Sådan bliver marketing klar til persondataforordningen

6. november 2017

Marketing laptop-225469-edited.jpeg

Af Morten Friis Olsson om Inbound marketing

Det er snart længe siden, at man har kunne åbne en avis eller slå op på LinkedIn, uden på et tidspunkt at støde på ordet ”persondataforordningen”. Og med god grund – når persondataforordningen træder i kraft 25. maj 2018, får alle virksomheder, som opbevarer og håndterer persondata, en stribe nye krav at leve op til og en trussel om store bøder, hvis reglerne ikke følges.

Indlægget her er ikke tænkt som en gennemgang af reglerne – dem kan du finde mange andre steder, eksempelvis i vores blogindlæg Hvad betyder persondataforordningen for inbound marketing? Blogindlægget her er ment som en række gode råd til, hvordan du skaber dig overblik og kommer i gang med arbejdet. 

Det er vigtigt for os at understrege, at Katalysator ikke er hverken juridiske eksperter eller eksperter i datasikkerhed. Derfor har vi allieret os med eksperter på områderne for at kunne give dig et validt indlæg.

Persondataforordningen - det er da noget med IT-sikkerhed?

Især IT-sikkerhedsbranchen har længe været bannerfører for den tankegang, at GDPR (EU General Data Protection Regulation), som vi i Danmark kender under persondataforordningen, blot handler om at købe IT-sikkerhed. Men som Rasmus Theede, tidligere formand for Rådet for Digital Sikkerhed, fastslår, er tekniske IT-sikkerhedsimplementeringer alene ikke nok til at imødekomme reglerne.

”Jeg er meget bekymret over, at små og mellemstore virksomheder kommer til at tro, de er compliant (red. overholder reglerne), fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke,” udtalte Rasmus Theede for nylig til magasinet Computerworld.

Vi har talt med Rasmus Theede, og bedt ham om at uddybe:

”Udgangspunktet for at overholde den nye persondatalov må aldrig blive teknisk sikkerhed. Først og fremmest skal man lade være med at gå i panik over sanktionernes størrelse, og undlade at gå all-in, hvis de eneste data man håndterer er almindelige data over egne medarbejdere og nogle kunders e-mail-adresser”, siger han og fortsætter: 

”Problematikken starter et helt andet sted; nemlig i virksomhedens omgang med data. Derfor bør man starte med at klassificere sine data for at skabe overblik og dernæst lave risikovurderinger for de datakategorier, som virksomheden behandler. Først når man har klarlagt, hvilke risici for lækage eller brud på persondataforordningen der reelt er, kan man påbegynde arbejdet med at imødegå disse risici.” 

Start med overblik

Problematikken starter således med overblik. Som marketingchef eller –ansvarlig, skal du have fundet ud af: 

  • Hvilke persondata har I?
  • Hvor findes disse data? Husk her at data også kan findes på papir
  • Hvordan er disse data indsamlet? Har vi en procedure herfor?
  • Hvor kan data flyde hen?
  • Hvor længe opbevarer vi disse data?

Dette er en ren skrivebordsanalyse, som for det første slet ikke involverer IT, og som du, for det andet, muligvis godt selv kan udføre – måske med hjælp fra kolleger i huset. Hvis jeres data er meget komplekse, eller hvis I har mange følsomme data, kan det dog godt være, du skal overveje at købe hjælp udefra til at få udarbejdet en egentlig dataflow-analyse. 

Alternativt kan det nødvendige overblik skabes via interne workshops med nøglepersoner fra de afdelinger, som du deler data med. Især kan salgsafdelingen være en god samarbejdspartner. Husk, at I ikke behøver at være eksperter i persondataforordningen for at kunne gøre det. Det handler stadig kun om at skabe overblik over data. 

Persondataforordningen

Nu bliver det mere langhåret: Risikovurderinger

Jeg håber ikke, at jeg taber dig nu, men det er vigtigt lige at komme forbi en snak om risikovurderinger, for det er her, du henter den viden, du skal bruge, for at kunne prioritere det videre arbejde.

Når I har identificeret alle persondata og skabt klarhed over, hvor jeres data findes, hvordan de er indsamlet, og hvor de flyder til og fra, er næste skridt at finde ud af, hvor stor en risiko der er for, at data enten mistes eller kompromitteres.

For at kunne vurdere det, får du brug for at involvere nogen med teknisk forstand på både sikkerhedstrusler og de relevante systemer. Det kan for så vidt godt være nogen fra jeres IT-afdeling – men det kan også være specialister i IT-sikkerhed.

Disse mennesker skal vurdere risikoen for, at der sker tab eller kompromittering af data fra jeres systemer. Når du kender den risiko, skal du sammenholde den med din egen viden om det pågældende system, jf. formlen:

Risiko = Sandsynlighed * Konsekvens

Det behøver ikke at blive komplekst. Hvis du ved om et givent system, eventuelt jeres marketing automation-system, at det ikke vil medføre de store konsekvenser, hvis I mister data derfra, og den tekniske vurdering, du har modtaget, indikerer en lav sandsynlighed for tab af data, så er risikoen også lav. 

Er både sandsynlighed og konsekvens høje, vil risikoen naturligvis også blive høj. Så er det her, du skal prioritere indsatsen.

Sådan skal du konkret gøre

Der findes en standard for informationssikkerhed, som I bør følge. Standarden hedder ISO 27001, og består af en lang række kontroller, der hver især dækker bestemte områder indenfor informationssikkerhed.

”Man skal ikke være bange for arbejdet med ISO 27001. Det er set i relation til GDPR en helt valid tilgang til arbejdet kun at basere sit arbejde på de kontroller, der er relevante. Det er ikke nødvendigt at gennemgå den fulde ISO 27001 certificering, ” Siger Rasmus Theede og fortsætter: 

”Når det er sagt, er der stor forskel på, hvor langt danske virksomheder er nået med arbejdet med informationssikkerhed. Hvis man ikke tidligere har haft en struktureret tilgang til området, kan det godt være, at man opdager, at der er langt til mål. Omvendt kan GDPR  være et godt startskud til at gribe informationssikkerhed an på en god måde.”

Det er på dette stadie helt fint at erkende, at man ikke internt i virksomheden besidder den nødvendige erfaring, der skal til for at implementere de relevante kontroller. Der findes masser af virksomheder, der har netop den ekspertise, og som både kan rådgive og hjælpe jer godt i mål.

Hvis du har HubSpot

Det er ikke nogen hemmelighed, at vi hos Katalysator er partnere med og forhandlere af det amerikanske marketing automation-system HubSpot. Derfor giver det i denne kontekst mening at se på, hvordan HubSpot selv håndterer GDPR.

HubSpot har selv meldt ud, at platformen kommer til at levere fuld understøttelse af GDPR, men som vi har været igennem ovenfor, er teknikken jo kun en lille del af at opfylde kravene. 

I har således selv ansvaret for, at jeres egen databehandling kommer til at understøtte kravene – herunder især reglerne for samtykke og reglerne om retten til at blive glemt. 

Derfor er det vores anbefaling, at du sammen med jeres salgschef tager en snak om jeres CRM-system og procedurerne for, hvordan I indsamler data – og om det overhovedet er muligt at blive glemt i jeres systemer.

Du kan finde persondataforordningen på EU's hjemmeside på dansk her: EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Find ISOs standard for informationssikkerhed her: ISO/IEC 27000 family - Information security management systems

Persondataforordningen