Virksomheder ønsker at forstå deres kunders behov. Derfor forsøger mange at indsamle så meget data om deres kunder som muligt og tænker, jo mere desto bedre. I denne blogpost vil vi dog diskutere, hvorfor denne tankegang ikke stemmer overens med GDPR og Datatilsynet. Vi vil også diskutere, hvorfor opbevaring og behandling af færre data er god praksis, og hvordan dataminimering er relateret til GDPR.
Når lagring af for mange data bliver et problem
Lad os sige, at du arbejder som sælger i en virksomhed. En virksomhed, der som de fleste andre er afhængig af tilbagevendende kunder. Din virksomhed har understreget vigtigheden af at skabe personlige relationer til enhver kunde. Du finder dog ud af, at mange kunder er ret ens, og du har svært ved at skelne dem fra hinanden. For at undgå de akavede situationer, hvor du forveksler kunden med en anden, har du oprettet en fil, hvor du gemmer oplysninger om kunden og emnerne fra samtaler, du har haft med dem.
Det, du måske ikke har overvejet, er risikoen ved lagringen af disse data og overholdelsen af GDPR. Hvis din virksomhed oplever et databrud – hvor en uautoriseret person får adgang til din fil med kundeoplysninger, er du forpligtet til at rapportere dette til Datatilsynet.
Som en del af processen skal du også informere de berørte kunder om, at deres data har været en del af et sikkerhedsbrud. Data de måske ikke engang vidste, at du havde indsamlet. En samtale der kan resultere i værre konsekvenser end blot at have glemt hvem, der var hvem. Ikke at opfylde kravene i GDPR kan føre til en stor bøde, som din organisation skal betale. Din organisation kan også modtage negativ presse og et dårligt ry, hvilket får kunden til at miste tilliden til dig. Derfor er GDPR og dataminimering vigtigt.
Dataminimering er en del af GDPR-principperne
Da virksomheder begyndte at forstå magten og mulighederne i data, har mange virksomheder haft lyst til at gemme alle data for evigt.
Da GDPR blev implementeret, fremhævede reguleringen imidlertid dette problem, da dets omdrejningspunkt er individets grundlæggende rettigheder til beskyttelse af deres personoplysninger. Det betyder, at organisationer ikke har lov til at gemme data og personoplysninger om deres kunder permanent, fordi det strider mod beskyttelse af individuelle rettigheder.
Derudover må man heller ikke indsamle mere data end højest nødvendigt. Derfor er dataminimering blevet et af de syv principper i GDPR. Principperne opsummerer de grundsten, som GDPR er bygget på.
De kan være meget nyttige for mindre virksomheder, der ikke har ressourcer til at anvende databeskyttelseseksperter eller at hyre en databeskyttelsesrådgiver og konsulenter til at guide dem gennem GDPR. De skaber en basal forståelse for, hvad man skal arbejde hen imod som virksomhed.
Dataminimering er at begrænse sin dataindsamling til kun det, der kræves for at opfylde et specifikt formål. Det passer til den individuelle ret af databeskyttelse. At følge dette princip har flere fordele.
Hvis der skulle opstå et databrud i din organisation, har den uautoriserede person kun adgang til en begrænset mængde data. Derudover vil ens data blive mere nøjagtige og altid opdaterede, da man sletter forældet data regelmæssigt.
Det er din organisations ansvar at kontrollere og vurdere, hvor meget data, der er nødvendigt at behandle. GDPR angiver, at når man håndterer personoplysninger, skal det være tilstrækkeligt, relevant og begrænset til, hvad der er nødvendigt til formålet.
Det betyder, at data skal være passende til at opfylde din organisations formål (tilstrækkeligt). Der er en direkte forbindelse mellem formålet og den data, der indsamles (relevant), og din organisation har ikke flere data end nødvendigt til det definerede formål (begrænset).
