Beste praksis for personvern og informasjonssikkerhet: Hvordan beskytte spørreundersøkelsesdata
Personvern og informasjonssikkerhet er svært viktig i dagens samfunn. Omfattende databrudd og -lekkasjer blir stadig slått stort opp i media. De utsetter kundenes data for misbruk, og koster selskaper dyrt – fordi de må bruke penger på å «rydde opp», og fordi brudd og lekkasjer kan gjøre enorm skade på selskapets omdømme.
Konstant årvåkenhet rundt informasjonssikkerhet bør være alles høyeste prioritet. Man må gjøre absolutt alt man kan for å hindre hackere i å kompromittere organisasjonens eller kundenes data – inkludert spørreundersøkelsesdata. I tillegg trenger man en responsplan som raskt kan iverksettes om et brudd eller en lekkasje skulle finne sted.
Alle typer data kan kompromitteres i et brudd eller en lekkasje. Derfor er det livsviktig å beskytte alle spørreundersøkelsesdata på en god måte. Da kan kundene stole på at dataene dere samler inn, er trygge, og ikke vil utsettes for datalekkasjer eller -angrep.
Personvern
Kampen mot hackere er en evig krig. Som sikkerhetseksperter liker å si: Hackere trenger bare å ha rett én gang, mens informasjonssikkerhetsfolk må vinne hver eneste dag.
Sikkerhet er ikke noe man bør prøve seg frem eller ta sjanser med. Det finnes etablerte praksiser for informasjonssikkerhet som kontinuerlig blir utbedret og oppdatert. Disse håndterer nåværende farer og forutser nye. Når det gjelder spørreundersøkelser, må dere sørge for å ivareta personvernet til respondentene, samt overholde relevante forordninger, for eksempel HIPAA, CCPA og GDPR.
Det er også viktig å huske på at personvern er mye mer enn å holde skurkene på avstand. Et selskap som tar personvern på høyeste alvor, inngir større tillit hos kundene. Når dere utfører spørreundersøkelser, kan denne tilliten gi avkastning i form av høyere svarfrekvens. Respondentene deler kanskje også mer solid innsikt, som gir dere data med større nytteverdi.
Dypdykk: Sjekk ut SurveyMonkeys Beste praksis for personvern og datainnsamling
Praksis for personvern
Å følge etablert praksis for personvern gjør det enklere å sikre data. Samtidig kan respondenter føle seg trygge på at opplysningene deres er godt beskyttet. Dette gjør ikke bare selskapet og respondentene tryggere – det gjør det også mer sannsynlig at folk fullfører spørreundersøkelsen.
Beskriv sikkerhetspraksisen deres i en introduksjon til spørreundersøkelsen, eller i e-posten der dere inviterer folk til å ta den. Dere kan også legge til en hyperlenke i personvernreglene. Og dere kan bruke forgrening til å diskvalifisere respondenter som ikke godtar personvernreglene deres.
Praksis for personvern bør innbefatte følgende:
- Hvilke personopplysninger dere samler inn: Oppgi om dere anonymiserer svarene eller sporer svarene med e-postadresse, telefonnummer eller andre personopplysninger som innhentes i spørreundersøkelsen eller lagres i inngangspunktet.
- Hvordan dere skal bruke dataene: Fortell hvorfor dere sender ut spørreundersøkelsen og hva dere vil gjøre med dataene dere samler inn.
- Hvorvidt dere har til hensikt å dele dataene fra spørreundersøkelsen: Si tydelig ifra om hvem som vil ha tilgang til dataene.
- Hvorvidt de som tar spørreundersøkelsen vil kunne gjøre endringer: La folk få vite om de kan redigere svarene sine.
- Hvordan de som tar spørreundersøkelsen kan kontakte dere: Legg til en e-postadresse eller et kontaktskjema så de kan ta kontakt.
For eksempel beskriver SurveyMonkeys personvernregler hvordan vi håndterer våre kunders opplysninger. Reglene ble utviklet i samråd med eksperter for å sikre at den er omfattende, gjennomsiktig og implementerer beste praksis. Computerworld bestemte seg for å gjennomgå personvernpraksisen vår og kommenterte at vi «får anerkjennelse» for å ha kodifisert vår personvernpraksis «til tydelige opplysninger og forpliktelser tilgjengelig på Internett», og at vi iverksetter sikkerhetstiltak som de så «Fortune 500-selskaper ta».
