Farvel til Google Analytics eller ej?
Datatilsynet har erklæret Google Analytics ulovligt i den form, som findes på mange hjemmesider. Læs med her for at få et overblik over situationen...
Vi vil dog gerne starte med at gøre opmærksom på, at ScanNet IKKE er juridiske eksperter. Er du i tvivl om noget, eller har du specifikke spørgsmål til forordningen, anbefaler vi derfor, at du konsulterer en juridisk rådgiver.
Vi gør ligeledes opmærksom på, at dette blogindlæg ikke må betragtes som en facitliste, og at det i sidste ende er dit eget ansvar at have styr på reglerne og leve op til dem.
GDPR er en forkortelse for den nye europæiske persondataforordning: The General Data Protection Regulation.
Den 25. maj 2018 træder forordningen i kraft i alle EU-lande, herunder Danmark.
Forordningen har til formål at sikre bedre beskyttelse af EU-borgeres data og gælder alle virksomheder og organisationer, som opbevarer personlige data om borgere i Europa.
Persondataforordningen handler kort sagt om at have styr på sin databehandling.
Der er flere fordele i at efterleve den nye persondataforordning: (også inden den træder i kraft)
Det er vigtigt at have styr på, hvad persondata egentlig er, når vi snakker om den nye forordning.
Persondata er enhver form for information om en identificeret eller identificerbar fysisk person. Persondata skal forstås bredt og omfatter alle oplysninger, der kan henføres til en fysisk person – også selvom der skal anvendes særlige hjælpemidler til at identificere personen.
Persondata er altså informationer, som kan føres tilbage til en person.
Der er to typer af persondata: Almindelige personoplysninger og følsomme personoplysninger.
Almindelige personoplysninger kan være følgende: (listen er ikke udtømmende)
Følsomme personoplysninger er: (dette er en udtømmende liste)
Persondataforordningen lægger i højere grad end tidligere vægt på datasubjektets (dvs. EU-borgernes) rettigheder og privatlivets fred.
EU borgernes data skal behandles sagligt, med et formål, være korrekte, behandles sikkert og med en passende fortrolighed/sikkerhed. Derudover må der ikke behandles mere data end nødvendigt, og så skal data slettes, når de ikke længere skal bruges.
Dette er mere eller mindre grundtanken i GDPR. Det indebærer følgende:
Med den nye forordning er der også kommet større fokus på ”data accountability”, hvilket betyder, at den dataansvarlige skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen.
Kort sagt skal den dataansvarlige tage ansvar for sin behandling af data: Ikke blot have styr på den, men også kunne dokumentere, at de har styr på overholdelsen.
Udover ovenstående fokusområder kommer den nye persondataforordning også med følgende tiltag:
I forbindelse med GDPR taler man oftest om, hvem der er databehandler, og hvem der er dataansvarlig. Det er vigtigt at kende forskellen på de to.
Dataansvarlig = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.”
Den dataansvarlige anses altså for at have ‘ejerskabet’ af oplysningerne.
Når du ansætter folk, er du dataansvarlig for de HR-data, I indsamler i virksomheden. Er du webshopejer, gør webshoppen dig ligeledes til dataansvarlig i forhold til dine slutkunder og de data, du har indsamlet om dem. Det kan være navn, e-mail, adresser, osv.
Databehandler = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.”
Databehandleren må kun behandle oplysningerne på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig oplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.
Så snart du bruger en virksomhed til at behandle eller opbevare data for jer, er der tale om databehandlere. I forhold til både jeres og jeres slutkunders hostede data på ScanNets servere er ScanNet (fra jeres synspunkt) databehandler.
I kan sagtens have mere end én databehandler – og det har I med al sandsynlighed også.
Det er vigtigt at vide, om du er databehandler eller dataansvarlig, i forhold til hvilke krav der kan blive stillet til dig, og hvilke krav du kan stille til andre.
Ifølge den nye persondataforordning er det den dataansvarlige, som har det primære ansvar for hele (data)værdikæden.
Principielt betyder det, at du som dataansvarlig skal have styr på ikke bare dataen hos os, men også hos alle vores underdatabehandlere. I praksis er det dog svært (hvis ikke umuligt) at efterleve.
Der er dog en række aftaler/betingelser, du kan indgå for at sikre, at du efterlever persondataforordningen:
En databehandleraftale er en skriftlig aftale, der regulerer databehandlingsforholdet mellem en databehandler og dataansvarlig.
Er du kunde hos ScanNet, kan du gå ind på www.scannet.dk/compliance og anmode om en databehandleraftale. Vi har lavet en standardiseret aftale, som indeholder alle de ting, en databehandleraftale bør indeholde.
Det er dit eget ansvar at sørge for databehandleraftaler med eventuelle øvrige databehandlere.
En persondatapolitik er en information til dine kunder om, hvad I registrerer om dem. Den skal typisk indeholde:
Kort sagt skal du informere om, hvad I registrerer om jeres kunder, og hvad I bruger det til.
Vi kommer til at lave en skabelon til shoppen, som du kan tage udgangspunkt i. I første omgang bliver den på dansk, men senere også engelsk.
Som nævnt har du som den dataansvarlige det primære ansvar for hele (data)værdikæden. For at sikre dine kunders data anbefales det at vælge leverandører, som kan bevise, at de passer godt på din data. Det kan du bl.a. tjekke ved at undersøge, hvilke certificeringer og erklæringer de har.
