Om Tjenester Butikk Kontakt Blogg ENG S.O.S. Logg inn

GDPR enkelt forklart for deg som driver en liten bedrift

gdpr Oct 12, 2019

Denne artikkelen er skrevet for små bedrifter som driver i Norge og inneholder derfor ikke alle tenkelige eventualiteter for lovverket som kan gjelde for andre. Les mer i Bedre Bedrifts ansvarsfraskrivelse.

Nedenfor får du svar på:

  1. Hva er GDPR - i et nøtteskall?
  2. Hva er en forordning?
  3. Er GDPR noe nytt?
  4. Hvorfor er egentlig GDPR viktig?
  5. Hvem gjelder GDPR for?
  6. Hvor gjelder GDPR (geografisk)?
  7. Hva er "behandling" av personopplysninger?
  8. Hva regnes som personopplysninger?
  9. Hva er "særlige kategorier" personopplysninger?
  10. Men hva er sensitive personopplysninger da?
  11. Hva betyr GDPR for deg og bedriften din?
  12. Er det vanskelig å jobbe med GDPR? Får jeg hjelp fra Datatilsynet?
  13. Hva skjer om jeg ikke gjør noe?

PS: For deg som ikke har gjort noe som helst med GDPR; helt nederst finner du en nyttig minisjekkeliste. Start der når du skal i gang med arbeidet - og lykke til!

PPS: Ønsker du virkelig å ta personvern på alvor, men føler deg overveldet, usikker på hva du skal gjøre og hva som egentlig er godt nok? Tjenesten GDPR S.O.S. er skreddersydd for deg.

1. Hva er GDPR – i et nøtteskall?

GDPR står for General Data Protection Regulation, på norsk personvernforordningen, men de fleste bruker bare «GDPR». Det er en lov om personvern alle bedrifter, foreninger, idrettslag, skoler og organisasjoner i Norge må forholde seg til, uansett om en driver privat, offentlig, kommersielt eller frivillig, om en har ansatte eller ikke, retter seg mot forbrukere eller kun bedrifter – denne loven kommer du ikke utenom.

GDPR er en del av personopplysningsloven, og sammen beskriver de hvordan du plikter å behandle personopplysninger i virksomheten din.

Mange som tror at de ikke trenger å forholde seg til GDPR har som oftest misforstått hva en personopplysning er (se punkt 8).

2. Hva er en forordning?

GDPR er en forordning, en type lovverk koordinert og gitt ut av EU-kommisjonen på vegne av og til medlemslandene. Fordi Norge er en del av EØS, gjelder slike forordninger fra EU også for oss (kilde). Til forskjell fra et direktiv må en forordning legges inn i det nasjonale lovverket uten endringer. Personopplysningsloven vår fra år 2000 ble dermed oppdatert med personvernforordningen og det nye lovverket fikk virkning i Norge fra 20. juli 2018 (i resten av verden 25. mai 2018, men siden avtalen måtte gjennom EØS-prosessen tok det litt lenger tid hos oss).

3. Er GDPR noe nytt?

Egentlig ikke. Vi har hatt regler for personvern i mange tiår allerede og det er faktisk ikke så mye nytt med GDPR, tro det eller ei. Tidligere har også hvert land hatt egne lover for personvern, men med så mye dataflyt globalt ble det for komplisert og lite gjennomsiktig – i alle fall for enkeltpersonen dataene tilhører. Dermed har også selskaper i mange år kunne utnytte personopplysninger på det groveste.

EU tok derfor initiativ til å lage et lovverk som var likt for alle medlemslandene i EU, både for å standardisere og gjøre det enklere, og for å forbedre personvernet til oss som enkeltpersoner. De ville ha slutt på den kyniske utnyttelsen av personopplysninger, og samtidig oppdatere lovverket med bruk av ny teknologi, som kunstig intelligens.

4. Hvorfor er egentlig GDPR viktig?

GDPR er viktig fordi personvern er viktig. Loven er utformet for å beskytte deg, for at du skal ha kontrollen på dine egne data (ikke Facebook eller andre).

Du tror kanskje at det ikke spiller noen rolle, og du er kanskje ikke så opptatt av personvernet ditt. Du bytter kanskje gladelig bort personopplysninger mot noe gratis, om det er for å kunne bruke en app, få den tiende overnattingen eller en chai latte med dobbel espresso. Vi liker å få ting gratis. Det er ingenting i veien for det (jeg gjør det jeg også og digger kaffeappen min!).

