 |
Skriv en integritetspolicy |
1. Inledning
Vad är en integritetspolicy? Ibland säger man i stället sekretesspolicy. På engelska pratar man ibland om en privacy policy eller "privacy statement". Ordet "policy" betyder ungefär "grundprinciperna för ett företags handlande i en viss fråga". I det här fallet handlar det om "privacy", det privata och personliga.
Varför har man en policy? Jo, för att båda man själv och kunderna skall veta hur man ställer sig och agerar i en viss fråga. När det gäller en integritetspolicy på Internet handlar det många gånger om att skapa förtroende för kunderna. Med en integritetspolicy berättar man för kunderna hur personuppgifter och annan privat, känslig information hanteras på webbplatsen och av företaget bakom den.
På de flesta amerikanska sajter finns en "privacy policy". Då handlar det inte bara om förtroende, utan också om juridik. Man vill alltså vara säker på att det inte uppstår något rättsligt efterspel när kunderna använder webbplatsens tjänster och efteråt påstår sig ha blivit kränkta på ett eller annat sätt.
Vilka sajter behöver skriva en integritetspolicy? Främst kanske sådana som hanterar besökarnas personuppgifter och annan känslig information. I synnerhet gäller ju detta webbutiker, som inte bara arkiverar kundernas namn och adress, utan många gånger också kontokortsnummer, användarnamn och e-postadresser, vad de har köpt och för hur mycket.
Den sajt som på ett så bra sätt som möjligt berättar för kunderna hur deras uppgifter lagras och hanteras, skapar alltså goda förutsättningar för att kunderna skall känna sig trygga och vilja handla i butiken.
2. Hur skall en policy utformas?
Det finns naturligtvis inte bara ett svar på denna fråga. Därför måste varje företag fundera ut hur man vill bemöta kunderna och hur man hanterar informationen om dem. Här är några förslag på saker man måste tänka på:
Sanningshalt
Först och främst gäller naturligtvis att det man skriver måste vara sant. Säger man att man skyddar kundernas uppgifter så att inte obehöriga kommer åt den och sedan inte gör det, riskerar man att bli stämd och få betala böter.
Inom EU har man arbetat för att få fram olika principer och riktlinjer för hur personuppgifter skall lagras. Sverige har skrivit under flera sådana avtal och styrdokument, men långt ifrån alla företag har implementerat dem i sin verksamhet. Därför finns det fortfarande många frågetecken för hur en integritetspolicy skall se ut och praktiseras.
Säker lagring
För det andra måste man tänka igenom hur man faktiskt förvarar kundernas uppgifter. Är det ett säkert system? Den som lagrar känslig information i en databas på webbservern har dessvärre inte valt någon säker plats. Det bästa är att förvara uppgifterna på en dator som inte är åtkomlig från Internet. Man kan också förvara datan på en dator med bra brandvägg mot Internet.
Kunderna vill alltså veta både hur informationen lagras och att den inte kommer i orätta händer eller används på något felaktigt sätt.
Vilken information lagras?
För det tredje är det också viktigt för kunden att veta vilken information som lagras. Det kan vara uppgifter som tas emot via formulären på hemsidan eller webbutiken. Det kan också vara sådant som användaren inte ser, t.ex. information om klockslag besöket skedde, vilket land besökaren var uppkopplad från, vilken dator han eller hon hade, osv.
Den första typen brukar kallas personlig information. Det är personnummer, namn, adress, e-postadress, kontokortsnummer och liknande. Den andra typen kallas för anonym information. Det är sådan som samlas in via cookies eller liknande och kan vara IP-adress, information om vilken dator besökaren har, när sajten besöktes senast och hur länge besökaren stannade på sajten.
Som regel vill kunderna inte lämna ut personlig information i onödan och är ofta misstänksamma mot det företag som inte verkar förvara uppgifterna på ett säkert sätt. Man är inte lika försiktig när det gäller den anonyma informationen, men är inte desto mindre misstänksam. Därför bör man berätta exakt hur båda typerna av information lagras.
Tänk också på att det finns bestämmelser för vilken information som får lagras. Känner man sig osäker är det alltid bäst att först kontrollera de bestämmelser som finns. Datainspektionen har ett bra artikelarkiv och kan ofta ge råd om man undrar över något.
Vad används informationen till?
Berätta för kunden hur och när informationen används.
Vilka har tillgång till informationen?
Detta är en fråga som kan tas upp i samband med att man diskuterar säkerheten. Många kunder vill inte att andra skall kunna komma åt den personliga informationen, alltså inte ens anställda på företaget.
Hur länge lagras informationen?
Kunderna vill självklart även veta hur länge informationen lagras. Här finns det ju flera olika problem, t.ex att företaget måste spara vissa bokföringsdata i tio år. Annan information kan lagras kortare tid.
Hur ändrar kunden uppgifter?
Många kunder vill ha friheten att kunna ändra uppgifter. Det kan vara en adressändring eller liknande. Hur bär man sig åt då?
Valfrihet
Många kunder kan tänka sig att låta webbutiken använda uppgifterna på ett sätt som är bra för kunden. Det kan vara skräddarsydda e-postutskick om nya produkter, tips om varor som liknar den de köpt eller förslag på produkter som passar deras smak.
Men alla vill inte detta. Därför behöver man bygga in valfrihet på webbplatsen så att olika preferenser kan tillgodoses. Detta måste också finnas med i policyn. Det kan t.ex stå att "om du klickar i att du godkänner att vi använder uppgifterna, så kommer följande att ske...".
Vem är du?
Du som samlar in informationen måste också berätta vem du är. Det betyder att det måste stå företagsnamn, adress, telefonnummer, e-postadress och gärna kontaktperson för webbutiken. Det är inte helt fel att lägga in bilder på butiken och de personer som jobbar där, för att skapa ett ökat förtroende hos besökaren.
Som jag redan skrivit på de andra sidorna om e-handel, måste köpinformationen tydligt framgå. Detta behöver inte nödvändigtvis finnas med i integritetspolicyn, men måste i alla fall presenteras på ett tydligt sätt. Kunderna bryr ju sig inte om var det står, bara det är lätt att hitta sådan information.
Tydlighet
En integritetspolicy måste till sist vara lätt att hitta och läsa. Ett vanligt sätt är att låta kunderna läsa igenom den innan de får gå vidare på sajten, t.ex för att beställa eller betala.
3. Exempel på en integritetspolicy
Nedan följer ett exempel på en integritetspolicy, som jag hjälpte ett företag att skriva under våren 2003. Jag har ändrat i vissa uppgifter och ändrat företagets namn. Du får gärna använda texten, men tänk på att du kanske måste anpassa den till ditt eget företags policy.
Integritetspolicy för Företaget AB
Företaget AB är en av Sveriges mest besökta och mest omtalade webbplatser inom data- och IT-utbildningar. Det rykte sajten har är resultatet av hög säkerhet och stor respekt för besökarnas integritet. Vi har funnits på Internet sedan 1999 och har haft hundratals kunder.
Företaget AB har instiftat en integritetspolicy som styr hur hela företaget samlar in, lagrar och använder den information som du förser oss med via vår hemsida.
När du besöker Företaget ABs webbplats lagrar vi uppgifter om din IP-adress i en s.k. tillfällig cookie. Den raderas då du lämnar sajten. Cookien är till för att du skall få lättare att hitta rätt på sajten och innehåller ingen personlig information.
Företaget AB använder också permanenta cookies, men bara om du beställer en datakurs genom att fylla i personuppgifterna på vårt formulär. De uppgifter som lagras i denna cookie är ditt användarnamn och det datum som du senast beställde en kurs.
Den information du skickar via vårt formulär lagras inte på Internet. Den hamnar i stället i en databas, som har mycket stor säkerhet och är inte åtkomlig via Internet. Uppgifterna lagras i tolv månader och raderas sedan om du inte beställer något mer.
Om du vill kan du beställa ett utdrag över de uppgifter vi lagrat i vår databas. Detta kan du göra genom att logga in på vanligt sätt och sedan klicka på knappen "Personuppgifter". Där kan du också ändra de uppgifter som inte stämmer.
Du kan också välja att låta oss granska dina uppgifter och ge dig förslag på kurser som du också skulle kunna vara intresserad av. Du kan också anmäla dig till vårt nyhetsbrev och få information om när nya kurser dyker upp i vårt utbud.
Denna information kallar vi för "aktiv" eftersom den inte bara lagras i vårt affärssystem utan också används av våra säljare. Däremot har ingen person utanför vårt företag tillgång till informationen. Och vi säljer den självklart inte vidare!
Om du har några frågor, klagomål eller andra åsikter som gäller vår integritetspolicy eller vår sajt, så ber vi dig kontakta oss. Nedan ser du några olika adresser, beroende på vad du har för ärende.
Med vänliga hälsningar
Företaget AB