Der er flere fordele ved dataminimering end bare GDPR-compliance
Mange organisationer begrænser deres dataindsamling for at overholde GDPR-kravene. Nogle personer tror måske, at dataminimering kun er noget, der skal gøres for at undgå en bøde fra Datatilsynet. Men dataminimering vil skabe mange flere positive ting end bare at undgå bøder.
Dataminimering reducer risiko for sikkerhedsbrud
Dataminimeringer reducerer risikoen for datatab og sikkerhedsbrud. Det siger selv, at desto mindre data, man opbevarer og har, desto mindre er risikoen for at man mister data. Derudover er tabet af data også mindre, hvis uheldet alligevel sker. Skaden bliver altså mindre, og man skaber dermed bedre tekniske foranstaltninger i ens virksomhed.
Dataminimering skaber effektiv datalagring
Dataminimering skaber også en mere effektiv datalagring. Det betyder, at dit team kan bruge mindre tid på at søge i arkiver, da der er mindre data at søge igennem. Derudover er det data, de henter, mere nøjagtigt, fordi de kan være sikre på, at dataene ikke er forældede eller ligegyldige.
Dataminimering skaber hurtigere responstid
Dataminimering skaber også en hurtigere responstid på forespørgsler, fordi der er færre data at gennemse. Derudover bliver mange kunder mere og mere opmærksomme på værdien af deres personlige data. De vil i højere grad stole på virksomheder, hvis de ved, at deres data ikke bliver misbrugt.
Dataminimering reducerer omkostninger
Sidst men ikke mindst reducerer dataminimering ens omkostninger. Alt datalagring koster penge i form af serverplads og administration af data. Dataminimering giver færre data og sparer din organisation for udgifter.
Sådan kan du implementere dataminimering i din virksomhed
Begynd med at mindske din dataindsamling. Din organisation skal definere, hvilke data der er nødvendige for at drive din virksomhed, og hvilke der ikke er.
Implementer organisatoriske foranstaltninger for behandling af personoplysninger
Du skal også oprette klare organisatoriske foranstaltninger for medarbejder adgang til specifikke persondata. Det er for eksempel relevant for den person, der er ansvarlig for betaling af løn, at have betalingsoplysninger på personalet. Men det er ikke relevante data for en medarbejder, der arbejder inden for kundeservice.
Du skal genbesøge jeres valg regelmæssigt. Du skal løbende overveje om den data, der indsamles, er den nødvendige data, eller om noget kan skæres fra. Med dataminimering sørger du for, at databaserne regelmæssigt opdateres til kun at beholde de relevante oplysninger.
Sidst, men ikke mindst, skal du slette data systematisk. Denne del bliver i sig selv kaldt opbevaringsbegrænsing og er et GDPR-princip i sig selv. Når de indsamlende persondata bliver gamle, er de måske ikke længere nødvendige for din virksomhed. Derfor skal de slettes for at beskytte ejeren. Derudover er der heller ikke grund til, at det tager unødvendigt plads på jeres server.
Dataminimering i dagligdagen
At skabe overordnede retningslinjer for, hvordan man opnår dataminimering, er en god start. Du skal dog også lære dine medarbejdere om dataminimering og regler, de kan bruge på daglig basis. En god tilgang fra medarbejderne er udgangspunktet for compliance, både når det gælder dataminimering og GDPR, men også dine organisationers overordnede IT-sikkerhed.
Når dit team indsamler persondata, skal de huske fem spørgsmål, der skal overvejes, før dataene indhentes:
-
Hvordan vil jeg anvende disse data?
-
Ved ejeren af dataene, at jeg indsamler dem?
-
Ved ejeren hvorfor?
-
Kan jeg nå formålet uden disse data?
-
Hvor længe har jeg brug for disse data?
Ved at stille disse spørgsmål vil dit team forstå, hvilken type data der må gemmes, og hvilken type, der ikke må gemmes.
Når din organisation følger retningslinjerne, og når medarbejderne husker spørgsmålene, så er man i gang med at dataminimere og kommer et skridt tættere på at være GDPR-compliant. Læs mere om, hvordan du sikrer, at din virksomhed overholder GDPR her.