Nedenfor kan du se en oversigt over de certificeringer og erklæringer, ScanNet har:
ISO 27001
PCI DSS
ISAE 3402
Kort sagt er dine data i sikre hænder hos ScanNet – og det kan du regne med bl.a. på baggrund af disse certificeringer og erklæringer.
Et godt udgangspunkt for at efterleve GDPR er at vide, hvilken persondata I har, og hvor I opbevarer det – det kunne f.eks. være ved ScanNet, men måske også Google, Facebook, Mailchimp og mange andre steder.
Kun ved at vide, hvilken persondata I har, og hvor det opbevares, kan I finde ud af, om I skal have en databehandleraftale med jeres leverandører.
For at finde svar på spørgsmålet om, hvilke persondata I har, og hvor og hvordan det behandles, kan I med fordel starte med at mappe jeres data.
Grundlæggende handler mapping af persondata om at:
Vi anbefaler at tage udgangspunkt i en skabelon, der er nem at forstå, og udarbejdet af Henning Mortensen, It-sikkerhedschef i Bdr. A&O Johansen.
90 % af danske virksomheder kan komme 90 % i mål ved at udfylde skabelonen.
Det mener Henning Mortensen. Se skabelonen her >>
Vi anbefaler dig at forsøge at mappe jeres data på samme måde. For hvis du ikke ved, hvad eller hvor du har persondata, kan du ikke beskytte det.
Bemærk: Dette er ikke nødvendigvis en endegyldig løsning, men det er en god måde at få besvaret det grundlæggende spørgsmål, nemlig ”Hvilke persondata I har, og hvor opbevares de?”.
Som nævnt indebærer ikrafttrædelsen af GDPR, at kunder har ret til indsigt, også kaldet indsigtsretten.
Den dataansvarlige (f.eks. dig som webshopejer) skal efter anmodning af datasubjektet (typisk en kunde) give datasubjektet indsigt i:
For at blive klar til indsigtsretten bør I rent praktisk forberede jer på:
Kort sagt handler det om, at du skal være klar til at efterleve kundernes ret til indsigt samt kundernes ret til at blive glemt.
Som nævnt skal den dataansvarlige (altså dig) slette data uden ugrundet ophold, hvis:
Der er visse undtagelser, som giver dig ret til at beholde data, selvom et datasubjekt påkalder sig retten til at blive glemt. Det drejer sig bl.a. om bogføringsloven, som vi netop nævnte, men også ytringsfrihed, retligt krav, anden lovgivning, osv.
Et datasikkerhedsbrud er defineret som:
Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Skulle der mod forventning ske et datasikkerhedsbrud hos os, forpligter vi os til at orientere dig som kunde inden for 48 timer.
Vi orienterer om alle relevante oplysninger, så I kan give anmeldelsen videre til Datatilsynet. Som dataansvarlig er du forpligtet til at orientere Datatilsynet inden for 72 timer (uden ugrundet ophold), efter I har fået besked om et datasikkerhedsbrud. Det gælder også i ferieperioder, under jul og i påsken.
I forbindelse med brud på persondatasikkerheden gælder reglen om omvendt bevisbyrde. Det vil sige, at du som virksomhed selv skal bevise, at bruddet ikke er sket hos dig.
Der kommer en fælles indberetningsside på virk.dk, hvor du kan indberette datasikkerhedsbrud.
Vedr. konsekvensen, dvs. bødeniveauet, er dette i modsætning til tidligere steget væsentligt med den nye persondataforordning.
Bødeniveauet kan være op til € 20.000.000 eller 4 % af virksomhedens globale omsætning (afhængig af, hvad der er højest).
Sanktionerne tager højde for skadens størrelse, om det er sket mange gange før, og ’grovheden’ så at sige.
Har du en ScanNet Webshop, kan du læse mere om de funktioner, shoppen understøtter, med henblik på, at du kan efterleve GDPR som webshopejer. Læs mere her.
ScanNet er sandsynligvis ikke den eneste leverandør, du anvender i din forretning. Da vi som nævnt ikke er juridiske eksperter, kan vi ikke rådgive dig specifikt, omkring hvordan du skal forholde dig til GDPR i forhold til de andre leverandører/systemer/services, du bruger – ja, kort sagt, dine andre databehandlere.
Rigtig mange virksomheder er dog allerede klar med en vejledning omkring, hvordan de forholder sig til GDPR, og ikke mindst hvad du skal gøre.
Vi har samlet en række af de typiske e-handelsværktøjer nedenfor samt links til deres GDPR-vejledninger.
Liste over øvrige e-handelsservices og links til deres politik omkring GDPR
Savner du nogle på listen? Skriv gerne i kommentarfeltet, hvis du kender til andre.
På disse sider kan du finde mere information og vejledning til jeres egen GDPR-proces.
Datatilsynet har erklæret Google Analytics ulovligt i den form, som findes på mange hjemmesider. Læs med her for at få et overblik over situationen...
De seneste år er flere begyndt at snakke om DNSSEC. Men hvorfor DNSSEC er smart, og hvordan aktiverer du DNSSEC på dit domænenavn? Vi giver dig...
ScanNet lancerede i går den nye ScanNet Webshop – en kraftfuld e-handelsplatform, med et væld af nye funktioner og designmuligheder.
Team member bio information.