Persondataforordningen eller ’GDPR’ rammer os alle d. 25. maj 2018 og der er ikke nogen vej uden om. Brugeren skal trygt kunne aflevere de personlige data, der er nødvendig for at platformen kan fungere, og det gælder for apps såvel som andre typer platforme. Men hvem har egentlig ansvaret og hvilke rettigheder gør sig gældende?
Lovgivningen fordeler kort fortalt rettigheder og ansvar på tre roller: ’Controller’, ’processor’ og ’data subject’. House of Code er et app-bureau og fungerer derfor hovedsageligt som ’processor’ mens kunden typisk vil være ’controller’. ‘Controlleren’ er kort fortalt app’ens ejer og dermed også ansvarlig for, at GDPR efterleves og ’data subjectets’ eller ‘brugerens’ rettigheder overholdes.
I denne artikel vil jeg komme ind på ‘data subjects’ konkretere rettigheder har samt give mine bud på hvordan man specifikt kan håndtere det at give ’consent’ eller ‘samtykke’ til brug af persondata i apps. Det er nemlig et af de områder, der med den nye persondataforordning, bliver en del vanskeligere. Grunden til at jeg har valgt at fokusere på ’consent’ er, at samtykke til brugen af data, har stor indflydelse på hvordan app-designet og brugeroplevelsen udformes.
Først vil jeg lige liste og kort forklare ’data subjectets’ eller ‘brugerens’ otte fundamentale rettigheder:
- Information
Du skal have at vide hvorfor og til hvad en app skal bruge dine persondata – f.eks. ved oprettelse af en bruger. - Access
Du ejer selv dine data og du skal derfor have adgang til dem – f.eks. via din brugerprofil. - Rectification
Du har ret til at få dine data rettet, hvis de er forkerte eller mangelfulde. - Erasure
Du har ret til at få dine data slettet med ’undue delay’ med undtagelse af lovpligtige data – f.eks. fakturaer i et regnskab osv. - Restriction of processing
Du kan gøre indsigelse mod, at dine data bliver brugt, hvis der er en tvist omkring retten til brugen – f.eks. ved afvisning i kreditvurdering på baggrund af en tvivlsom dataregistrering i RKI, må banken ikke bruge RKI’s data før tvisten er afgjort. - Notification obligation
Du har ret til at blive notificeret, hvis det er sket et databrud hvor dine data er indblandet – f.eks. ved hackerangreb. - Data portability
Du skal kunne eksportere persondata og data som i et rimeligt omfang er generet på baggrund af dine persondata i et maskinlæsbart format – f.eks. csv. eller xml. - Object
Du har retten til at sige stop til uønskede henvendelser med øjeblikkelig virkning og så skal dette efterleves – f.eks. reklamer - Not to be subject to a decision solely based on a automated process
Du har ret til at blive vurderet af en person frem for prismæssigt at blive sat i en bås automatisk – f.eks. fastsættelse af forsikringspræmie på bagrund ad postnummer.
Men hvad er persondata egentlig?
“Hvilken som helst information som kan unikt identificere en levende person.”
Let’s talk about consent
Før nogen som helst må indsamle og processere dine personlige data, skal du give dit ’consent’ – altså samtykke. For at give dit samtykke, skal du være oplyst på en informativ måde, der gør dig i stand til at træffe et velovervejet valg. GDPR dikterer, at brugeren skal afgøre om denne er blevet oplyst grundigt nok. Derfor er det helt essentielt, at vi nu designer løsninger, der tydeligt oplyser hvilke af brugerens personlige data som afgives og hvad de bruges til.
Det gør det vigtig, at tænke over hvilken målgruppe man kommunikerer til, så f.eks. samtykkeerklæringen er designet på en måde, der gør den letforståelig for modtageren. Henvender du dig f.eks. til unge, skal du sørge for, at erklæringen kan forstås af en ung person. Det er i den forbindelse vigtigt at få med, at en person under 16 år kun kan give sit samtykke i kraft af en myndig person.
Hvordan designer vi apps, så brugeren kan afgive sit samtykke på et informativt grundlag?
Historisk set er vi vant til, at man blot afgiver samtykke via en simpel checkboks med links til betingelser, privacy policy osv., men den går ikke længere. Samtykkeerklæringen skal frem over være noget mere nuanceret.
Først skal vi finde ud af hvilke personlige data vi ønsker at indsamle og med hvilke formål og først herefter, kan vi påbegynde designet af selve løsningen. For at undgå en masse checkbokse på en liste, forestiller jeg mig at vi kommer til at se samtykke-guides. Det vil sige, at brugeren som en del af oprettelsen bliver guidet gennem viften af samtykkeerklæringer.
Men vil det ikke ødelægge brugeroplevelsen?
Mit bud er, at vi får gladere og mere tilfredse brugere, da vi netop får muligheden for at forklare den enkelte bruger hvorfor vi skal bruge deres data og til hvad – og hvorfor det giver værdi til netop ham eller hende. I bund og grund handler det om god kundeservice i kraft af gennemsigtighed over for sine brugere. Vi benytter allerede samme type samtykkeerklæring når vi spørger brugeren om lov til push-beskeder, så på den måde er der ikke noget nyt.
Vi skal huske på at GDPR er til for, at sikre alles personlige data og rettigheder inkl. dig selv. Det handler til syvende og sidst om at tillid til de hjælperedskaber og services, vi gør brug af i dagligdagen. Tager vi ikke det alvorligt, risikerer vi at gå glip af en masse af det digtiale samfunds gevinster. I House of Code er persondata noget vi i forvejen tager meget alvorligt, så vi glæder os bare til at skabe endnu mere værdi for brugerne.
Jeg håber at du kunne bruge mit take på ’samtykke’ og ’GDPR’. Husk at det du lige har læst blot er et lille hjørne af GDPR og betydningen for apps. Og husk, at du altid er velkommen til at kontakte mig med spørgsmål.
#beawesome
Læs mere om GDPR eller kontakt os, hvis du har nogle spørgsmål!
