De flesta företag vill förstå sina kunders behov. Med det som mål, försöker många samla in så mycket data om dem som möjligt, men tanken om att mer är bättre. Men i det här blogginlägget kommer vi att diskutera varför denna inställning kan bli kostsam. Vi kommer att fördjupa oss på begreppet uppgiftsminimering och du kommer att få lära dig om varför det är bra praxis att hantera mindre data och hur dataminimering är relaterat till GDPR.
När för mycket sparad data blir ett problem
Lek med tanken att du arbetar som säljare i ett företag. Ett företag som de allra flesta är beroende av återkommande kunder. Ledningen i ditt företag har betonat vikten av att skapa personliga relationer med varje enskild kund, men du tycker att många kunder är ganska lika och du har svårt att skilja dem från varandra. För att undvika de pinsamma situationer där du förväxlar en kund med en annan, har du skapat en fil där du sparar information om varje kund och de ämnen som du har talat med dem om.
Vad du inte har tänkt på är risken med att spara dessa uppgifter eller om det lever upp till GDPR. Om ditt företag skulle uppleva ett dataintrång, där en obehörig person får tillgång till din fil med kundinformation, är du skyldig att rapportera det till din nationella dataskyddsbyrå (i Sverige är det är det integritetsskyddsmyndigheten IMY – före detta Datainspektionen). En ytterligare del i processen är att du måste informera de berörda kunderna om att deras data kan vara i händerna på cyberbrottslingar. Det är ett samtal som kan få mycket mer allvarliga konsekvenser än att inte komma ihåg det senaste ämnet på de samtal ni hade sist med dem. Att inte uppfylla de rättsliga kraven för GDPR kan leda till höga böter för din organisation, men det kan också innebära en negativ publicitet och ett dåligt rykte, vilket kan få kunder till att förlora ert förtroende.
Uppgiftsminimering är en del av GDPR-principerna
När organisationer började förstå kraften i data och i takt med att det har blivit mycket lättare att samla in, har många företag haft impulsen av att allt ska samlas in och sparas, för alltid.
När GDPR implementerades lyftes emellertid denna fråga upp, eftersom dess fokus är individens grundläggande rättigheter till skydd av deras personuppgifter. Det betyder att organisationer inte får lagra data på sina kunder permanent, eftersom det stridr mot skyddet av individuella rättigheter. Därför har uppgiftsminimering blivit en av de sju GDPR-principerna.
Principerna sammanfattar de många kraven i GDPR och de är en viktig resurs för att förstå hur man ska uppnå efterlevnad. De kan vara till stor hjälp för mindre företag som ibland saknar resurser för att tillämpa dataskyddsexperter för att vägleda dem.
Vad är uppgiftsminimering
Uppgiftsminimering är att begränsa insamlingen av data, till att endast inhämta det som krävs för att uppnå ett specifikt syfte, vilket motsvarar den enskilda rätten till dataskydd.
Att följa denna princip har flera fördelar. Om ett dataintrång skulle inträffa i din organisation kommer den obehöriga personen bara att ha tillgång till en begränsad mängd data. Men det innebär också att den data som kommer att lagras kommer vara mera exakt och alltid uppdaterad, eftersom man tar bort data som inte mer är aktuell.
Din organisation ansvarar för att kraven för uppgiftsminimering uppfylls
Det är din organisations ansvar att kontrollera och bedöma hur mycket data som är viktig att hantera i din verksamhet och att irrelevant data inte samlas in. Enligt GDPR ska hantering av personuppgifter vara adekvat, relevant och begränsad till vad som är nödvändigt för ändamålet. Det betyder att data måste vara tillräcklig för att korrekt uppfylla din organisations syfte (adekvat). Till syftet finns det en rationell länk till data (relevant) och din organisation har inte mer information än vad som behövs för det definierade syftet (begränsad).
Fördelarna med uppgiftsminimering är mer än GDPR
Många organisationer kanske bara begränsar sin datainsamling för att uppfylla kraven i GDPR. Vissa människor kanske tror att uppgiftsminimering bara är något som måste göras för att undvika böter från dataskyddsförordningen. Men att tillämpa uppgiftsminimering kommer att skapa många fler positiva resultat.
Uppgiftsminimeringminskar risken för dataförlust och intrång, eftersom färre register minskar risken för skada. Det skapar eneffektivare datalagring; ditt team kan spendera mindre tid på att söka igenom arkiv och den data de hämtar är korrekta eftersom de kan vara säkra på att uppgifterna inte är föråldrade. Dessutom skapar det ettsnabbare svar på förfrågningar, eftersom det finns mindre data att titta på. Det ger dig ocksånöjdare kunder. Kunder blir mer och mer medvetna om värdet av deras personuppgifter, de litar mer på ett företag om de vet att deras data inte kommer att missbrukas. Slutligenminskar uppgiftsminimering kostnader. Eftersom all datalagringar kostar pengar kommer din organisation spara lite genom att lagra mindre.
Hur du kan implementera uppgiftsminimering i din organisation
Om du vill implementera uppgiftsminimering i ditt företag kan du använda dig av följande riktlinjer som hjälper dig i rätt riktning.
Som första steg, är det att börja minska din datainsamling. Din organisation måste definiera vilka uppgifter som är nödvändiga för att bedriva er verksamhet och vad som är överflödigt. Du måste också skapa tydliga och definierade protokoll där det framgår om anställda kan få åtkomst till en specifik typ av data. Till exempel är det relevant för den ansatta som ansvara för utbetalningen av lön att ha information om varje personals bankkontonummer, men det är inte relevant information för en ansatt som arbetar på kundtjänstavdelningen.
För det andra, hantera data regelbundet. De insamlade uppgifterna blir förr eller senare inaktuella, något man alltid måste ha i åtanke. Med uppgiftsminimering kommer du att se till att databaser uppdateras regelbundet för att bara innehålla relevant information.
För det tredje, radera data systematiskt. Detta är en viktig aspekt av uppgiftsminimering. När användardata blir gammal kommer den att vara värdelös för din organisations behov och tar bara onödig plats. Du måste vara säker på att all information i organisationen är värdefull.
Slutligen, genom att träna de ansätllda i korrekt hantering av data säkerställer du att alla inom företaget känner till sina skyldigheter och bidrar till en starkare IT-säkerhet. Utför våran e-kurs i dataminimering, och testa dina kunskaper samtidigt som du lär dig mer om medvetenhetsträning inom GDPR.
Hur uppgiftsminimering används dagligen
Att skapa övergripande riktlinjer för hur man kan uppnår uppgiftsminimering är en bra start. Men du måste också lära dina anställda de rätta tänkesätt som de kan använda sig av dagligen. Rätt tillvägagångssätt från de anställda är grunden för efterlevnad, både när det gäller uppgiftsminimering och GDPR, men också dina organisations totala cybersäkerhet.
När ditt team samlar in data bör de komma ihåg fem frågor som ska besvaras innan uppgifterna hämtas:
Hur ska jag använda dessa uppgifter?
Vet ägaren till uppgifterna att jag samlar in dem?
Vet ägaren varför?
Kan jag uppnå syftet utan dessa uppgifter?
Hur länge behöver jag dessa uppgifter?
Genom att ställa dessa frågor kommer ditt team att förstå vilken typ av data din organisation måste lagra och vilken ni inte kan lagra.
Ditt viktigaste skydd är de anställda
Medvetenhetsutbildning i GDPR gör att de anställda känner till potentiella risker och hur de ska hantera dem. Med en medveten och välinformerad personal är risken för dataskyddsincidenter mindre. Det gynnar både organisationen och de anställda.
Tveka inte med att höra av dig till oss om du har några frågor gällande medvetenhetsutbildning eller GDPR.