andre virksomheder (databehandlere) og hvad oplysningerne bruges til. Indsamlingen kræver brugerens accept.
- Kunder og andre har ret til indsigt i, hvilke oplysninger der er registreret om dem. De har også ret til at få flyttet eller slettet oplysninger.
- Når oplysningerne ikke længere er relevante i forbindelse med det konkrete kunde- eller medarbejderforhold skal de slettes.
- Virksomheder skal kunne redegøre for de tiltag, der er gjort for at opbevare oplysningerne sikkerhedsmæssigt forsvarligt.
1. Få overblik over den data, du har liggende
Et godt sted at starte, er at få overblik over alle de personlige oplysninger, du har liggende. Ikke bare tidligere ordrer i din webshop, men også i alle firmaets mails, filer på computere, backups og så videre.
– Første skridt er at danne sig et overblik over, hvilke oplysninger, der kommer ind, i hvilke systemer de bliver samlet og hvem, der har adgang til dem, siger Kevin Peter Gade, der foreslår, at man bruger en regnearksskabelon som den her til at skabe sig overblikket.
Besøg din webshop som en kunde, og noter alle de data, der kommer ind, i købsflow, kundeserviceflow, fysiske butikker, retuneringsflow og hvor der ellers bliver afgivet data. Husk, at det ikke bare gælder kundekontakten, men også når du hyrer og fyrer medarbejdere og så videre. I hvilke systemer havner oplysningerne, og hvem har adgang til dem? Bliver oplysningerne slettet igen? Hvis ja, hvornår? Tjek også, at du har grundlag i loven for at registrere oplysningerne.
Brug skabelonen til at gennemgå alle de oplysninger, der bliver afgivet i alle virksomhedens processer og noter i den undervejs. Med udfyldte skabeloner kommer du meget langt i at opfylde forordningens krav om at have en oversigt over, hvordan virksomheden behandler data. Se Datatilsynets vejledning til persondataforordningens artikel 30 om dokumentationskravene til oversigten (se linket under “Gode links” nederst i denne artikel.)
2. Ryd op i de data, du ikke længere har brug for
Anonymiser eller slet de oplysninger, der ikke længere er brug for. Det kan eksempelvis være ordreoplysninger, kundeservicemails og kundekonti, der ligger mange år tilbage. Det gælder alle virksomhedens medarbejdere. Alle medarbejdere skal rydde ud i oplysninger, de har liggende.
3. Lav databehandleraftaler med underleverandører
Alle moderne webshops, bruger andre virksomheders systemer til at håndtere en lang række ting. Det kan være regnskab, kundehenvendelser, statistik og nyhedsbreve for bare at nævne nogle få. På GDPR-sprog er de underdatabehandlere, og dem skal du have aftaler med.
– Lav en liste over dine underdatabehandlere, og i hvilke lande de gemmer data. Store tjenester som Google og lignende har lavet en standardaftale, du bare kan tilslutte dig, fortæller Kevin, der anbefaler, at du i andre tilfælde bruger Datatilsynets standardaftale med dine databehandlere, forklarer Kevin.
4. Saml informationerne nogle få steder
Når du har fået et overblik over, hvilke data, der indsamles, er det nemmere at samle dem i få systemer, som eksempelvis et regnskabsprogram, administrationsdelen til din webshop og et kundesystem.
– Ved at samle data så få steder som muligt, bliver det nemmere at håndtere, hvis nogen henvender sig og vil have indsigt i de registrerede oplysninger, eller have oplysningerne helt slettet, opsummerer eksperten fra Open Company.
5. Styr på sikkerheden
Skriv alle de ting ned, du har gjort for at sikre opbevaringen og omgangen med personlige oplysninger. Det kan være sikkerhedsforanstaltninger som totrinsbeskyttelse på digitale systemer, kryptering af mobiler, bærbare computere, alarm på kontoret og ikke mindst automatiske opdateringer af webshop-platformen. Sørg for, at dine medarbejdere også holder sig opdateret omkring virksomhedens sikkerhedspolitik.
– Det er et krav i GDPR, at man gør hvad man kan for at minimere sikkerhedsrisikoen. Det kan man dokumentere ved at lave et dokument, der punkt for punkt redegører for sikkerhedstiltag, forklarer Kevin Peter Gade.
6. Skal du have en DPO?
På nettet har der været en del forvirring om, hvilke virksomheder, der skal have en data protection officer (DPO). Som udgangspunkt er det ikke nødvendigt for små, private virksomheder – med mindre virksomheden behandler store mængder data, som eksempelvis hostingvirksomheder. Vælger man at ansætte en DPO, eller hyre en ekstern konsulent til at varetage opgaven, bliver vedkommende kontaktperson vedrørende alt omkring persondata for både virksomhedens medarbejdere, kunder og ikke mindst for Datatilsynet, der er den tilsynsførende myndighed i Danmark. Selvom man ikke har brug for en DPO, kan det være en god idé at udpege en databeskyttelsesvejleder i virksomheden, der har det overordnede ansvar for, at GDPR bliver overholdt.
7. Opdater privatlivspolitikken
For nogle år siden blev det et krav, at hjemmesider har en klar cookiepolitik. Med GDPR er det udvidet til også at omfatte persondatapolitik, som brugeren skal acceptere. Grundlæggende skal privatlivspolitikken gøre rede for: hvilke data, der indsamles, hvad de bruges til, hvem de bliver delt med (underdatabehandlere) og rettighederne i forhold til indsigt, flytning og sletning af persondata.
– For webshops er privatlivspolitikken et helt grundlæggende dokument på linje med handelsbetingelserne, Kevin Peter Gade.
Hvis det virker uoverskueligt, er det en overvejelse værd at webshoppen bliver en del af e-mærket. Som en del af medlemskabet sidder der jurister klar til at hjælpe med udformningen af politikker, samtykkeerklæringer og så videre.
8. Gennemgå alt mindst én gang om året
Processorerne i din webshop ændrer sig formentlig løbende. Derfor bør du gennemgå dem alle, mindst én gang om året for at sikre, at du stadig opfylder GDPR. Arbejdet er ikke gjort “bare” fordi du får styr på det lige nu og her.
Gode links:
Open Company om GDPR.
Gratis overbliksskabelon fra Henning Mortensen, chief informations security officer, Brdr. A&O Johansen.
Gratis skabelon til cookie- og privatlivspolitik
Gratis skabelon til databehandleraftale fra Datatilsynet.
Vejledninger og skabeloner om GDPR fra Datatilsynet.