Hva er GDPR?
Ansett som den viktigste endringen innen personvern de siste to tiårene, Personvernforordningen (GDPR) er en forskrift håndhevet av EU som gir innbyggerne større kontroll over innsamling og bruk av deres personopplysninger. En av de viktigste konsekvensene er at den har omdefinert hva som regnes som personopplysninger, og at sensitiv informasjon ikke tilhører en bedrift, men enkeltpersoner. Det er også fokus på hvordan bedrifter håndterer slik sensitiv informasjon og hvilket ansvar de har overfor EU-borgere. Kjernen i GDPR kan oppsummeres i følgende hovedpunkter:- Tidligere direktiver anså personnavn, bilder, kontaktinformasjon, personnummer og bankkontoer som personopplysninger. GDPR utvider denne definisjonen til å omfatte IP-adresser, biometriske data, identifikatorer for mobilenheter og geolokalisering, økonomisk status, samt ens samlede identitet i videste forstand (psykologisk, genetisk, sosial og kulturell);
- Både databehandlere og databehandlere er ansvarlige for informasjonen de har;
- Krever åpenhet i hvordan selskaper samler inn og deler brukernes personopplysninger, med vekt på hvor tydelige retningslinjene for datainnsamling må være for brukerne;
- Gir brukerne rettmessig kontroll over dataene sine, slik at de kan få tilgang til alle sine poster, kreve sletting av dem eller be om at dataene deres overføres til et annet selskap;
- Krever obligatorisk samtykke fra brukerne
Hvilke rettigheter beskyttes av GDPR?
Fokuset i denne forskriften er rundt borgerne, så rettighetene den tar sikte på å beskytte er knyttet til enkeltpersoner, snarere enn bedrifter. Information Commissioner's Office i Storbritannia gir en god veiledning for å forstå hva hver rettighet handler om og hvilke tiltak organisasjoner kan iverksette for å respektere dem. GDPR refererer til åtte rettigheter:- Retten til å bli informert
- Retten til innsyn
- Retten til retting
- Retten til sletting
- Retten til å begrense behandlingen
- Retten til dataportabilitet
- Retten til å protestere
- Rettigheter angående automatisert beslutningstaking og profilering
Hvorfor bør utgivere bry seg om GDPR?
Reaksjonene fra medieselskapene har vært ganske varierte. Det finnes noen gode eksempler som eksperter anbefaler som inspirasjon, som for eksempel BBCs personvernseksjon, men det finnes mange tilfeller der utgivere virker fortapte i hvordan de skal forholde seg til normen, eller om de i det hele tatt burde være oppmerksomme. Det er viktig å forstå at GDPR gjelder over hele verden, dette er ikke bare et europeisk problem. Og selv om mange bedrifter motvillig har bestemt seg for å implementere noen endringer i personvernreglene sine for å unngå bøter, er det godt å forstå at myndighetenes hovedinteresse er å veilede og hjelpe selskaper med å ta vare på innbyggernes data, snarere enn bare å tvinge dem til å møte økonomiske straffer. Hovedgrunnen til å overholde GDPR er å ta sikkerheten og personvernet til lesernes informasjon på alvor. Å respektere brukernes data bidrar til å etablere et tillitsforhold med dem, noe som har en positiv innvirkning på å differensiere seg fra konkurrentene og tilføre verdi til kundene. Prinsippene i GDPR hjelper merkevarer med å forplikte seg til å være ansvarlige for brukernes data, setter deres behov først og hjelper bedrifter med å møte brukernes forventninger og behov angående personvern og åpenhet.Utfordringene med personvern for utgivere
Alle bransjer har blitt sjokkert inn i sanden over håndhevingen av GDPR, men hver enkelt har sine spesielle interesseområder og spesifikke detaljer som må tas hånd om. Selv om det kan være overveldende å finne ut hvor man skal begynne, kan veien til å respektere brukerens personvern være enklere enn de fleste alarmistene på nettet forventet. Spesielt utgivere kan fokusere innsatsen sin på noen spesifikke handlinger:- Begynn med å gjøre leksene dine. Les og forstå normen. Å gå gjennom lovgivning er kanskje ikke din favorittlesestoff, men det finnes mange nyttige ressurser som kan hjelpe deg med å forstå hva GDPR handler om. Intersoft Consultings GDPR-portal gir en mer tilgjengelig opplevelse for å gå gjennom de ulike delene av normen og påpeke problemer. I tillegg har Information Commissioner's Office of United Kingdom en fantastisk guide til GDPR , der alle definisjoner og prinsipper er tydelig angitt.
- Sjekk hvor du er Et annet verdifullt verktøy fra ICO er selvevalueringen av databeskyttelse , som er en god alliert for små og mellomstore organisasjoner, som kan gå gjennom ulike sjekklister og finne ut om de overholder personvernlovgivningen. Verktøyet gir veiledninger, anbefalinger og spesifikke tiltak som kan være svært nyttige. I denne fasen er det også ganske nyttig å begynne å dokumentere alle datainnsamlingskanalene og -trinnene som bedriften din har. Dette gjelder ikke bare nettstedet ditt, men det kan også inkludere informasjon samlet inn på arrangementer, fra partnere eller til og med salg. Du kan også begynne å kategorisere kontaktene dine i EU som kanskje allerede har gitt en eller annen form for samtykke.