Problemet er når gigantiske selskaper som Facebook, Google, Microsoft og annonsebransjen ukritisk og kynisk samler inn personopplysningene våre for deretter å selge de i stor skala til høystbydende. De tjener seg søkkrike på å selge data om hva du liker, hvor du bor, hva du stemmer på, hvem du kjenner og hvor du til enhver tid befinner deg.

Problemet er når personopplysningene dine brukes av byråer til å påvirke internasjonal politikk som får konsekvenser for oss alle.

Problemet er når personopplysningene dine ikke tas godt nok vare på, så helsejournalen din, med kanskje veldig sensitive og intime helseopplysninger, ligger på en usikret server langt utenfor Norges grenser og der «hvem som helst» kan snoke i den.

GDPR er ikke her for å gjøre hverdagen din som bedriftseier, leder av et idrettslag eller rektor på en skole vanskeligere. GDPR hjelper oss å behandle personopplysninger på en god måte – det er bare det det handler om. Så er det en reell utfordring at lovteksten ikke beskriver så godt hvordan vi faktisk skal gjøre dette i praksis, og at Datatilsynet ikke sier noe om nivået på kravene – hva som er godt nok.

Og du? Selv om du kanskje "ikke synes at det er så farlig" hvordan dine personopplysninger behandles, så har du ingen rett til å ta den avgjørelsen for andre. Som ansvarlig bedriftseier plikter du å ta godt vare på personopplysningene til kunder, ansatte og andre.

5. Hvem gjelder GDPR for?

I personopplysningsloven § 2 står det at Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. For deg som bedriftseier betyr dette i praksis stort sett all behandling av personopplysninger i virksomheten, både digitalt og papirbasert.

Kort sagt; GDPR gjelder i aller høyeste grad for deg som driver bedrift.

Det spiller ingen rolle hvor liten eller stor bedrift du har, om du har ansatte eller ikke, ENK, NUF, AS, SA eller DA, omsetter for 1 krone, 1 milliard eller går i minus, driver på Utsira eller i Oslo, har en liten blogg som kun selger en e-bok til 49 kroner eller driver Walmart med 2,2 millioner ansatte og har 514 millioner dollar i omsetning…

Det spiller heller ingen rolle om du retter deg kun mot andre bedrifter – GDPR gjelder like fullt for «business to business» som for forbrukermarkedet. For det er ikke bedriften som signerer en kontrakt, det er en eller flere personer.

6. Hvor gjelder GDPR (geografisk)?

GDPR gjelder for behandling av personopplysninger til personer som geografisk befinner seg i et av EUs medlemsland eller i et EØS-land (Norge, Liechtenstein, Luxembourg). Sammen utgjør dette EØS.

Loven gjelder for deg som driver virksomhet i Norge, uansett om du retter deg mot nordmenn eller ikke. Det at du geografisk befinner deg i Norge, er nok.

PS: Loven gjelder for alle som behandler personopplysninger til personer som befinner seg i EØS. Det betyr at f.eks. amerikanske selskaper også må følge reglene, så lenge de tilbyr varer og tjenester til noen som helst innen EØS, uavhengig av nasjonalitet, statsborgerskap eller om de bor der fast eller ikke.

7. Hva er «behandling» av personopplysninger?

GDPR gjelder for all «behandling» av personopplysninger. Kort sagt betyr det alle mulige måter å gjøre noe med disse, uansett om det er aktivt eller passivt.

Hvis du «bare» har en gammel Dropbox du ikke lenger bruker eller et utdatert papirarkiv, gjelder loven i like stor grad som opplysningene du behandler på daglig basis. Det at du oppbevarer / er i besittelse av personopplysninger er nok.

Behandling betyr for eksempel registrering, lagring, videresending, pseudonymisering, mottak av, organisering, analysering osv.

8. Hva regnes som personopplysninger?

Datatilsynet skriver: Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson. Kort sagt betyr det alle opplysninger som kan identifisere deg som person, uansett om det gjøres direkte (navnet ditt) eller indirekte (reg.nr. på motorsykkelen din).

Så lenge det er mulig å identifisere deg, på en eller annen måte, er det en personopplysning.

GDPR gjelder dermed for privatpersoner, uansett om de kjøper noe fra deg privat, gjennom jobben sin som ansatt, som en annen bedriftseier eller selger noe til deg som en leverandør til bedriften din. Bedrifter drives av personer, og all informasjon knyttet til disse som enkeltpersoner, er å anse som personopplysninger – og da gjelder GDPR.

