KLUMME: I Danmark har vi i mange år haft regler for beskyttelse af persondata i form af Persondata- og Markedsførings-lovene.

Har man fulgt dem, er tilpasningen til den nye EU-dataforordning lettere at overkomme, for selvom der er nye begreber og bestemmelser, der indskærper beskyttelsen af borgerens data, er formålet med EU-dataforordningen ikke at skabe dataforskrækkelse eller bremse udviklingen af de mange fordele ved big data.

Essensen af forordningen er et paradigmeskifte: I fremtiden er det forbrugeren selv, der ejer sine data, og virksomheder og institutioner får kun lov at låne dem. Og ligesom med alt andet, der er til låns, skal der passes ekstra godt på det.

Derfor ønsker EU også at sende et klart signal om alvoren med de meget omtalte, skærpede sanktioner ved brud på forordningen.

Databrud er alvorligt

Selvom vi endnu ikke kender sanktionerne i en dansk kontekst, er der ingen tvivl om, at myndighederne vil se med større alvor på databrud i fremtiden end tilfældet er i dag. Men der er en speciel dansk vinkel:

Som det fremgår af forordningens pkt. 151, finder dataforordningens bestemmelser om straf ikke anvendelse i Danmark. Det skyldes retsforbeholdet, og vi afventer derfor Justitsministeriets udspil til skærpelse af de nuværende sanktionsmuligheder.

Hvad er så persondata? Persondata er alle typer af data om en person. Det kan være en adresse, et billede, et videoklip, en stemme-optagelse eller viden om en persons alder, kundestatus eller andet. Med andre ord: Alt, der knytter sig 1:1 til en specifik person.

Når din virksomhed skal tilpasse sig dataforordningen, så start med at opgøre, hvilke data I har på jeres kunder, hvad I bruger dem til, og deres nødvendighed relativt til risikoen for at gå på kompromis med forbrugerens privatliv.

Unødvendige data bør slettes og indsamlingen bør ophøre. De data, I skal bruge, bør I til gengæld sikre er korrekte. Så har virksomheder ikke en opdateringsprocedure i dag, så få lavet én.

NU kræves et aktivt samtykke

Forordningen opfordrer til, at man nøjes med at indsamle data, der anvendes i forholdet til den person, data indsamles om. Og det skal læses og forstås sammen med principperne om formålsbegrænsning og dataminimering.

Det betyder bl.a., at der kun må stilles krav til kunden om at afgive de oplysninger, der er nødvendige for at opfylde kundeforholdet, mens andre data må indsamles på frivillig basis. Samtidig skal kunden aktivt give samtykke til, at data anvendes, hvis det ikke er de førnævnte nødvendige data for at kundeforholdet kan eksistere.

Din virksomhed skal med andre ord skelne mellem de data, der er ”need to have”, som fx adressen til en abonnementsordning med hjemmelevering, og de data, der er ”nice to have”, som fx viden om kundens familie-type, alder eller indkomst.

Når data indsamles, skal du også gøre det let for kunden at gennemskue, hvad der er hvad, så det samtykke, kunden giver, gives på et fuldt oplyst grundlag.

Forbrugeren skal kunne få indsigt i, hvilke data, der lagres

Når I som virksomhed behandler og opbevarer kundens data, skal I respektere kundens råderet over data. Kunden skal kunne få indsigt i, hvilke data, der lagres, og hvordan de anvendes.

Kunden skal til enhver tid kunne trække sit samtykke til brugen af data tilbage, ligesom det skal være muligt – med princippet om dataportabilitet – at få udleveret sine data og tage dem med til fx et konkurrerende firma. Og så skærpes bestemmelserne om, hvor længe data må opbevares efter et kundeforhold er ophørt, så husk at få tilpasset jeres IT-systemer.

Sørg også for at gøre det let for jer selv ved at indbygge persondatabeskyttelse i jeres løsninger fra start. Kun relevante medarbejdere skal have adgang til data i den periode, adgangen er relevant, og ingen skal kunne komme til at registrere eller frigive persondata ulovligt ved en fejl. I skal dokumentere begge dele.

Gennemgå aftalerne med jeres databehandlere og andre samarbejdspartnere, der kommer i kontakt med de persondata, I lagrer: Opfylder de kravene i forordningen? Uanset om virksomheden måtte befinde sig i eller udenfor EU, gælder forordningens bestemmelser så snart, der behandles data om EU-borgere eller personer, som befinder sig i EU.

Find også ud af, om din virksomhed behandler persondata i et omfang, så I skal have en databeskyttelses-rådgiver (en DPO).

Stadig mange marketing muligheder

Selvom dataforordningens bestemmelser skærper reglerne for opbevaring og behandling af persondata, er det ikke enden på kundeanalyser. Der er stadig mange muligheder for at arbejde med data, fx aggregeret til statistik eller i anonymiseret form.

Når data er gjort ikke-personhenførbare, kan din virksomhed opbevare data så længe, I har lyst, og de kan bearbejdes og kobles på kryds og tværs til at skabe indsigt i kundernes adfærd og præferencer.

Det er også stadig tilladt at koble statistiske data til kundedatabasen, så klassifikationssystemer som conzoom® eller personaer stadig kan anvendes til at segmentere kunderne.

Så længe en kunde har et aktivt kundeforhold, kan der endda gives samtykke til, at data anvendes på personniveau, så sørg for at kunden ser værdien og fordelen ved at give din virksomhed lov til at bruge data. Så minimerer du risikoen for, at de trækker samtykket tilbage, og din virksomhed opnår en større en legitimitet.

Og så til sidst: Respektér forordningen, men frygt den ikke. Forordningen understreger behovet for, at dataetik står øverst på din virksomheds dagsorden. Så tøv ikke med at komme i gang med at tilpasse din virksomhed til den nye virkelighed.

Der er dog ingen grund til at gå i panik, for så længe du husker, at din kundes persondata skal behandles med omtanke, kan du også indsamle og anvende dem efter maj 2018.