Sådan arbejder du med digital analytics efter GDPR

,

GDPR kan være den største forandring nogensinde for digital analytics – det har potentiale til at ødelægge hele martech-økosystemet og resultere i enorme bøder for store virksomheder, der vælger at ignorere ændringerne.

Denne artikel er målrettet alle, der arbejder med digital analytics og som ønsker at vide, hvordan EU General Data Protection Regulation (GDPR) kommer til at påvirke deres arbejde fremadrettet.

Først og fremmest er det vigtigt at vide, at fristen for overholdelse af de nye regler er 25. maj 2018. Efter denne dato skal alle virksomheder, ifølge GDPR, have kontrol over de personlige oplysninger, de ligger inde med.

20 millioner euro eller op til 4 % af virksomhedens globale omsætning fra seneste regnskabsår. Så stor er bøden for overtrædelse af GDPR-reglerne. Det trækker overskrifter og motiverer virksomheder til at overholde GDPR. Udover en enorm bøde, kan overtrædelse af reglerne også skade virksomhedens omdømme og dens muligheder for at gøre brug af det indsamlede data.

Men GDPR skal ikke kun ses som en trussel. Den nye lovgivning kan også ses som en gylden mulighed for virksomheder, der ønsker at engagere sig på et personligt plan med deres kunder, hvad enten det drejer sig at samle alt data om kunden på ét sted, om at træffe beslutninger, baseret på data, eller andre anvendelsesmuligheder.

Der gemmer sig mange oplysninger i det data, der er tilgængeligt i en virksomhed og det er en kilde til at være konkurrencedygtig. Når først din virksomhed overholder reglerne, kan du føle dig mere sikker, når du bruger det data, der er tilgængeligt for virksomheden.

En nærmere undersøgelse af GDPR-forhindringer

Tag en dyb indånding – nu kommer vi til selve lovgivningen.

Ifølge artikel 4. er du ’data controller’, når du arbejder med online analytics og din analyticsudbyder, som fx Google eller Adobe, er ’data processor’.

Og sondringen mellem de to er vigtig: Som data controller er du ansvarlig for at gennemføre tekniske og organisatoriske foranstaltninger, som gør, at databehandlingen overholder GDRP-reglerne.

En data controller bestemmer, hvordan det personlige data behandles og med hvilket formål, mens en data processor er den, der udfører handlingen på vegne af data controlleren.

Kort sagt: Du er ansvarlig for at reglerne overholdes.

Hvad skal du være opmærksom på?

Den vigtigste opgave er at finde det personlige data, der er tilgængeligt i virksomheden. At vide hvor I opbevarer data og hvilke typer af data, I har til rådighed, er nemlig en forudsætning for at have kontrol over det.

HR-data, CRM-data og selv data fra check in i receptionen kan bruges og bliver sikkert allerede anerkendt som kilder til personlig data. Det er nemlig let at forstå, at det gælder som personlig data, når besøgende opgiver deres navn.

Men digital analytics data er normalt ikke det først virksomheder tænker på, når de identificerer og risikoevaluerer datakilder. Mange virksomheder er allerede begyndt at identificere datakilder, og det er værd at undersøge, om det også gælder inden for dit fagområde. Ofte bliver webanalytics-værktøjer som Google Analytics ikke anerkendt som datakilde. Det er typisk fordi Google Analytics ikke opfattes som en del af organisationen og på grund af manglende viden om, hvilke informationer der faktisk trackes.

Men hvis du indsamler data fra online formularer, indsamler IP-adresser, lokalisere forbrugere osv., så er det personlig data og risikerer at være genstand for kontrol.

GDPR stiller også krav om, at brugerne har ret til at slette oplysninger. Brugeren, den besøgende på websitet eller ”datasubjektet”, som GDPR kalder det, har ret til at blive glemt.

Det medfører to ting:

1) Der skal være et sted på dit website, hvor brugeren kan anmode om sletning af oplysninger.

2) Hvis der anmodes om sletning, skal du være i stand til at slette personlig data.

Sidstnævnte er klart det sværeste.

Indeholder Google Analytics og lignende værktøjer personlig data? Tja, højst sandsynligt.

Er det en problematik, du skal forholde dig til? Ja.

Personlig data og digital analytics-værktøjer

Om dine digital analytics-værktøjer indeholder personlig data afhænger både af din opsætning og dine brugere.

En bruger kunne fx ved en fejl indtaste deres CPR-nummer i et søgefelt på dit website, og herefter ejer du personlig data, selvom du ikke forventede det.

På vores egen hjemmeside har IIH Nordic en blogpost om Google Maps. En konsekvens af dette er, at mange brugere forveksler bloggen med det rigtige Google Maps og indtaster deres hjemmeadresse på vores website. Det giver ikke brugerne et brugbart søgeresultat, men det gør, at vi nu ligger inde med personlig data, som vi skal forholde os til.

Kan du slette personlig data, hvis du bliver bedt om det?

Vi har mange kunder med data siloer.

Det betyder, at den samme brugers data opbevares separat inde i flere systemer og ofte i forskellige dele af virksomheden: CRM-data, fakturaer i regnskabsafdelingen og marketing data kan måske indeholde data om samme person. I større virksomheder kan data endda være endnu mere spredt i organisationen.

Når du modtager en forespørgsel om sletning af data, så indebærer det, at du skal sikre, at alt data om personen er slettet på tværs af systemer. Dette kan være en lang, dyr og trættende proces, hvis dit data findes mange steder i virksomheden.

Centralisér dit data i en Datalake

For at gøre det lettere at slette personlige data, anbefaler IIH, at du opbevarer dit data på ét sted. Om du kalder det en datalake, data hub eller noget helt tredje er op til dig. At samle data på et sted gør opgaven med at slette personlige data meget lettere for dig.

Det gør også kortlægningen over kilder meget lettere (selvfølgelig kun, hvis du sletter det data du har overført til Datalake).

IIH tilbyder en Datalake service, der bygger på Googles BigQuery. Den service inkluderer et databeskyttelsesprogram som holder øje med, hvilke data du opbevarer og hvem, der har adgang til det. Programmet bruger Google Cloud Platform og er derfor let at integrere med andre af Googles services som fx Google Analytics, AdWords, YouTube, DoubleClick og DataStudio. Programmet understøtter også ikke-Google-programmer som Data Loss Prevention API, som kan scanne og redigere dit data for dig.

Kontakt os, hvis du vil vide mere.

GDPR discovery audit

Behandling af personlige data er ikke en forbrydelse. Ifølge artikel 6 (1) i GDPR er der seks tilfælde, hvor databehandling opfylder loven.

IIH tilbyder en GDPR discovery audit, hvor du kan lære mere om dit online analytics data og som giver dig et overblik og en plan for, hvordan du finder og får kontrol med skjult personlig data.

IIHs GDPR-audit inkluderer:

– En gennemgang af din privatlivspolitik for at sikre, at du opnår det rigtige brugersamtykke.

– Automatisk revision af det data, du indsamler.

– En data-handlingsplan, som lærer dig hvordan du overholder GDPR.

– Datafiltre for at sikre, at personlige data ikke opsnappes ved tilfældigheder.

– Juridisk rådgivning

I IIH Nordic mener vi, at GDPR skaber nye muligheder for at gøre dit data mere pålideligt og for at arbejde med personlige oplysninger på en mere sikker måde med samtykke fra brugerne. At overholde GDPR betyder øget sikkerhed for brugerne og sikrer, at deres data er med til at levere en bedre service.

Vi brænder for at få mere ud at dette nye datalandskab og ser frem til at arbejde sammen med dig. Hvad tænker du om GDPR? Kontakt os og lad os have en dialog.

0 replies

Skriv en kommentar

Want to join the discussion?
Feel free to contribute!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *