Behandler du brugernes data korrekt?

"SMIL! Og jeg skal fortælle dig, hvordan du kommer til at se ud som gammel". Hvis du har børn eller barnlige sjæle i familien, er det sikkert en sætning, du har hørt en gang eller fem denne sommer. ’Faceapp’, en app hvor du kan se, hvordan du kommer til at se ud som ung, gammel eller det modsatte køn, har nemlig været en af sommerens helt store samtaleemner. Samtalerne har imidlertid handlet mere om datasikkerhed end om, hvem der bliver mest rynket med alderen. Behandlingen af persondata er nemlig stadig dybt relevant, og med ’Faceapp’ som folkeliggørelsen af diskussionen om data, er forbrugerne opmærksomme på deling af data som aldrig før. Derfor er det vigtigt, at brands har helt styr på datahåndteringen, så forbrugerne trygt kan dele deres data mod en øget værdi.

Der er ingen tvivl om, at der er langt fra den russisk/kinesiske ’Faceapps’ databehandling til danske forhold. I Danmark har vi nemlig langt strengere krav til databehandling, end de eksempelvis har i Rusland og Kina. Forskellen ses især i kraft af GDPR-lovgivningen, der rullede ind over Danmark og de øvrige EU-lande i maj 2018. Med ét var GDPR på alles læber, og det med god grund. For det er både vigtigt for brands, privatpersoner – ja faktisk alle, der har deres daglige gang online. Lovgivningen fokuserer på at sikre en række grundlæggende rettigheder i en digitaliseret verden, og selvom intentionen er god, kan GDPR være en uhåndgribelig størrelse, der kan være svær at blive helt klog på. Men bare rolig, vi er klar til at hjælpe dig! Vi har nemlig allieret os med en vaskeægte dataspecialist: Mads Krabbe Øvlesen, der er Chief Programmatic Trading Specialist hos Dentsu Aegis Network i Aarhus. Mads har i det følgende samlet sine bedste råd i forhold til at forstå og efterleve den til tider forvirrende og gråhårsfremkaldende GDPR-lovgivning. Så er det bare med at finde overstregningstuschen frem, pudse brillerne og suge guldkornene til dig. Værsgo!

Opsaml ikke mere data, end du har brug for         
”Hvor meget og hvilken data må jeg egentlig opsamle?” har du måske tænkt uden helt at lægge dig fast på et endeligt svar. Det er der faktisk en god grund til, fordi der ikke findes et svar, du kan sætte to streger under. Det er, som alt andet i verden, fyldt med gråzoner. Mads Krabbe Øvlesen har dog et godt bud: ”Det er god GDPR-stil kun at opsamle den data, der er relevant i forhold til den ydelse, du leverer. Men faktisk må du opsamle det meste data, så længe du får et eksplicit samtykke hertil. Her kan man så diskutere, om det rent moralsk er i orden at opsamle oplysninger, som du ikke har brug for, og hvor du ikke kan kvittere med en forøget værdi for brugeren. Det er dårlig GDPR-stil, men ikke desto mindre findes der et utal af eksempler på netop det. Et af dem, man oftest møder, er apps, der vil have adgang til både dine billeder og din lokation, hvor jeg som bruger sidder tilbage med en usikkerhed om, hvad de egentlig skal bruge det til”.

Det er fristende at opsamle så meget data som muligt i håb om at kunne bruge det i fremtiden, men lad os være ærlige: Det kommer du nok ikke til. Less is more er ikke en reklamekliché uden grund. Tværtimod risikerer du at gøre det sværere for dig selv, da et af de vigtigste kriterier, når du vil arbejde datadrevet, er, at du som virksomhed skal have tiltro til, at dit datagrundlag er fyldestgørende nok. Ellers risikerer du nemlig at komplicere det for dig selv, hvis du indsamler for meget: ”Du skal ikke bare skovle data ind. Du skal kun samle det ind, du reelt har brug for. Det er der flere grunde til. For det første skal du kunne dokumentere, hvordan du har erhvervet data, og hvad du bruger det til. For det andet ligger der en masse spildomkostninger ved at samle for meget data, og du risikerer at forurene dine øvrige data, så du mister overblikket”, forklarer Mads Krabbe Øvlesen.

Datatransaktion frem for dataopsamling               
Forestil dig, at du begynder at motionere uden at kunne mærke resultater, eller du giver en gave uden at få et ’tak’ til gengæld. Lidt skuffende, ikke sandt? Det er præcis det samme, der er på spil, når det handler om data. Når du beder en bruger om at aflevere persondata, er det nemlig helt essentielt, at du leverer noget til gengæld. Lad os smide et eksempel på bordet: Hvis du beder om en brugers geografiske placering, så forventer vedkommende, at du målretter events mod deres bopæl og præsenterer historier, som er relevante for deres specifikke lokalområde. For hvis du ikke gør det, jamen hvorfor skal du så overhovedet have den information? På den måde anvender du den indsamlede persondata til at skabe en øget værdi, og indsamlingen af persondata kan ses som en datatransaktion frem for en dataopsamling. Noget for noget.

Stadig forvirret?            
Selvom GDPR og databehandling generelt kan virke som et forvirrende og tidskrævende benspænd, er det ikke desto mindre enormt vigtigt at have styr på – både af etiske og økonomiske årsager. Det handler om at sætte sig grundigt ind i lovgivningen, bruge sund fornuft og sørge for at have gode og overskuelige praksisser i organisationen. Så her, mere end et år efter GDPR blev indført, er det tid til at gøre status og til at stille sig selv følgende spørgsmål:

• Har jeg et overblik over, hvordan og hvor meget data jeg indsamler om mine brugere?
• Hvis en bruger skulle bede om oplysninger om vores håndtering af deres data, vil jeg så kunne fremvise det?   
• Har jeg nogle gode og overskuelige GDPR-praksisser i min organisation, som mine medarbejdere let kan tilgå?

Er du stadig lidt i tvivl om, hvorvidt du har helt styr på GDPR og datahåndtering? Så kan det være en god investering at alliere dig med en partner, der kan rådgive og tjekke din databehandling.