To GDPR-faldgruber, du skal undgå ved mobiletnografiske undersøgelser

GDPR er aldrig ukompliceret, og ved mobiletnografiske undersøgelser stiger kompleksiteten. I indlægget her får du gode råd, så du ikke havner i klubben af dem, der får kritik og bøder for at bryde GDPR-reglerne.

Indlægget er skrevet i samarbejde med Helena Linde Pedersen.

Mobiletnografi er en undersøgelsesmetode, hvor dine undersøgelsesdeltagere dokumenterer deres egen hverdag ved hjælp af deres mobiltelefoner. 

Læs også: Hvad er mobiletnografi, og hvornår skal du bruge metoden?

Metoden er velegnet at bruge, når du ikke bare ønsker indsigt i din målgruppes tanker, erfaringer og oplevelser, men også vil kende deres adfærd og kontekst i relation til det emne, du undersøger. 

Samtidig er den mobiletnografiske metode egnet til geografisk spredte målgrupper. Og til målgrupper, der bedre kan sætte 10-15 minutter af til deltagelse dagligt end til en time eller mere på én gang som ved et klassisk interview eller en fokusgruppe.

Til gengæld kræver udførelsen af en mobiletnografisk undersøgelse, at du kan holde tungen lige i munden, når det gælder GDPR.

To forhold skaber GDPR-problematikker

To forhold betyder, at mobiletnografi GDPR-mæssigt er mere komplekst end fx en klassisk face-to-face-interviewundersøgelse:

For det første kan metoden medføre, at du kommer til at indsamle oplysninger om personer, som ikke har givet samtykke til det.

For det andet indsamler du data med et digitalt værktøj, oftest en app. Det skaber en særlig problematik i forbindelse med opbevaring af data. 

I de næste afsnit beskriver jeg de to forhold, der udfordrer GDPR, gennem to scenarier. Jeg kommer også med forslag til, hvordan du kan håndtere dem.

Scenarie nr. 1: Selfie med venner

Forestil dig, at du er i gang med at foretage en mobiletnografisk undersøgelse om voksnes forbrug af snacks.

Du har rekrutteret en række undersøgelsesdeltagere, som alle har givet samtykke til at indgå i undersøgelsen og er blevet udstyret med en særlig app. Ved at besvare spørgsmål og opgaver gennem appen skal de give indblik i deres hvilke snacks, de foretrækker, og hvor og hvornår de snacker. 

Deres besvarelser kan tage form af tekst, lyd, billede og video.

Én af opgaverne handler om situationer, hvor der altid er snacks på bordet. En deltager i undersøgelsen sender et billede af sig selv, hvor han sidder i sin sofa omgivet af en gruppe venner. Alles ansigter vender direkte mod kameraet.

Når du udfører mobiletnografi, skal du være opmærksom ikke at indsamle personoplysninger uden samtykke. Så bryder du nemlig GDPR.

Billederne af deltagerens venner hører til det, man inden for GDPR kalder personoplysninger, fordi de kan anvendes til at identificere personer. 

Modsat deltageren selv har hans venner ikke givet samtykke til at indgå i din mobiletnografiske undersøgelse. Det betyder, at du med billedet – uden at have haft det til hensigt – har indsamlet personoplysninger uden samtykke.

Manglende eller mangelfuldt samtykke kan udløse bøder og kritik fra Datatilsynet som i sagerne mod Epic Booking og JP/Politiken.

Hvordan undgår du selfiescenariet?

Der er flere ting, du simultant bør gøre for at undgå at indsamle personoplysninger uden samtykke som i selfiescenariet. 

  • Bed eksplicit deltagere om ikke at filme eller tage billeder af andre end dem selv (medmindre de er i et offentligt rum). 
  • Screen de indkomne data og fjern oplysninger om ikke-samtykkende personer på billeder eller i videoer. Det kan helt konkret betyde, at der er materiale, du sletter, fordi du ikke kan fjerne personoplysningerne på anden vis.
  • Hvis der optræder ikke-samtykkende personer i materiale, som du vurderer, er vigtigt for din undersøgelse, så slør deres ansigter i det omfang, det kan lade sig gøre. Hvis det ikke kan lade sig gøre, må du slette materialet. 

Der findes mobiletnografiske apps, der kan indstilles til at foretage sløring automatisk vha. ansigtsgenkendelse. Du kan også sløre dele af billeder i billedbehandlingsprogrammer som Photoshop. Men undgå at foretage sløringen i online programmer, som ikke overholder GDPR. Ellers havner du nemlig i scenarie nr. 2.

Scenarie nr. 2: Administrator-mobilen

I din undersøgelse om voksnes læsevaner gør du brug af en app, som er særligt udviklet til mobiletnografiske undersøgelser. Du har tjekket, at appen overholder GDPR, og installeret den på din egen telefon.

Via en administratorfunktion i appen kan du oprette opgaver og følge med i deltagernes besvarelser.

Fordi du bruger en app, der overholder GDPR, føler du dig måske på ganske sikker grund. Og ja, det er en god start, men det er uheldigt, at du bruger din egen telefon til formålet. Dermed bringer du deltagernes datasikkerhed i fare ved ikke at opbevare data forsvarligt.

Uforsvarlig opbevaring af persondata er i modstrid med GDPR, hvilket Datatilsynet slår fast i historiske afgørelser over for Herfølge Krisecenter og Folkekirken.

Hvordan undgår du scenariet med administrator-mobilen?

For at sikre beskyttelsen af deltagernes personoplysninger skal du sørge for, at ingen uvedkommende har adgang til den mobiltelefon, du bruger til at gennemføre undersøgelsen på. Det kan du gøre ved 

  • aldrig at efterlade mobilen uden opsyn
  • at opbevare den i et aflåst skab på din arbejdsplads, når den ikke er i brug. 
  • at undlade at bruge telefonen til andre formål i undersøgelsesperioden
  • at benytte et separat hukommelseskort, som nemt kan wipes, når projektet afsluttes.

Som du sikkert har regnet ud, vil det være uhensigtsmæssigt at bruge din egen telefon til formålet – medmindre du kan undvære den i den tid, undersøgelsen står på.

Af GDPR-mæssige grunde anbefales det, at du låser den telefon inde, som du anvender til mobiletnografi.

Måske bruger du flere digitale databehandlere

I GDPR-termer fungerer appen som en databehandler, og derfor er det helt essentielt, at du har valgt en app, der overholder GDPR. 

Vær opmærksom på, at det samme krav skal gælde alle de digitale databehandlere, du bruger i din undersøgelse. Det kunne være onlinetjenester til at kode data, sløre billeder, transskribere lyd osv.

Forsvarlig opbevaring og efterfølgende sletning af data skal du som menneskelig databehandler sørge for. 

Det kan koste dyrt ikke at slette data i tide. Spørg bare Gyldendal, som Datatilsynet indstillede til en bøde på en million kroner

Her kan du få hjælp og viden

GDPR kan virke overvældende, og jeg håber ikke, indlægget her har taget pusten fra dig. 

Hvis du er så heldig at arbejde et sted, hvor der er ansat jurister eller data protection officers, så tag fat i dem, hvis du har brug for hjælp at overholde GDPR i dit arbejde med mobiletnografi eller andre former for empiriske undersøgelser.

Har du ikke adgang til juridisk assistance på din arbejdsplads, så har du måske gennem din fagforening (hvis du har sådan én). Desuden kan du altid orientere dig på Datatilsynets hjemmeside. Datatilsynet yder også skriftlig og telefonisk vejledning. 

Træk vejret. Og husk, at reglerne er skabt for at beskytte mennesker mod misbrug af deres personlige oplysninger. Det vigtige formål er noget ekstra besvær værd.

Fotos: DALL-E og Pexels.

Læs også

About Charlotte Albrechtsen

Ph.d. og ejer af Tovejs.dk. Har arbejdet med brugerindsigt siden 2002.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *