Ok GDPR, hva gjør vi helt konkret — oppsummert med tre punkter — slik at du skal bli happy?
Noen hadde nok kanskje håpet at GDPR bare forsvant i løse luften siden vi skrev om det her på Butikkeier for ganske nøyaktig ett år siden.
Nope, GDPR har overlevd alle de søvn-dyssige foredragene, de diffuse artiklene og alle andres forsøk på å tolke hva GDPR egentlig betyr.
Så, har folk forstått hva man faktisk skal gjøre i forhold til GDPR, spesielt om man har nettbutikk?
Ikke helt, virker det som.
Så med GDPR fortsatt plassert midt på banen; hva gjør man som nettbutikk helt konkret for å holde seg innenfor lovverket?
Først og fremst; det er ikke så ekstremt komplisert som man kan få inntrykk av dersom man spør feil folk.
Følg punktene nedenfor så skal du være ganske så safe.
Steg 1 — Ta inn over deg hva GDPR faktisk er
Mange fatter fortsatt ikke helt hva GDPR egentlig er, så here we go:
GDPR er, som forkortelsen litt utydelig beskriver, en regulering i forhold til å sikre at personvernet — dataene som kan knyttes til en konkret person — blir ivaretatt på tryggest mulig måte, og ikke misbrukt til noe dine brukere ikke har bedt om.
Hva er persondata, spør du?
Personopplysninger er opplysninger eller vurdering som kan knyttes til deg som enkeltperson, som for eksempel navnet ditt, adressen din, telefonnummeret, epost-adressen, IP-adressen din, bilnummeret, bilder av deg, fingeravtrykk, irismønster og selvsagt fødselsnummeret ditt. Selv hodeformen din regnes som persondata, da den kan brukes til ansiktsgjenkjenning.
Opplysninger om atferdsmønstre er også regnet som personopplysninger. Altså hva du handler, hva du ser på TV, hvor du beveger deg i løpet av en dag og hva du søkte på er også personopplysninger, dersom de kan knyttes til deg som person.
GDPR omhandler altså langt mer enn bare nettbutikker og nettsider. Stort sett alle selskaper og organisasjoner faller inn under GDPR, og må gjøre tilpasninger deretter.
Okey, hva betyr det for meg som nettbutikk-eier?
Alle nettbutikker samler inn personopplysninger, ingen unntak. Det betyr at du som nettbutikk-eier må ta en aktiv rolle i å løpende passe på at du ikke misbruker dataene du samler inn, og at du heller ikke samler inn noe data som brukeren ikke aktivt har gitt samtykke til.
Du kan for eksempel ikke bare sette opp heatmap sporing eller video recording med Hotjar av dine besøkende uten at det er tydelig beskrevet i Personvernopplysningene om nettsidene dine at du gjør dette, og hvorfor.
Du kan heller ikke bare sende ut nyhetsbrev til personer som ikke har gitt samtykke til dette.
Det er forøvrig her viktig å understreke at det å kreve samtykke til å sende markedsføringsmateriell er noe vi har hatt i Norge i mange år, som du kan lese mer om her, gjennom den eksisterende Markedsføringsloven. GDPR har nok bare fått mange til å våkne og til å skjerpe sine egne rutiner for innsamling av blant annet epost-adresser.
Pugg og lær deg den viktigste GDPR-terminologien
Foruten selve GDPR-forkortelsen, som står for General Data Protection Regulation, har GDPR med seg et lite knippe ord og uttrykk det er viktig at man har kontroll på.
Behandlingsansvarlig. Dette er deg og din virksomhet. Dere er den som er ansvarlig for behandlingen av persondata. Ingen andre.
Databehandler. Dette er en leverandør som behandler persondata på vegne av dere. Dette kan være Trollweb, som drifter nettsidene, eller det kan være Emarsys eller MailChimp, som drifter epost-listene.
Databehandler-avtale. Dette er enkelt og greit en avtale som regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles. Alle Trollweb sine kunder kan på forespørsel få tilsendt vår databehandler-avtale (send epost til support@trollweb.no). For alle andre leverandører man bruker (MailChimp, Bronto, Nosto, Facebook, Google Adwords, osv) må man selv eventuelt be om å få tilsendt en databehandler-avtale fra respektive leverandør.
Steg 2 — Lag dokumentasjon på at du tar GDPR seriøst
Ethvert positivt forsøk på å følge aktuelle lover og regler har stor betydning for en eventuell reaksjon fra myndighetene. De som gir blanke f* i GDPR, og ikke kan vise til noe dokumentasjon eller rutiner rundt GDPR, stiller langt svakere enn de virksomhetene som kan vise til at de har gjort det de kan for å følge de nye spillereglene dersom de blir kalt inn til sides for kontroll.
Datatilsynet, som er det norske organet som skal påse at alle virksomheter følger GDPR-kravene, sier rett ut at de legger stor vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet.
Bruk derfor et par dager på å skrive følgende dokumenter og lagre dem trygt et sted hvor det er enkelt å hente dem frem og vise til Datatilsynet dersom de mot all verdens formodning banker på døren (les: sender brev) og ber om dette;
Dokument 1: Hvordan vi tar vare på våre brukere (public doc)
I dette dokumentet beskriver dere blant annet hva slags tjenester dere bruker ut mot kunden og hvilke data dere lagrer på den enkelte brukeren.
Oversikt over alle systemene som brukes, der persondata er involvert. Bruker dere Magento som netthandel-plattform beskriver dere dette, og at dere lagrer kundeinformasjon på ordren. Bruker dere i tillegg for eksempel Sleeknote så beskriver dere at dere viser popup for valgfri påmelding til nyhetsbrev. Bruker dere Klarna Checkout beskriver dere at dere sender kunde-opplysningene videre til Klarna, og at dette er nødvendig for dem å kunne utstede faktura osv.
Oversikt over alle Cookies (“Informasjonskapsler” på godt norsk). Ingen non-tekniske personer (les: kundene dine) fatter hva dette er, men GDPR sier man skal oppgi alle cookies man bruker på nettsidene sine. Et godt eksempel på en slik oversikt er Datatilsynets personvernerklæring (scroll ned til “Informasjonskapsler”-kapittelet), https://www.datatilsynet.no/om-datatilsynet/personvernerklaering-nettsidene/. Merk at det er dere selv som er ansvarlig for å samle og holde oversikt over alle cookies som brukes på nettsidene. Din netthandel-leverandør, som Trollweb, vil aldri samle og holde oversikt over alle cookies den enkelte nettbutikken bruker, og dette er forskjellig fra nettbutikk til nettbutikk. Denne Chrome pluginen gir god oversikt over alle aktive cookies så kjør den på dine egne nettsider (forside, produktside, kasse, ordrebekreftelse) der du noterer ned hver enkelt cookie som brukes, og kort hva den enkelte gjør. Pass på å skru AV eventuelle Adblock plugins først, da de kan blokkere en del cookies. Er du usikker, kontakt antatt leverandør av cookien — eller kontakt Trollweb kundeservice for å få bistand. Merk at all bistand rundt GDPR selvfølgelig belastes etter medgått tid.
Hey, betyr dette at vi kan droppe cookie-popups?! Ja, som vi skrev for flere år siden da vi forklarte Cookie-loven så sa vi vel aldri at man på død og liv skal ha en meningsløs popup man får midt i fleisen og som ingen fatter noe av likevel. Vi gjentok dette i vår nye artikkel om cookies og samtykke tidligere i 2018.
Datatilsynet sier — litt motvillig — at dersom man har skrudd på at man tillater cookies i nettleseren så har man godtatt at nettstedet bruker cookies for å levere sine tjenester. Så, få bort alle meningsløse cookie popups en gang for alle.
Alle persondata bedriften håndterer er underlagt GDPR. Merk at GDPR ikke bare skal sikre personvernet til dine kunder. Også dine ansatte skal dekkes av GDPR, så som informasjon om hva som lagres på den enkelte ansatte i lønnssystemet, eventuelt intranett ol. Denne typen informasjon kan med fordel lagres i et eget internt dokument.
Har du samtykke fra den enkelte? Pass på at du har samtykke fra den enkelte mottakeren av nyhetsbrevene dine til å sende. Har du bare importert epostene uten å spørre om lov fra den enkelte først, må du sende ut en epost der du ber dem godkjenne at de fortsatt skal være i epost-listen din. Epost-systemer som MailChimp har bygget veldig god funksjonalitet for å gjøre akkurat dette.
MEN, Husk at du IKKE nødvendigvis MÅ be om nytt samtykke fra alle nyhetsbrev-mottakerne dine. Les svar på denne myten hos ICO-myndighetene: https://iconewsblog.org.uk/2018/05/09/raising-the-bar-consent-under-the-gdpr/
Finne det noe dokument-mal for dette? Ja, et godt tips til hvordan dette dokumentet skal beskrives er å enkelt og greit bare følge Datatilsynets personvernerklæring, som man må forvente at skal holde seg godt innenfor lovverket: https://www.datatilsynet.no/om-datatilsynet/personvernerklaering-nettsidene/
Bruk dette dokumentet både internt og som din Personvernerklæring ute på nettsidene. Dette dokumentet bør være det samme som Personvernerklæringen brukerne kan lese via en link nederst på nettsidene så her har man gode muligheter for å slå to fluer i en smekk.
Dokument 2: Avvikshåndtering og rapportering (intern doc)
Et dokument som beskriver hva dere som virksomhet gjør dersom persondata kommer på avveie. For eksempel dersom noen får tilgang til databasen med alle kundene, enten Magento eller MailChimp eller annet. Dette er jo ting som aldri skal skje, men som kan skje i en IT-verden, og der selv Facebook gikk på en kraftig smell for bare noen måneder siden.
Datatilsynet har beskrevet alt som minimum skal være med i avvikshåndtering-rutinene, så her er det bare å copy+paste fra deres egne nettsider så er man home safe: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/?id=7385
Dokument 3: Rutiner for å hente ut- eller fjerne persondata
Beskriv rutine for hva dere gjør dersom en kunde ber om alle opplysninger dere har lagret på personen. I forhold til Magento er det basically å gå inn i Magento Admin, søke opp kunden i Kunderegisteret, og hente ut skjermbilde av denne oversikten, samt å hente ut alle ordrer på kunden.
Trollweb har moduler som kan hjelpe med dette for de av våre kunder som forventer å få titalls slike henvendelser hver uke, men for de fleste er det enkleste bare å hente ut dette manuelt i de ytterst få tilfellene dette skjer. Samme gjelder forespørsler som går på å slette kunden. En kunden kan ikke kreve at ordrer slettes, da dette er underlagt bokføringsloven — som trumfer GDPR-loven, men de kan slettes fra kunderegisteret, epost-lister og liknende. Dette bare gjør dere manuelt, men påse som sagt at dere har en dokumentert rutine på det.
Datatilsynet har nylig publisert en oppdatert oversikt over oppgavene man må gjøre ift GDPR, som vi anbefaler sterkt å lese gjennom: https://www.datatilsynet.no/regelverk-og-skjema/behandle-personopplysninger/startpakke-for-nye-virksomheter/
Steg 3 — Eh, var det alt?
Ja. Basically.
Så, oppsummert:
- Ikke samle mer informasjon om kundene dine enn du behøver
- Pass på at kundene dine samtykker i påmelding til nyhetsbrev og liknende, og er du får loggført fra hvor og når påmeldingen skjedde
- Bruk et par dager på å skrive noen gode rutine-dokumenter samt en god personvern-tekst (uten kryptiske setninger), og link til denne nederst på alle sidene
- Dropp alt som heter popups
- Ikke send ut mail til alle epost-mottakerne dine om at de må bekrefte på nytt — sjekk at det faktisk er nødvendig først
- Oppfør deg fint overfor alle dine kunder :-)
Se foredraget vår advokat i Visma holdt på vår siste Meetup
Det er mange gode spørsmål og svar på slutten av dette foredraget, så fyll gjerne opp kaffekoppen og hør gjennom hele dette.
Det anbefales også å lese gjennom artiklene skrevet av advokat Jan Sandtrø, en av Norges aller fremste advokater på IT/teknologi, derav også GDPR.
Ønsker du mer informasjon?
Du kan lese mer om GDPR hos stort sett alle leverandører du bruker. For Magento sin del finner du dette på https://magento.com/gdpr. Har du andre spørsmål relatert til GDPR? Send en epost til support@trollweb.no :-)
