Innebygd personvern i Cube: dataminimering, formål og behandlingsansvar

Publisert 23/03/2018 av Magnus

GDPR angir i artikkel 25 at “[…]by default, only personal data which are necessary for each specific purpose of the processing are processed”, eller som Datatilsynet formulerer det: “Dersom identitetsopplysninger eller personopplysninger ikke er nødvendige for å oppnå formålet, taler dataminimalitetsprinsippet i retning av å ikke samle dem inn.”

images (1)

Med Cube kan du samle mange CRM’er og datakilder og jobbe med mange formål, aktiviteter og kampanjer i parallell.
Fordi vår løsning både mottar og beriker persondata i forbindelse med salg og kundekontakt, er det helt sentralt for oss å ha dette grunnprinsippet innebygd i løsningen vår.

Her er noen eksempler på hvordan vi jobber med å bygge personvern inn i Cube. 

Formålsorientert datalagring

En Assignment i Cube inneholder et logisk isolert datasett – det er med andre ord adskilt fra alle andre datasett, og det er her persondata lagres. Alle kampanjer og aktiviteter i Cube skjer underlagt en Assignment. Når man oppretter en Assignment må man angi et formål (Purpose) med lagringen og behandlingen av dataene, samt hva slags data som skal lagres og behandles. Skjermbilde

Dataminimering

Fra og med 25.03.2018 er det slik at det kun er noen ytterst få datafelter i Cube som er standard og nødvendige for at Cube skal fungere – resten oppretter du selv i tilknytning til formålet.

Eksempelvis vil ikke annet enn navn, telefonnummer og mailadresse være nødvendig for formålet “salg av økt bredbåndskapasitet” for at Cube skal fungere, men du har kanskje data på <avstand til sentral> og <nåværende hastighet> som du ønsker å bruke. Da oppretter du disse feltene, og kan gjøre både rapportering og segmentering på de som du ønsker – forutsatt at du har relevant samtykke eller kan omgå dette, selvsagt.

Med dette legger vi til rette for at man i operasjoner der man oppretter og/eller vedlikeholder en databehandling må ta stilling til hva som er nødvendig og unødvendig for formålet.

Behandlingsansvar på hvert eneste datasett

Dette skal selvsagt også være transparent ut mot kundene, noe vi vil dekke i et senere innlegg. Transparens er imidlertid et gjennomgående tema, og derfor inkluderer vi også en registrering av en behandlingsansvarlig (DPO/controller) pr Assignment. Den styrende tanken er at en DPO eller representant for den behandlingsansvarlige skal kunne ha tilgang, få varsel om og ha innsikt i det som foregår, og at dette skal være synlig også for personene som får sine data behandlet og de brukerne som behandler de. 

Vi anser GDPR som en gigantisk forretningsmulighet for norske og europeiske datadrevne bedrifter som evner å gripe den. Derfor lager vi løsninger som ikke bare er i samsvar med GDPR og øvrige juridiske fremskritt, men som gjør det enkelt og skalerbart for våre bedriftskunder.

Riktig god påske!

nb_NONorwegian