Ta en nærmere titt på hvordan SurveyMonkey håndterer dataene deres
Inkluder et samtykkeskjema: Et samtykkeskjema gir skriftlig tillatelse til en annen part til å utføre en aktivitet, og opplyser om at vedkommende forstår vilkårene for aktiviteten som skal utføres. Å inkludere dette som en del av en spørreundersøkelse beskytter bedriften din ved å gjøre det klart for respondentene hvordan informasjonen de oppgir, kan brukes.
Slett data når de ikke lenger trengs: Å beholde gamle og utdaterte data kan føre til problemer, fordi det øker risikoen for at de blir kompromittert. Det er en beste praksis å etablere klare retningslinjer som styrer hvor lenge data skal oppbevares, samt hvordan de skal slettes.
Dypdykk: Styrk sikkerhetstiltakene med SurveyMonkeys Personvern for skapere av spørreundersøkelser
HIPAA
Sensitiv helseinformasjon om kunder eller pasienter er privat, og HIPAA er en lov utformet for å sørge for at den fortsetter å være det.
The Health Insurance Portability and Accountability Act av 1996 (HIPAA) er en føderal lov som oppretter nasjonale standarder for å beskytte sensitiv helseinformasjon om pasienter fra å bli utlevert uten pasientens samtykke eller viten.
Hvis du jobber i helsevesenet, i en hvilken som helst kapasitet, må du overholde HIPAA-reglementet. Ellers risikerer du å bli revidert eller bøtelagt og miste kundenes eller pasientenes tillit. Kort sagt: Hvis du håndterer beskyttet helseinformasjon (PHI), må du overholde HIPAA-reglementet.
SurveyMonkey tilbyr en rekke alternativer spesifikt for helsevesenet, fra kontoer som overholder HIPAA-reglementet til spørreundersøkelsesmaler for helsevesenet.
GDPR
GDPR er forskrifter som styrer personvern i Den europeiske union (EU). Men du må overholde dem selv om du befinner deg i Boise i Idaho. Det er fordi GDPR-tiltak må iverksettes selv om en bedrift ikke holder til i Europa.
Personvernforordningen (GDPR) er en forskrift som dekker personvern og informasjonssikkerhet i Den europeiske union (EU) og Det europeiske økonomiske samarbeidsområde (EØS). Den omhandler også overføring av personopplysninger utenfor EU- og EØS-områdene.
GDPRs hovedmål er å gi enkeltpersoner kontroll over sine personopplysninger og å forenkle prosessene for internasjonal virksomhet ved å samle forskriften. Den gjelder for alle virksomheter som behandler personopplysninger som tilhører individer i EU eller EØS. Dette er uavhengig av hvor virksomheten holder til og hvor vedkommende opplysningene gjelder, bor eller har statsborgerskap.
Forordningen ble en modell for mange lover utenfor EU, blant annet California Consumer Privacy Act (CCPA), som ble vedtatt i juni 2018.
CCPA
California Consumer Privacy Act (CCPA) er en lov om personvern og informasjonssikkerhet som regulerer hvordan selskaper over hele verden har lov til å behandle personopplysningene (PI) til innbyggere i delstaten California.
CCPA tredde i kraft 1. januar 2020. Det er den første loven i sitt slag i USA.
Hvis dere har kunder eller respondenter som er bosatt i California, må dere være klar over denne loven og iverksette tiltak for å forsikre at den overholdes.
CCPA gjelder for alle virksomheter i verden som selger personopplysninger om mer enn 50 000 innbyggere i California årlig, eller som har en årlig brutto omsetning på over 25 millioner dollar, eller som henter mer enn 50 prosent av sin årlige omsetning fra salg av personopplysninger om innbyggere i California.
Videre vil et selskap som deler merkevare-elementer (f.eks. har felles navn, tjenestemerke eller varemerke) med en annen virksomhet som er underlagt CCPA, også være underlagt CCPA.
Under CCPA har personer bosatt i California («forbrukere») rett til å nekte salg av sine opplysninger til tredjeparter, rett til innsyn i hvilke opplysninger som allerede er innhentet og rett til å få opplysninger slettet.
