AKER BRYGGE, OSLO (digi.no): Den 25. mai trer EUs nye personverndirektiv (GDPR) i kraft, og blir samtidig en del av en den nye personopplysningsloven i Norge.
Det danske selskapet Siteimprove har lansert en ny løsning som de hevder skal gjøre det enklere å få nettsteder til å overholde GDPR, ved å automatisk gjennomsøke nettsider på jakt etter personlige data som for eksempel navn, epostadresser, telefonnumre, personnumre og annet. Løsningen skal også kunne gi oversikt over disse dataene i alle domener, underdomener og IP-adresser som tilhører organisasjonen.
Advokat Mads Christian Sørensen hos Siteimprove forteller til digi.no at veldig mange ikke er klar over at det kan være problematisk å integrere («embedde») for eksempel en video eller et kart fra en tredjepart – for eksempel Youtube – eller en Facebook-delingslenke på nettsiden.
Denne typen integreringer gjør nemlig at informasjon om identifiserbare personer (brukeren av nettstedet ditt) kan blir delt med en tredjepart, hvis tredjeparten bruker informasjonskapsler (cookies) som innsamler informasjon om besøkende.
Har man ikke oversikt over hvilken type informasjonskapsler tredjepartene benytter, og hvordan de håndterer besøksdataene de innhenter, kan man risikere at man ikke lenger opptrer i tråd med GDPR-regelverket. Man må derfor sørge for å informere besøkende på sin hjemmeside om dette.
– Hvis du går inn på en side som har en Youtube-video integrert, så kan Youtube potensielt få vite alt du gjør på den siden. Det betyr ikke at det er ulovlig å gjøre det, men man skal fortelle brukerne om det i for eksempel delen om personvern-policy på sitt nettstedet, sier Sørensen.
I slike tilfeller skal bedriften ha en databehandleravtale med for eksempel Google, siden man deler informasjon om identifiserbare personer med tredjepart. Det er blant annet denne typen problematikk man skal kunne få bedre oversikt over med Siteimprove GDPR.
Sørensen legger til at veldig mange nettsider bruker Google Analytics, og da skal man også ha en databehandleravtale med Google, med mindre besøksdataene er anonymiserte.
De fleste bedrifter som jobber med GDPR har ifølge Sørensen mye fokus på områder som HR, finans, lønn, og så videre – men glemmer ofte at mye persondata også kan ligge lagret på ulike nettsider og intranett.
Personinformasjon i metadata
En lignende løsning kommer fra det norske selskapet Virtualworks, som nylig lanserte verktøyet Viainsight. Denne løsningen bruker algoritmer og lingvistikk for å gjenkjenne persondata, og trekker data ut fra ulike datakilder som er indeksert via selskapets indekseringsplattform Via.
Les mer her: Norske Virtualworks har gjort forretning av GDPR med sin søketeknologi (Ekstra)
Men mens Viainsight fokuserer i hovedsak på alt som ligger i ulike forretningssystemer, epost, dokumentarkiver og så videre, så er det bedriftens nettsider som er fokus for Siteimprove GDPR.
Key Account Manager i Siteimprove, Ida L. Barvik, forteller til digi.no at hun mener ett av fortrinnene deres er at de vil kunne søke i metadata. Det kan for eksempel være persondata skjult i metadata i bilder eller i nedlastbare dokumenter, for eksempel kontaktinformasjon til en tidligere ansatt som ligger på ulike sider som ikke er i bruk lenger. Det kan også være opplysninger som navn og telefonnummer i PDF-er og andre dokumenter. Da har man etter de nye reglene plikt til å vite hvor denne informasjonen finnes, og hvordan man fjerner den.
– Metadatasøk er ikke live ennå, men kommer i løpet av første kvartal, forteller Barvik. Hun forklarer videre at Siteimprove-løsningen er uavhengig av hvilken publiseringsløsning man bruker – siden den baserer seg på crawling av web-sider, men at de også lager plugins til populære CMS-er for enklere bruk i det daglige.
Som standard crawles offentlige data, men systemet kan settes opp til å få tilgang også til data på lukkede områder, via passord.
– På ett eller annet tidspunkt må man rydde opp på sin hjemmeside. Mange selskaper har for eksempel landingssider for kampanjer. Og så glemmer man den! Den eksisterer i cyberspace, og det står en masse informasjon om ansatte og annet, kanskje med et bilde eller to. Men den blir ikke slettet.
GDPR er en intern omdannelsesprosess
– I hvilken grad tror du norske bedrifter er klare for GDPR?
– Jeg tror ikke det er noen som er helt klare ennå. GDPR er en intern omdannelsesprosess, og når man vet hva som skal til så er det klart det tar lang tid. Det kan ta år å få implementert de nødvendige prosessene, sier Sørensen.
Sørensen forteller at de største bedriftene nok har vært i gang med prosessen lenge. Om man ikke har kommet igang nå, så klarer man heller ikke å bli klar før fristen, mener han. Likevel tror han at det vil være en forståelse fra tilsynsorganene, som Datatilsynet her i Norge, for at ikke alle klarer å være helt ferdig med hele prosessen innen den 25. mai.
– Men det vil nok være viktig for virksomhetene å kunne dokumentere at de er i gang.
GDPR-eksperten oppfordrer de som er usikre på GDPR til å besøke Datatilsynets hjemmesider og se om de har en veiledning for hva man bør fokusere på først.
– Og så må man gå i gang med å rydde opp. Det er en omdannelsesprosess hvor man må begynne å dokumentere mer og mer. Data flyter rundt, over hele internettet og i virksomheter, sier Sørensen.
– Du skal vite hva du har, hvor du har det og hvorfor du har det, sier Barvik, og legger til at hun tror mange kan få seg en overraskelse.