- Skaff deg riktig tankesett. Det finnes ingen enkel vei ut for å unngå endringer eller raske løsninger for å få dette overståtte problemet på listen din. Det er viktig å engasjere seg og ta hensyn til viktigheten av leserens private informasjon. Det er også viktig å sørge for at tilnærmingen du tar er tilpasset virksomheten din: unngå å basere retningslinjene dine på andre portaler.
- Å blokkere EU-brukere er ikke den riktige løsningen. Noen få utgivere har fått panikk og vurdert å blokkere besøkende fra EU fullstendig . Dette vil representere et stort tap i trafikk og inntekter på nett. For eksempel nesten 20 % av leserne til New York Times Digital og 22 millioner av leserne til Washington Post fra utenfor USA. Husk fremfor alt at det å kompilere i henhold til dataforordningen ikke bare er en fordel for EU-brukere, men et rettferdig forhold til alle leserne dine, uavhengig av hvor de kommer fra.
- Vær oppmerksom på personalisering av innhold. Å skreddersy informasjonen og opplevelsen som tilbys basert på leserens interesser og behov har vært en bærebjelke i digital strategi. Så hvordan kan vi finne en balanse mellom brukernes rett til personvern og deres forventninger til personlig tilpasset interaksjon og innhold? Åpenhet kan ikke forhandles, så en bedre tilnærming kan være å prøve å lære brukerne om hvordan dataene deres brukes og hvordan de kan dra nytte av dem.
- Få teamet ditt klar for utfordringen. Start med å utnevne en GDPR-leder og et team som er ansvarlig for å kontrollere implementeringen av personvernreglene dine. Og forklar tydelig at dette er en teaminnsats: Selv om det juridiske teamet ditt kanskje har god forståelse for viktige feil som må unngås, er det viktig å huske at klarhet er en av grunnpilarene i normen. Retningslinjene dine må forklares enkelt for leserne dine. Involver markedsføring, ikke bare fordi deres praksis innebærer å håndtere mye brukerdata, men fordi det må være tydelig kommunikasjon om hva du gjør med dem.
- Dra nytte av verktøyene som er tilgjengelige. Det finnes nye løsninger som kan hjelpe utgivere med å forenkle prosessen med å håndtere alle endringene som må implementeres. Det finnes et bredt utvalg av samtykkehåndteringsplattformer (CMP-er) som kan hjelpe utgivere med samtykket de trenger for å samle inn, behandle og bruke personopplysninger. Ta deg tid til å analysere fordelene og ulempene med hver enkelt, og velg den som passer best for dine behov.
- Tenk langsiktig. Som vi nevnte tidligere, i stedet for å motvillig følge minimumskravene i forskriften, er det best å komme inn i riktig tankesett og omfavne viktigheten av å ta godt vare på fornuftig brukerinformasjon. I tråd med dette er det god praksis å tenke på en langsiktig plan for personvernreglene dine og bli vant til å varsle brukerne deretter. Tenk på hvordan den beste måten å kommunisere og forklare retningslinjene dine på er, og nøkkelen til å huske på at det må være enkelt, tydelig og poengtert. Dette må være en kontinuerlig innsats, en del av bedriftens praksis. Inkluder det i planleggingen din.
- Håp på det beste, forbered deg på det verste. Blant alle oppgavene teamet ditt vil ta over, sørg for å inkludere utformingen av en datainnbruddsplan i vurderingen. GDPR krever at organisasjoner rapporterer brudd senest 72 timer etter at de blir oppmerksomme på dem. Med dette i tankene er det lurt å ta forholdsregler og vite hvilke tiltak de skal iverksette hvis noe skjer. Det er et par ting du kanskje bør vurdere når du utformer planene dine, som hvordan du varsler internt til ansatte og viktige interessenter, i tillegg til hvordan du forklarer tydelig til kundene dine hva som skjedde, inkludert hvordan du sender inn klager og får hjelp, og hvor viktig det er å være åpen i kommunikasjon som pressemeldinger og svar på sosiale medier.
Velkommen til databeskyttelsens tidsalder
Til tross for innledende frykt for implementeringen av GDPR, kan utgivere se den nåværende tiden som en mulighet til å bli en mer ansvarlig og etisk håndtering av informasjonen brukerne oppgir, og ta med seg den tankegangen til å etablere et mer respektfullt forhold. Det digitale økosystemet vi har i dag kunne ikke ha vært mulig å forestille seg for 20 år siden. Det er fornuftig at lovgivningen søker å beskytte enkeltpersoner slik at de kan delta i digitale økonomier uten at rettighetene deres blir krenket. Det er lenge siden brukeren har blitt sentrum for det som utvikles og designes, og bare store ting har kommet til merkevarer på grunn av det. Organisasjoner kan bare blomstre ved å ta steget inn i spillet og utvikle seg i takt med endringer som tar sikte på å sette kundene først. Omfavn databeskyttelsesånden og gjør deg klar til å etablere en ny fase i forholdet ditt til leserne dine – et forhold basert på tillit og respekt.Innhold fra våre partnere
