GDPR

GDPRDet er nå snart ett år siden EUs personvernforordning trådte i kraft (1. juli i fjor), og endringene får følger også for norske småbedrifter. Her er det du behøver å vite om GDPR og hvordan du ved hjelp av noen enkle rutiner kan oppfylle kravene som behøves.

Nils Lavik for jithomassen.no

Hensikten med GDPR (General Data Protection Regulation) er å styrke personvernrettighetene til enkeltpersoner, og gi dem kontroll over egne data. For bedrifter er den viktigste konsekvensen å utarbeide rutiner for hvordan de behandler personlig informasjon som har blitt samlet inn og lagret digitalt, i tillegg til det som innhentes i fremtiden.

De fleste opplever det nye regelverket som byråkratisk, tungt og uoversiktelig, og vet knapt hvor de skal begynne. Men prosessen med å implementere kravene trenger ikke å være komplisert, og spesielt ikke for småbedrifter med oversiktlige forhold hva ansatte og kunder angår.

Det finnes mange fremgangsmåter, men en god begynnelse er å gå gjennom følgende punkter:

1: Situasjonsanalyse

Kartlegg personopplysninger bedriften sitter på i dag, både om ansatte og kunder. Hvor finnes informasjonen, hvem har tilgang til den, og utsettes de det gjelder for noen risiko i forbindelse med deling? Her vil det være store forskjeller fra bedrift til bedrift, blant annet avhengig av hvilke markedsføringsaktiviteter man har.

Dette punktet handler generelt om brainstorming, vil variere fra bedrift til bedrift, og eksempler på relevante fokuspunkter er kunderegistre, utsending av nyhetsbrev, hvordan du legger inn regnskapsbilag, eller det du har lagret i nettskyen. Tenk dessuten også på opplysninger i papirformat, som kan være alt fra ansettelseskontrakter til notater fra medarbeidersamtaler.

2: Lag en systematisk oversikt (protokoll)

Denne fasen dreier seg om å systematisere informasjonen som fremkom i forrige punkt. GDPR stiller ikke krav til hvilke verktøy som skal brukes, men et godt tips er å bruke Excel, fordi det er et enkelt og anvendelig format. Datatilsynet har utarbeidet maler for en protokoll, i tillegg til annen god informasjon om denne fasen i prosessen.

Protokollen er utgangspunktet for alt GDPR-arbeidet, og har to viktige funksjoner. For det første, hvis noen som er registrert her – f.eks. leverandør, kunde eller ansatt – ber om innsyn, fjerning eller endring i vedkommendes personopplysninger. For det andre er protokollen den mest sentrale delen av internkontrolldokumentasjonen dersom Datatilsynet kommer på besøk.

3: Utarbeide databehandleravtale

Dette handler om juridisk bindende avtaler mellom den ansvarlige i bedriften (deg) og en ekstern aktør som behandler dataene dine. En slik avtale er kun påkrevd med leverandører som behandler personopplysninger på vegne av deg. Hvis du bruker en skytjeneste som f.eks. OneDrive til å lagre kundelister, så vil Microsoft være databehandleren din. Et annet eksempel er dersom du kjøper tjenester av frilansere, og disse har tilgang til data om enten kunder eller ansatte.

Dette kan virke komplisert og arbeidskrevende, men fordelen er at de fleste store aktørene integrerer slike avtaler i andre avtaleverk. F.eks. har både Microsoft og Google oppdatert vilkårene deres, og dersom man som kunde aksepterer disse, så inngår man samtidig en databehandleravtale. De fleste har fått e-poster fra store selskaper med beskjed om å bekrefte at de godtar de nye avtalevilkårene, og det er altså det dette dreier seg om.

Utfordringen er databehandleravtalene med mindre, uavhengige leverandører. Her må du sjekke at de er innenfor lovverket, og den beste måten å gjøre det på er å lese grundig gjennom Datatilsynets veileder.

4: GDPR-relaterte internkontrollrutiner generelt

Dette er hoveddokumentet, der innholdet i punkt 2 og 3 over blir egne underkategorier eller seksjoner. Dokumentet skal inneholde skriftlige beskrivelser av f.eks. hvordan bedriften overholder personvernreglementet, hvilke områder som er spesielt viktige (kjennetegn ved bedriften og bransjen tatt i betraktning), hvem som er ansvarlig, risikovurdering samt avviksbehandling. Her bør det også være henvisninger til relevant lovverk, for å vise at du som bedriftsleder og/eller eier har kontroll på og forholder deg aktivt til reglene.

Konsekvensen av ikke å implementere GDPR i bedriften kan bli store bøter, men flere eksperter anbefaler likevel norske bedriftsledere om å holde hodet kaldt. Datatilsynet skiller nemlig mellom aktsomhet og uaktsomhet, og dersom du har satt i gang tiltak, og kan dokumentere dette, vil det ha mye å si for eventuelle sanksjoner.

Klarer man dette alene?

Det er mange som selger tjenester forbundet med GDPR, og disse har en tendens til å krisemaksimere og skremme mulige nye kunder med bøtene man kan få hvis man ikke overholder regelverket. Vær derfor skeptisk til selskaper som overøser deg med salgsfremstøt med fokus på hvor komplisert og farlig dette er, og at det er umulig å fikse uten profesjonell hjelp.

Bør man så kjøpe slike tjenester i det hele tatt? Bruker man sunn fornuft, leser seg opp på den delen av regelverket som gjelder egen virksomhet og tilpasser seg denne, vil svaret ifølge Halvor Sigurdsen (fagleder for næringsjus i NHO) oftest være nei.

– Mitt inntrykk er at selskapene som ikke har kompliserte forbrukerforhold klarer denne overgangen alene, sa han til E24 i fjor.

Punktene over er en god start for GDPR-arbeidet. Alle bør likevel sette seg inn i regelverket og kravene som stilles, og det beste stedet å begynne er hos de som kan komme og kontrollere bedriften din – nemlig Datatilsynet. EU har dessuten utarbeidet et enkelt og oversiktlig onlineverktøy rettet mot småbedrifter, der det blant annet redegjøres for hva som regnes som personopplysninger og hva bedriftene må gjøre. Ledernytt har i tillegg en sjekkliste, og et GDPR-søk på regjeringen.no vil også gi god og objektiv informasjon.

 

 

Bildet er hentet fra Freepik.

Var denne informasjonen nyttig? Del den med noen.
Share on facebook
Share on twitter
Share on linkedin
Share on email

Lei av dansende grafer og kolonnediagram?

XCELLO har kun det nødvendige for regnskapet til en liten virksomhet.

Mer info

Legg igjen en kommentar