Derfor er verdens kedeligste forordning interessant for dig

Du har helt sikkert hørt om den nye databeskyttelsesforordning (GDPR), der finder anvendelse fra den 25. maj 2018. Den kan muligvis lyde kedelig og bureaukratisk. Som noget, der kræver udarbejdelse af dokumentationsarbejde – og sidstnævnte er da heller ikke forkert. Men hvad skal det hele gøre godt for? Og hvorfor skal man forholde sig til den, når man bare er en uskyldig kommunikationsafdeling? Få et bud her.
Databeskyttelsesforordningen!
 
Som kommunikationsperson får du muligvis narkolepsi af navnet på den nye forordning.
 
For ikke nok med, at navnet er langt, tungt og emmer af noget, som kun kan være udtænkt af en jurist. Navnet er tilmeld uløseligt forbundet med it, i særdeleshed it-sikkerhed. Og med risiko for at træde et par enkelte over tæerne, så er kombinationen jura/it ikke ligefrem den cocktail, der får den typiske kommunikationsperson til at bryde ud i jubel og uddele highfives. Nej, vel?
 
Dokumentation i vente
Bedre bliver det næppe ved udsigten til, at databeskyttelsesforordningen stiller krav og spørgsmål, du som dataansvarlig skal have styr på – og det skal tilmed kunne dokumenteres. Og har man ikke orden i penalhuset, vil man kunne blive ramt af en potentiel bøderegn i en sådan grad, at man skulle tro, forordningen er grundpillen i en ny finansieringsmodel for EU.
 
#REKLAMEPLADS#
 
Så kan man jo godt blive lidt træt, ikke?
 
Men inden du går helt og aldeles kold, så lad mig gøre et forsøg på at skabe en form for – måske, begejstring er lidt for ambitiøst – forståelse for forordningen, og hvorfor du bør omfavne den med ja-hatten på. Og jeg slutter af med min helt personlige kommunikationshistorie, som fik mig til at se lyset for 13 år siden.
 
Hvad skal du have styr på?
Inden vi kaster os ud i det ambitiøse forståelsesprojekt, så burde der måske lige være en ultrakort repetition af, hvad det hele går ud på, da du sandsynligvis er faldet i søvn de andre gange, nogle har forsøgt at forklare det.
 
Sådan helt kort: Du og kollegaerne skal have styr på, hvilke persondata I har registreret i organisationen. Og hvorfor. Hvorfor registreringen er lovlig, en slettepolitik, at de registrerede er korrekt informeret osv.
 
Som k-afdeling ligger I inde med stakkevis af data om jeres kunder, brugere eller medlemmer. Tænk bare på jeres nyhedsbrevsliste eller presselister.
 
I en kommunikationsafdeling er de typiske persondata, der arbejdes med, navn og diverse kontaktoplysninger (hvilket sikkert sejler rundt, uden at nogen har overblik). Disse oplysninger bruges oftest i forbindelse med:
 
  • Udsendelse af nyhedsbreve
  • Kontakt til journalister
  • Kunde-/medlemsinformation
  • Salgsaktiviteter for potentielle kunder/medlemmer
  • Arrangementshåndtering
  • Kampagner på sociale medier.
 
Personoplysninger er dog meget andet end et navn og en e-mail. Det er også IP-adresser, som de cookies, der er installeret på jeres hjemmeside, elsker at søbe rundt i. Personoplysninger er kort sagt alle oplysninger, som kan bruges til at identificere en person med.
 
Og så tilbage til spørgsmålet – hvad skal hele dette GDPR-cirkus gøre godt for?
 
Darth Zuckerberg
Først den åbenlyse grund til den nye forordning. Den såkaldte afsløring af, at Facebook udnytter og lader andre udnytte data om dig, mig og vores venner, gør måske, at du har en form for sympati for initiativer, som har til formål at sikre bedre beskyttelse af vores persondata.
 
Facebook er endnu engang havnet i en kæmpe krise, da en tidligere medarbejder i Cambridge Analytica afslørede, at analysevirksomheden havde misbrugt 50 millioner Facebook-profiler i forbindelse med Trumps valgsejr.
 
Men – vil du indvende – det er altså en virkelighed, som ligger meget langt fra din brug af personoplysninger i det daglige kommunikationsarbejde. Så hvorfor skal det gå ud over dig?
 
Ordentlighed?
Selvom din primære beskæftigelse ikke er at suge persondata ud af folk og sælge dem videre, så håndterer du højst sandsynligt persondata i dit daglige virke. Og da persondata kun er til låns, så har du, som det ordentlige menneske du er, en naturlig interesse i at passe godt på dem. Det vil sige at sikre dig, at uvedkommende ikke får adgang til dem, at du i det hele taget har en gyldig grund til at håndtere dem og så videre. Også for din egen skyld.
 