Andre eksempler på personopplysninger er e-postadresse, IP-adresse, signatur, bilder, mobilnummer, fødsels- og personnummer, fingeravtrykk, irismønster og hodeform. Atferdsmønstrene dine regnes også som personopplysninger, f.eks. hva du handler, hvor ofte, og hvor, fordi det er opplysninger knyttet til deg som enkeltperson.

9. Hva er «særlige kategorier» personopplysninger?

GDPR omtaler særlige kategorier personopplysninger spesielt. Det kan være opplysninger om rase eller etnisk bakgrunn, helsen din, politisk eller religiøst standpunkt, kriminelle forhold eller medlemskap i fagforeninger.

Slike opplysninger er i utgangspunktet forbudt (!) å behandle og skal håndteres med ekstra stor varsomhet. Særlige kategorier personopplysninger vies faktisk en egen artikkel i lovverket, nemlig artikkel 9.

Helseopplysninger er nok den som er relevant for de fleste. Spør du abonnentene på nyhetsbrevet til matbloggen din om allergier, da spør du om helseopplysninger. Driver du som personlig trener, tannlege og i mange tilfeller coach, må du forholde deg til denne artikkelen.

Siden disse opplysningene i utgangspunktet er forbudt å behandle vil Datatilsynet slå hardere ned på brudd relatert til disse. Du bør umiddelbart sjekke om du må forholde deg til artikkel 9 og sørge for at du tar de riktige grepene for å behandle de på riktig måte i virksomheten din.

10. Men hva er sensitive personopplysninger da?

I GDPR er det ikke en egen kategori som heter sensitive personopplysninger. Særlige kategorier personopplysninger er imidlertid underlagt artikkel 9, som nevnt over. Andre opplysninger kan være sensitive i natur, som fødselsnummer, passnummer, kredittkortnummer og mer, men de er altså ikke det samme som særlige kategorier personopplysninger.

Det er derfor uheldig at en bruker betegnelsen sensitive synonymt for særlige kategorier, for det er kun sistnevnte som i utgangspunktet er forbudt å behandle, med mindre en oppfyller spesielle vilkår.

11. Hva betyr GDPR for deg og bedriften din?

GDPR handler om personvern. At du som bedriftseier har et ansvar overfor kundene dine, både potensielle, eksisterende og gamle, om å ta vare på personopplysningene deres på en god måte. Det gjelder også leverandører, samarbeidspartnere, ansatte og alle andre personer du behandler personopplysninger til. 

I praksis betyr dette blant annet at du må:

  • vite hvilke personopplysninger du behandler i hele virksomheten din
  • hvorfor du behandler de
  • hvor du lagrer de, både digitalt og på papir
  • hvordan de oppbevares, og om de er sikret (godt nok)
  • hvor lenge du skal/kan ta vare på de
  • at du sletter de når du skal
  • kun be om og behandle personopplysninger som er nødvendige
  • vite hvem du eventuelt deler opplysningene med
  • inngå avtaler med de som behandler personopplysninger på dine vegne (databehandlere)
  • gjennomfører risikovurdering(er)
  • informerer alle du behandler personopplysninger til (lager personvernerklæringer)
  • etablerer solide rutiner for innsyn, tilsynskontroll fra Datatilsynet, oppdatering av protokoll (oversikten du skal ha over), sikkerhetstiltak, avvikshåndtering (f.eks. databrudd), sletting og mer (se en oversikt over GDPR-rutiner her)

Ditt hovedansvar er å sikre at bedriften din behandler personopplysninger etter pliktene i GDPR, på en ansvarlig og sikker måte. Om Datatilsynet kommer og banker på døren, må du kunne redegjøre for hvordan du gjør dette. Du må også kunne svare på henvendelser om innsyn, endring og sletting som kan komme fra de du oppbevarer personopplysninger til.

Og, ikke minst, om du deler personopplysningene med andre, for eksempel om du bruker MailChimp til å sende ut nyhetsbrev, må du være ekstra påpasselig. Det er ditt ansvar å sørge for at du kun bruker leverandører som driver i samsvar med GDPR. I tillegg må du innhente såkalte databehandleravtaler, spesielt om de holder til utenfor EØS.