Innhenting av data
Hensikten med å utføre en undersøkelse er selvsagt å samle inn nyttig informasjon om målgruppen. Men for å unngå å bryte forskrifter og kompromittere respondentenes personopplysninger må dere – gjennom hele prosessen – være påpasselige med å overholde regler for personvern og informasjonssikkerhet.
Når dere skal samle inn data, må dere tenke på flere ting for å minimere potensielle sikkerhetstrusler. Blant disse tingene er mengden med data dere innhenter, datakryptering, anonyme spørreundersøkelser og sikker tilgang.
Personlig identifiserbar informasjon
Det er en beste praksis å innhente minst mulig personlig identifiserbar informasjon i spørreundersøkelser. Sagt litt enklere – dere bør unngå å samle inn personopplysninger om respondentene, for eksempel personnummer, telefonnummer, e-post- og gateadresse.
Datakryptering
Dere må sørge for at dataene ikke ender opp hos uautoriserte brukere. Datakryptering er et viktig forsvar som kan forhindre at det skjer.
Med kryptering menes prosessen der data blir omformet til kode for å hindre at uautoriserte personer kan lese innholdet – om de skulle få tilgang. Kryptering bidrar til å beskytte private opplysninger og sensitiv informasjon, og kan gjøre kommunikasjonen mellom servere og kundenes apper, sikrere.
Når data krypteres, brukes en algoritme for å oversette (kode) alminnelig tekst eller leselige data, til uleselige data eller chiffertekst. Kun den riktige dekrypteringsnøkkelen kan gjøre chifferteksten om til leselig alminnelig tekst igjen.
Anonyme spørreundersøkelser
Å gjøre spørreundersøkelser anonyme kan styrke personvernet, fordi dere ikke samler inn personlige opplysninger som potensielt kan kompromitteres. Dermed utsettes også organisasjonen deres for mindre risiko.
En ekstra fordel med anonyme spørreundersøkelser er at svarfrekvensen sannsynligvis vil øke, samt at respondentene svarer mer ærlig og oppriktig. Anonymitet fjerner sperrer for deltagere i spørreundersøkelser. Hvis dere for eksempel utfører en spørreundersøkelse blant de ansatte, vil det å gjøre spørreundersøkelsen anonym, dempe frykten for at svarene deres kan føre til ubehagelige følger for dem. I stedet vil de føle seg friere til å svare ærlig og i detalj.
SurveyMonkeys innstillingsalternativ Innhenting av anonyme svar gjør det enkelt å velge hvorvidt dere ønsker å spore og lagre identifiserbar informasjon om respondentene. SurveyMonkey registrerer respondentenes IP-adresse i backend-logger og sletter dem etter 13 måneder.
Informasjonssikkerhet
Informasjonssikkerhet omfatter mange aspekter ved beskyttelse av informasjon, fra trygge passord til sikker tilgang til data og svar fra spørreundersøkelser. Effektiv lagring og fjerning av gamle data er også en del av informasjonssikkerheten.
Trygge passord
Når det gjelder passord, burde det være innlysende at man ikke bruker ordet «passord» – med mindre man faktisk ønsker å bli hacket.
Likevel viser en undersøkelse om de vanligste passordene i 2020 at «passord» lå på fjerdeplass. Det vanligste passordet? 123456. Ikke bra.
Trygge passord er livsviktig for å beskytte spørreundersøkelsesdata, og brukere bør oppfordres til å lage unike passord som ingen kan gjette seg til. Det finnes passordverktøy som gjør det enklere å lage unike passord, samtidig som man ikke trenger å gå rundt med masse passord i hodet. Tofaktorautentisering gir også et ekstra lag med sikkerhet for å holde hackere på avstand.
Hvis du bruker SurveyMonkey, er det viktig å velge passord med omhu, da det gir tilgang til respondentenes personopplysninger. Vi anbefaler:
- Velg et passord som er unikt for SurveyMonkey-kontoen. Da utgjør passordet en mindre risiko for sikkerheten generelt, og reduserer dessuten sjansen for at noen finner det.
- Lag et passord ingen kan gjette. Personopplysninger som navn, fødselsdato og byen du bor i, er enkle å gjette. Finn på et passord ikke engang familien din kan gjette seg til.
Datalagringssystemer
Det er avgjørende å påse at datalagringssystemet er trygt. Beste praksis er å bruke et trygt datasenter eller sentralisert fillagring. Det er også lurt å ha tilgang til stedet der serverne befinner seg.
Når dere bruker SurveyMonkey, blir alle respondentenes opplysningene lagret på trygt vis i våre SOC 2-akkrediterte datasentre som følger beste praksis for sikkerhet og teknologi. Vi sørger for at innsamlede data sendes over en sikker HTTPS-kobling, og pålogging er beskyttet via TLS. Hvilende data er kryptert med algoritmer som tilfredsstiller bransjestandarden.
Sikker tilgang
Selvsagt finnes det mange tilfeller der du ønsker å dele spørreundersøkelsesdata med kolleger og viktige forretningspartnere. Når du gjør det, må du sørge for at delingen foregår på trygt vis. Slik forebygger du lekkasjer, og hindrer at uautoriserte brukere får innsyn i potensielt sensitive personopplysninger om respondentene.
Å sikre trygg tilgang er avgjørende for å beskytte spørreundersøkelsesdata. For det første må man unngå å lagre data på enkeltstående enheter som laptoper, mobiltelefoner og andre bærbare enheter som er mer utsatt for tyveri. Deler du påloggingsinformasjonen din, kan respondentenes data havne i feil hender. Hvis for eksempel en kollega du deler kontoen din med, slutter i selskapet, kan hen fremdeles få tilgang til svar gitt i spørreundersøkelser. Hen kan også gi påloggingsinformasjonen din til andre. Da øker sjansen for at noen bruker dataene på en uansvarlig måte. For å la andre se spørreundersøkelsen din og gå gjennom svarene på en produktiv og forsvarlig måte, prøv én av disse to fremgangsmåtene:
- Be andre opprette en kostnadsfri SurveyMonkey-konto. Når de har gjort det, kan du dele undersøkelsen eller resultatene med dem og få tilbakemeldinger (i form av kommentarer). Dette sikrer at kun de som er logget på kontoene du har delt med, ser spørreundersøkelsesdataene.
- Opprett en team-konto. Da kan du dele spørreundersøkelser, svar og design-elementer med kolleger på teamet. Og hvis en medarbeider i teamet slutter, kan du enkelt slette eller tilordne kontoen deres på nytt, slik at vedkommende ikke får tilgang til ressursene i den.
SSL-sikkerhet
SSL (Secure Sockets Layer) er en protokoll for å opprette autentiserte og krypterte koblinger mellom nettverkstilkoblede datamaskiner for ekstra sikkerhet.
Når den er installert på en nettserver, aktiverer SSL https-protokollen, og tillater sikre tilkoblinger fra en nettserver til en nettleser. SSL brukes vanligvis til å sikre kredittkorttransaksjoner, dataoverføringer og pålogginger. Den siste tiden har det imidlertid blitt standard når man sikrer surfing på sosiale medier.
Vær trygg!
Vil du ha mest mulig ut av spørreundersøkelsene, men også ivareta kundenes tillit og engasjement, må personvern og informasjonssikkerhet ha topprioritet. SurveyMonkey kan hjelpe deg med å forbedre informasjonssikkerheten med viktige opplysninger om sikkerhet og overholdelse.
Les mer om hvordan SurveyMonkey beskytter spørreundersøkelsesdataene dine, og hvordan du kan sørge for at de er trygge.
Oppdag flere ressurser
Oversikt over verktøysett
Oppdag verktøysettene som hjelper deg å dra nytte av feedback i nettopp din rolle eller bransje.
Lag skjemaer for sluttsamtaler med medarbeidere for å finne ut hva som må forbedres
Still de riktige spørsmålene i sluttsamtaleundersøkelsen for å minske medarbeiderutskiftningen. Kom i gang nå med verktøy og maler for skjemabygging.
Ta imot de nødvendige tillatelsene med samtykkeskjemaer på nett
Få tillatelsene som trengs med et egendefinert samtykkeskjema. Registrer dere kostnadsfritt i dag for å opprette skjemaer med malene våre for samtykkeskjema.
Ta imot forespørsler på en enkel måte med nettbaserte forespørselsskjemaer
Lag og tilpass forespørselsskjemaer på en enkel måte for å ta imot forespørsler fra medarbeidere, kunder og flere. Bruk de ekspertbygde malene vår for å komme i gang i løpet av noen få minutter.