Lang historie kort: LDS er GDPR-klar!
Uddybning:
Det er nok ikke undgået manges opmærksomhed, at de nye regler for håndtering af persondata (GDPR) træder i kraft på fredag.
Uden at dette skal blive en politisk tråd, så vil jeg sige at jeg er stor fan af GDPR! Også selvom det gør livet besværligt for websider som LDS. Efter min mening er det det hele værd!
Her lidt om LDS og GDPR:
Vi (JørgenE og jeg) har altid haft en lidt konservativ holdning til nye muligheder mht. dataindsamling og har altid ment at man skal kunne være anonym på LDS. Også selvom normen efterhånden er, at man oplyser fuldt navn og andet (Facebook, Linkedin mv.).
Gennem tiden har jeg takket nej til flere tilbud om "samarbejde" vedr. data, har undladt at forbinde LDS med Facebook, selvom det ville give en række fordele osv. osv. Derudover kører LDS på vores egne servere, som vi selv har kontrol med.
Det er ikke for at pudse nogen glorie, men det har selvfølgelig gjort forberedelserne til GDPR nemmere, fordi vi har ret godt styr på data allerede. Men der kom alligevel nogle overraskelser:
Jeg startede så småt arbejdet med at gøre LDS GDPR-klar i sensommeren 2017. Det "gode" ved persondataforordningen er, at hvis man vil opfylde kravene, så er man tvunget til at gennemgå ALLE systemer, data og procedurer.
Selvom vi ikke kræver navn, adresse mv., så definerer EU-persondataforordningen "persondata" meget bredt. Eksempelvis er selv en IP-adresse at betragte som persondata - på trods af, at det vil kræve en dommerkendelse, at finde ud af hvem der anvendte en IP-adresse på et givet tidspunkt. Med andre ord: Selvom LDS ikke kan henføre f.eks. en IP-adresse til en person, så er det persondata - så længe nogen kan.
Konsekvensen er, at alt hvad der gemmer en IP-adresse er omfattet af GDRP - og da vi har med en hjemmeside at gøre, så gælder det i rigtig mange tilfælde.
ALLE firmaer har travlt at blive klar - især it-leverandører. Et eksempel er Google, som leverer statistik-systemet Analytics til stort set alle hjemmesider i verden, inkl. LDS. De bruger bl.a. IP-adressen til at skelne mellem bruger. EUs nye regler har betydet at Google har ændret Analytics, så personlige data nu slettes efter et bestemt antal måneder.
Man må nemlig ikke opbevare personlige oplysninger til evig tid. Der SKAL være en fast defineret op gyldig procedure for hvornår data slettes igen. Så GDPR har allerede her haft en meget håndgribelig effekt.
Et andet system, som vi har brugt til håndtering af informationer om annoncører, viste sig at ligge på servere i Indien. Jeg kontaktede dem i efteråret og fik beskeden, at de arbejder på, at etablere et europæisk datacenter. For som de sagde: hvis de ikke når at blive GDPR-klar, vil de miste deres kunder i EU, dvs. tæt på halvdelen af deres omsætning. Indien er nemlig ikke godkendt af EU, som et sikkert land for data om EU-borgere.
Et andet vigtigt element i GDPR er "retten til at blive glemt". Dvs. man kan som borger i EU kontakte ethvert firma og bede om at få kopi af de oplysninger de har - og man kan kræve at få dem slettet. Det stiller også en del krav til de systemer der bruges.
Jeg synes det er modigt gået af politikerne i EU - det gør ondt på mange (alle) firmaer nu og der bliver bandet MEGET over GDPR i øjeblikket. Men jeg håber og tror på, at det er starten på en generelt større opmærksomhed på vigtigheden af at behandle persondata med respekt. Der er behov for det...
Der bliver i øvrigt sendt en mail ud til alle der har en brugerprofil på LDS om de nye vilkår og persondatapolitik, som findes under "Om Lav-det-selv.dk" i topmenuen. Der er nemlig indført en "oplysningspligt" nu...
God fornøjelse med de 800 andre emails der kommer fra firmaer i disse dage
Spørgsmål til LDS og persondata? Fyr bare løs!