12. Er det vanskelig å jobbe med GDPR? Får jeg hjelp fra Datatilsynet?

GDPR kan føles vanskelig om du ikke aner hva du må vite, hvor du skal begynne eller hvilken rekkefølge du skal gjøre ting i. Og Datatilsynet stiller mange krav, men vil dessverre ikke si noe om hva som egentlig er godt nok.

GDPR blir fort komplisert om du begynner med å lese lovverket eller starter med Datatilsynets nettsider. For alt du trenger å vite om GDPR ligger gratis tilgjengelig på nettsidene deres og de har en oversikt over alle pliktene dine her.

Noen har både tid og tålmodighet til å bruke disse som utgangspunkt for arbeidet, men det hundretalls småbedriftseiere jeg (og Hovedorganisasjonen Virke) har snakket med synes at det blir overveldende.

Jeg har også kunder som har skrevet til Datatilsynet og bedt om hjelp, men fått avslag. Det er nok ikke fordi Datatilsynet ikke vil hjelpe, men de har begrensede ressurser.

13. Hva skjer om jeg ikke gjør noe?

At Datatilsynet har begrensede ressurser er ingen garanti for at du ikke får tilsynskontroll/ettersyn, og du lever farlig om du gambler på at akkurat du ikke blir plukket ut. Sjansen er nok lav, men risikoen for å «bli tatt» avhenger faktisk ikke av Datatilsynet.

For hvem som helst kan klage deg inn til Datatilsynet.

Og som en offentlig tilsynsmyndighet i Norge plikter Datatilsynet å følge opp saken, uansett hvor liten den er. Det betyr at de som minimum vil vurdere den. Og hvis du er riktig uheldig (hvis du ikke har gjort noe med GDPR), får du ikke bare et brev i posten med en lang liste over hva du må svare for, men de kommer på faktisk tilsyn.

At du kun driver for deg selv og kanskje bare med deg selv som ansatt, spiller ingen rolle. Dette vet jeg. For jeg sendte inn en klage på en person som driver et enkeltperson-AS, og Datatilsynet tok saken min på alvor. Resultatet ble et firesiders brev til innklagede, med en liste på 7 punkter vedkommende måtte svare på, i tillegg til å måtte legge ved omfattende dokumentasjon fra GDPR-arbeidet sitt.

Det er jeg glad for. For det oppleves som et stort overtramp når noen misbruker personopplysningene dine, spesielt etter gjentatte beskjeder om å slutte med det.

Husk at GDPR er det beste som har skjedd deg og meg noensinne, når det kommer til personvern. Loven er her for å beskytte oss fra misbruk og gi oss kontrollen over egne data tilbake.

Avsluttende ord

Om du er en av de som har god struktur og orden i bedriften din vil ikke GDPR være vanskelig å imøtekomme. For de av dere som kanskje har litt mer rot, er dette en gyllen anledning til å få på plass god struktur, systemer og sikkerhet!

Se på GDPR som en mulighet. Til å rydde opp i bedriften din, trolig spare noen kroner underveis og til å fortsette en dialog med de riktige kundene dine.

Tre av fire foretak går konkurs innen fem år. Min hypotese er at mange av disse skyldes dårlig planlegging og mangel på struktur, og mange bedrifter ville vært betydelig bedre rustet for god drift om daglig leder har bedre oversikt og kontroll – noe GDPR kan gi deg.

Start her – en minisjekkliste

Hvis du ikke har gjort noe med GDPR ennå, anbefaler jeg deg å starte med disse stegene:

  1. Ta Bedre Bedrifts gratis minikurs i GDPR (ca. 30 min.)
  2. Kom i gang med det viktigste dokumentet i arbeidet: behandlingsprotokollen
  3. Skriv og publiser en personvernerklæring
  4. Eller få hjelp med alle stegene til en uslåelig pris med GDPR S.O.S.

Og da er det bare å ønske deg lykke til både med GDPR og med bedriften din! Ikke nøl med å ta kontakt hvis du trenger hjelp med GDPR, prosjektledelse – eller begge deler.

Close

50% ferdig

Jeg har brukt mange hundre timer på å sette meg grundig inn i og forenkle GDPR for de aller minste bedriftene, slik at vi også skal kunne oppfylle lovkravene - enklere og rimeligere.

Legg inn navn, telefonnummer og e-post nedenfor, og skriv gjerne om du vil bli ringt opp. Jeg gleder meg til å hjelpe deg!

Personvern.