Hvem kunne de uvedkommende være? Det kunne for eksempel være en tidligere kollega, som stadig har adgang til jeres nyhedsbrevsystem, fordi I ikke som en del af en fratrædelsesproces sikrer, at adgang til alle it-systemer lukkes ned. En situation, som kan være særlig kikset, hvis nu den tidligere medarbejder har fået job hos en konkurrent og uhindret kan følge med i jeres nyhedsbrevs klik- og åbningsrater. Og nej, det må personen selvfølgelig ikke. Men det er i første omgang dig som dataansvarlig, der skal træffe de tekniske og organisatoriske foranstaltninger, som det hedder på dejligt forordningssprog, for at sikre, det ikke kan ske.
 
Når cookies giver uventede gæster
Apropos uvedkommende. Er du helt sikker på, at hjemmesiden, du har ansvaret for, ikke sender viden om dine webgæster videre til uvedkommende? Da Altinget i 2017 gennemgik 20 patientforeninger, så var det hele 17 af foreningernes hjemmesider, som videredistribuerede viden om de besøgende til marketingbureauer, som så kunne mæske sig i oplysningerne. Det sker typisk via såkaldte gratis cookies, som for eksemepl AddThis, og uden at foreningerne selv var klar over det. IP-adresser er også at betragte som persondata og endnu en grund til at gå ekstra grundigt til værks i arbejdet med at beskytte persondata.
 
At fremstå superutjekket
Tilbage i 2007 var jeg kommunikationskonsulent i en faglig organisation og skulle lave en e-mailkampagne, hvilket jeg havde gjort flere gange før. Jeg fik tilsendt en e-mail fra it-afdelingen med en liste på 8.000 e-mails. Udsendingen foregik via Outlook, men jeg kunne kun sende til 2.000 personer pr. e-mail ad gangen. Jeg sendte derfor fire identiske e-mails til i alt 8.000 medlemmer. Og så gik jeg til frokost.
 
En halv time efter fortalte en lang række e-mails fra vrede medlemmer, at jeg – den inkompetente – havde sat e-mailadresserne i CC-feltet fremfor BCC-feltet.
 
SHIT – det var ikke skide godt! For medlemmernes e-mailadresser risikerede efterfølgende at blive misbrugt, samtidig med at det var brud på persondataloven at udstille, hvem der var medlem af en faglig organisation, uden at den registrerede havde givet samtykke.
 
Som allerede antydet, så koster sådanne stunts på troværdighedskontoen – for medlemmerne var ikke just imponerede. På samme måde som medlemmerne af fagforeningen PROSA nok heller ikke var begejstrede, da PROSA tilbage i 2011 kom til at kompromittere data på 1.300 medlemmer, inklusive CPR-numre.
 
Nu er disse eksempler flere år gamle, og brug af nye teknologier kan være med til at minimere lignende gentagelser. Men der er stadig masser af eksempler på læk af data. Også for markant større organisationer. For eksempel da Novo Nordisk i 2017 kom til, på grund af en menneskelig fejl, at lægge 95.000 potentielle jobansøgeres oplysninger på nettet. For slet ikke at tale om den berømte dag, hvor ca. 5 mio. CPR-numre, der i ukrypteret form skulle sendes fra Statens Seruminstitut til Danmarks Statistik, blev fejlafleveret af postvæsnet, så det i stedet kom i hænderne på den kinesiske visummyndighed.
 
Spænd sikkerhedsselen
Da sikkerhedsselen i 1976 blev lovpligtig, er jeg sikker på, at mange bilister var kede af den bureaukratiske foranstaltning. For dermed risikerede man som bilist bøder, hvis man ikke fik viklet sig ind i en sele, inden Opel Kadetten kunne lave hjulspin, hvilket besværliggjorde chancen for at blive kylet ud af forruden, hvis det gik galt. I dag tager vi det som en selvfølge at tage sikkerhedsselen på, da vi jo ved, at det er i vores egen – og vores medpassageres – interesse.

Databeskyttelsesforordningen, hvor kedeligt navnet end lyder, skal derfor ikke bare ses som en plageånd, der har til formål at holde EU beskæftiget. Det er i den grad i din og din organisations interesse at passe godt på persondata. Ikke kun for de registreredes skyld. Men også for jeres egen, så uvedkommende ikke kan stikke snablen ned i de persondata, I passer på. Og så I minimerer risikoen for uheldig medieopmærksomhed.
 
At få en bøde er træls, men overskueligt. Tab af troværdighed kan være langt, langt værre.

Del artikel

Tilmeld dig vores nyhedsbrev

Vær på forkant med udviklingen. Få den nyeste viden fra branchen med vores nyhedsbrev.

Forsiden lige nu

Læs også

Job