Dataminimering – Oppnå Mer med Mindre

Agnes Norrman
By: Agnes Norrman GDPR | 7 desember

Mange ønsker å få innsikt i sine kunders behov. For å få dette forsøker mange å samle inn så mye kundeopplysninger so mmulig, og tror at det vil hjelpe dem. I dette blogginnlegget skal vi derimot se på hvorfor en slik tilnærming kan koste mer enn det lønner seg. Vi skal utdype begrepet dataminimering. Du vil se hvorfor det er god praksis å lagre mindre data, og hvilken relasjon det er mellom dataminimering og personvernforordningen (GDPR).

Når lagring av for mye data blir et problem

La oss si at du jobber som selger i en bedrift. Denne bedriften, i likhet med de fleste, trenger kunder som kommer tilbake. Bedriften din har pekt på viktigheten av at du skaper personlige relasjoner med hver enkelt kunde. Du synes imidlertid at mange av kundene er ganske like, og du synes det er vanskelig å skille dem fra hverandre. For å unngå pinlige situasjoner hvor du forveksler kunden med en annen, har du opprettet en fil hvor du lagrer informasjon om kunden, og hva dere har snakket om sammen.

Det du ikke har tenkt over, er hva du risikerer ved lagring av denne informasjonen, og om det er i samsvar med personvernforordningen. Hvis bedriften din opplever et datainnbrudd hvor uvedkommende får tilgang til denne filen med kundeopplysninger, er du forpliktet til å rapportere dette til Datatilsynet. Som en del av denne prosessen må du også informere de berørte kundene om at denne informasjonen kan være i hendene på cyberkriminelle. Denne samtalen kan få mye større konsekvenser enn det at du glemte den siste samtalen dere hadde sammen. Manglende overholdelse av kravene i personvernforordningen kan føre til store bøter for bedriften din. Negativ presseomtale og et ødelagt rykte for bedriften kan føre til at kundene ikke lenger stoler på dere.

Dataminimering er en del av de grunnleggende personvernprinsippene

Etter at bedrifter begynte å forstå hvor nyttig datalagring kan være, og etter at det ble så mye enklere å samle inn data, er det mange som føler for å lagre alt av opplysninger, for alltid.

Men da personvernforordningen trådte i kraft, kastet den lys over denne problemstillingen, siden den fokuserer på enkeltpersoners grunnleggende rettigheter for beskyttelse av personopplysninger. Det betyr at bedrifter ikke har lov til å lagre informasjon om kundene sine for alltid, da dette kan krenke kundenes personvernrettigheter. Dataminimering har derfor blitt en av de syv prinsippene i personvernforordningen.

Prinsippene er grunnsteinene for alle kravene i personvernforordningen, og de er viktige ressurser for å forstå hvordan man kan handle i samsvar med GDPR. De kan være svært nyttige for mindre bedrifter som kanskje mangler ressurser til å leie inn profesjonelle innen personvern, som kan lære dem om hvordan de kan etterleve kravene.

Les mer: Hvordan sikre at bedriften din er GDPR compliant

Dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere innsamlingsformålet, og det ivaretar enkeltpersoners rettigheter til personvern. Å følge dette prinsippet gir mange fordeler. Hvis bedriften din opplever datainnbrudd, vil uvedkommende kun få tilgang til en begrenset mengde data. Som et resultat av sletting av utdatert informasjon, vil lagrede data være mer nøyaktige og oppdaterte.

Det er bedriftens ansvar å kontrollere og vurdere hvor mye data som er nødvendig å lagre, og påse at unødvendig data ikke samles inn. Personvernforordningen sier at personopplysninger som skal behandles skal være tilstrekkelig, relevante og begrenset til det som er nødvendig for formålene. Det betyr at informasjonen skal være tilstrekkelig til å kunne realisere bedriftens formål med innsamlingen. Informasjonen som samles inn skal også være i henhold til formålet (relevant), og bedriften skal ikke lagre mer data enn nødvendig for det definerte formålet (begrenset).

Smart CTA_e-book NO

Dataminimering gir flere fordeler i tillegg til overholdelse av personvernforordningen

Det er mange bedrifter som begrenser datainnsamlingen sin kun for å overholde kravene i personvernforordningen. Noen tror at dataminimering kun er nødvendig for å unngå å bli bøtelagt iht. personvernforordningen. Men dataminimering gir mange flere positive resultater.  

Dataminimering reduserer risikoen for data på avveie og datainnbrudd, siden færre registreringer reduserer risikoen. Det skaper en mer effektiv datalagring. Teamet ditt kan bruke mindre tid på å søke gjennom arkiver, og tilgjengelig informasjon er mer nøyaktig og ikke foreldet.  Man kan også respondere raskere på forespørsler, siden man har mindre informasjon å bla gjennom. Dette gir deg også mer fornøyde kunder. Mange kunder blir stadig mer oppmerksomme på verdien av personopplysningene sine, og de stoler mer på en bedrift hvor de vet at personopplysningene deres ikke misbrukes. Sist, men ikke minst, kan du redusere kostnader ved dataminimering. Siden det koster penger å lagre data, vil mindre data spare bedriften for en del utgifter.   

Hvordan kan jeg implementere dataminimering?

Hvis du ønsker å implementere dataminimering i din virksomhet, kan følgende retningslinjer hjelpe deg i riktig retning.

Start med å redusere datainnsamlingen din. Bedriften må definere hvilke data som er nødvendige for å drive virksomheten, og hvilke som ikke er det. Du må også opprette klare og definerte protokoller for hvordan ansatte skal få tilgang til bestemte data. Det kan for eksempel være relevant for den som er ansvarlig for utbetaling av lønn å ha tilgang til bankopplysningene til de ansatte, men det er ikke nødvendig for en som kun arbeider i kundeserviceavdelingen.

Andre punkt på listen er å administrere data regelmessig. Dataene som samles inn, vil før eller senere bli utdaterte, så de må vurderes regelmessig. Med dataminimering sørger du for at databasene oppdateres jevnlig, slik at de bare inneholder relevant informasjon.

Tredje punkt er systematisk sletting av data. Dette er en viktig del av dataminimering. Når brukerdata blir utdaterte eller innsamlingsformålet lenger ikke eksisterer, er dataene unødvendig for bedriften og tar kun opp plass og kapasitet. Du må være sikker på at det bare lagres nødvendig data i bedriften din.

Du kan lese mer om vårt kurs om dataminimering, som er en del av vår bevissthetstrening, her.

Hvordan dataminimering kan brukes i hverdagen

Det er en god start å opprette generelle retningslinjer for hvordan man kan oppnå dataminimering. Men du må også lære opp dine ansatte til å tenke riktig i hverdagens gjøremål. Den rette tilnærmingen fra de ansatte er avgjørende for å kunne handle i samsvar med dataminimering og personvernforordningen, og også for å kunne ivareta cybersikkerheten for bedriften din.

Når teamet ditt samler inn informasjon, bør de først besvare fem spørsmål:

  1. Hva skal jeg bruke disse opplysningene til?

  2. Vet eieren av personopplysningene at jeg samler dem inn?

  3. Vet eieren hvorfor?

  4. Kan jeg oppnå formålet uten denne informasjonen?

  5. Hvor lenge trenger jeg denne informasjonen?

Ved å stille disse spørsmålene blir det lettere å forstå hva slags data det er nødvendig for bedriften å lagre, og hvilke du ikke har lov til å lagre.

Når bedriften din følger retningslinjene, og når de ansatte husker disse spørsmålene, vil du oppnå dataminimering og komme et skritt nærmere etterlevelse av kravene i personvernforordningen.