Artikkel  

GDPR-tips 1: Ikke samle inn mer data enn nødvendig

Trenger vi alle disse dataene for å gjøre det vi vil gjøre? Selv om GDPR ble introdusert i 2018, betyr det ikke at alle organisasjoner etterlever den. En viktig del av GDPR er å ikke samle inn mer data enn nødvendig. Det skriver Joakim Hvalby, programansvarlig informasjonssikkerhet i Junglemap, i en av fire artikler med tips om GDPR.

Privacy
GDPR
NanoLearning
GDPR-tips 1: Ikke samle inn mer data enn nødvendig

Retningslinjene fra myndighetene er klare: Personopplysninger som behandles eller lagres skal være «adekvate, relevante og ikke for omfattende i forhold til formålet». I klartekst betyr dette at vi aldri skal behandle eller lagre flere personopplysninger enn det som er nødvendig.

 

Samtidig er det mye fokus på datadrevet utvikling og innovasjon. Og det er ikke så rart. Riktig utnyttet kan vi ha stor nytte av å analysere brukerdata for å få en bedre forståelse av hvordan våre ansatte, medlemmer eller innbyggere bruker våre tjenester. Men personopplysningene som behandles må være tydelig knyttet til formålet. Det er med andre ord ikke tillatt å samle inn personopplysninger for ubestemte fremtidige behov, fordi de kan være "gode å ha". Eller fordi det er mulig. Vi må begrense oss.

 

For å enklere kunne begrense oss, kan det være lurt å følge disse rådene:

 

1. Tenk først på hva du trenger å gjøre og hvorfor
Hvilke personopplysninger trenger du å bruke? Hvorfor og på hvilken måte? Har du planlagt å gjøre flere forskjellige ting med personopplysninger? Er det noen personopplysninger du ikke vil håndtere direkte, men likevel mottar? Å bestemme seg for disse tingene før du begynner å faktisk introdusere data i prosessen, vil bidra til å begrense dataene som brukes.

 

2. Bestem formålet før du begynner
GDPR krever at du tydelig bestemmer formålene før behandlingen starter, og at du da bare behandler personopplysningene for disse formålene. Det kalles formålsbegrensning. Og igjen, bruk bare de personlige dataene du trenger. Det er ikke tillatt å behandle flere personopplysninger enn det som er nødvendig for de formålene du har bestemt. Dette kalles dataminimering og er et av de grunnleggende prinsippene i GDPR. Hvert formål må også beskrives spesifikt og konkret.

 

Etter fem år med GDPR er dette noe vi virkelig burde vite, men som vi ofte glemmer.

 

Vi har nå lansert 2023-versjonen av GDPR og personvern hvor vi bruker NanoLearning som metode for å skape bevissthet hver dag hele året. For til syvende og sist avhenger også et fungerende personvern av oss som brukere. Det er viktig at vi tenker og handler med beskyttelse av personvern som en del av vår virksomhet, hver dag hele året. At vi ikke samler inn mer data enn nødvendig.
 

 

Artikkel   14 desember 2022