GDPR enkelt forklart for deg som driver en liten bedrift

GDPR (personvernforordningen) er et omfattende lovverk og personvern er et stort område, akkurat som regnskap, skatt og moms.

Markedsføring kan også være en stor hodepine for oss små bedrifter, for vi har ikke egne avdelinger eller ledere å delegere ansvar og oppgaver til. Vi har alle hattene – og må gjøre det meste selv.

Da jeg startet for meg selv var regnskap og moms det første jeg satte bort, og gjett om jeg er glad for det! Hver måned tenker jeg at det er en av de beste investeringene jeg gjør, for bokføring, bilag og momsberegninger gjør meg smågæren. 🤯

Nå er det få blogginnlegg som kan oppsummere et helt lovverk, men hvis en kun fokuserer på en viss del, får man gjort mye.

Det har jeg gjort i denne store guiden om GDPR for små bedrifter. Hvis du kan lite eller ingenting om GDPR, bør du starte der.

GDPR-artiklene jeg skriver er et forsøk på å hjelpe de minste bedriftene å få til GDPR på en god og rimelig måte.

Egentlig burde ikke det vært nødvendig, siden vi har en egen myndighet i Norge som har ansvar for GDPR, men mange opplever at informasjonen derfra er for overveldende og komplisert.

Hvis du synes at informasjonen du får her gir deg verdi, kan du vurdere å investere i noe fra nettbutikken. Jeg har brukt godt over tusen timer på å studere, forstå og forenkle GDPR for små bedrifter spesielt, og har jobbet grundig med og kvalitetssikret alle kurs og malverk.

PS: Siden det er malverk er det viktig at du går nøye gjennom tekstene og gjør de til dine. Med videoinstrukser (som du får med på kjøpet) håper jeg at jobben din blir betydelig enklere. Jeg ønsker deg lykke til i GDPR-arbeidet, og hvis du trenger mer hjelp, er det bare å ta kontakt.

Slik bør du jobbe med GDPR

Hvis du skal få kontroll på GDPR-arbeidet i bedriften din, bør du først og fremst sette av tid. Ikke start på noe før du har gjort det.

Blokker ut tid i kalenderen din og sørg for at du kan sette deg inn i lovverket uforstyrret. Sett telefonen i flymodus. Slå av wifi. Lukk døren.

Sett på musikk hvis det hjelper på konsentrasjonen. Gi beskjed til andre om at du ikke vil bli forstyrret.

Jeg skulle ønske at jeg hadde fått disse tipsene da jeg skulle sette meg inn i regnskap og moms, for det å jobbe stykkevis og delt med noe, gjør bare at en kaster bort masse tid.

Og uansett hvor mye en setter bort av jobben er det vesentlig at du, som daglig leder, sitter med en grunnleggende forståelse av lovverket. Det er vi som til slutt blir holdt ansvarlig, enten det gjelder feil i bokføringen eller mangler i personvernarbeidet. Det er ikke regnskapsføreren din som får en bot, eller GDPR-konsulenten du outsourcet jobben til. Det er du.

Nedenfor får du et overordnet forslag til hvordan du kan jobbe effektivt med GDPR. Jeg lenker kun videre til de to viktigste innleggene. Når du har gjort unna disse, kan du gå til den store GDPR-guiden og følge sjekklisten for resten av arbeidet.

De viktigste GDPR-artiklene å gå gjennom (først)

Noen av GDPR-innleggene er viktigere enn andre. Og nå som du har satt av tid, kan du starte med å lese den store GDPR-guiden. Les gjennom hele innlegget og ikke klikk deg videre til andre innlegg eller kilder.

Skriv den ut om du foretrekker å lese på papir. Guiden gir deg en overordnet oversikt over hva GDPR er og de viktigste pliktene dine som en liten bedrift.

Når du har på plass en grunnleggende forståelse av personvernreglene, kan du gå videre til å kartlegge personopplysninger du behandler i bedriften din.

Her må du se på alle personopplysninger i alle systemer, enten det er digitalt eller fysisk. Følg oppskriften i innlegget om behandlingsprotokoll.

Behandlingsprotokollen er det desidert viktigste dokumentet i hele GDPR-arbeidet ditt. Du bør gjøre hele jobben med denne før du gjør noe mer (!). Det er ingen vits i å skrive rutiner eller gjøre en risikovurdering før du i det hele tatt vet hva du har av personopplysninger.

Og det tar tid å få behandlingsprotokollen ferdig, spesielt hvis du ikke har god struktur og oversikt i bedriften din fra før av.

Fordelen med å jobbe med protokollen, er selvsagt at du får en fantastisk oversikt og kontroll i bedriften din – ikke bare på personvernområdet.

Sett av tid til å jobbe systematisk gjennom den. Ta jobben nå, så sparer du deg enormt med tid på sikt (og unødvendige GDPR-bøter og/eller omdømmesvikt).

De neste stegene; risikovurdering, rutiner og personvernerklæring

Først når du har behandlingsprotokollen ferdig, og det inkluderer kvalitetssikring av databehandlere og full oversikt over alle personopplysningene du behandler, kan du gjøre en risikovurdering

Og først når den er ferdig vet du om du trenger å gjøre noe med behandlingen av personopplysninger som du gjør i dag.

Kanskje du ser at du faktisk bør slutte å bruke noen databehandlere (som etter min erfaring ofte er tilfelle). Dette gjelder spesielt for behandling av helseopplysninger og andre særlige kategorier personopplysninger, der du må være sikker på at du behandler dem riktig.

Til slutt sitter du med en komplett oversikt (og kontroll over) personvern i bedriften din. Da er neste steg å gi god informasjon til alle du behandler personopplysninger til (de kalles for «registrerte» i GDPR).

Informasjon til registrerte kan håndteres på mange måter, men det vanligste, og det Datatilsynet og EU-kommisjonen anbefaler, er å lage personvernerklæringer.

De anbefaler videre at du publiserer slike personvernerklæringer på nettsiden din, så de er enkelt tilgjengelig for de registrerte, til enhver tid.

Hvis du har en separat personvernerklæring for ansatte, trenger ikke denne å ligge åpent på nett. Da holder det at alle ansatte har fått den, og selvsagt at du gir den til alle nyansatte. En personvernerklæring for jobbsøkere kan gjerne ligge på nett, så du kan lenke til den i stillingsannonser.

Og da var du ferdig med GDPR!

Beklager å måtte skuffe deg, men vi blir aldri ferdig med GDPR… 🙈 På samme måte som med regnskapsføring, er GDPR et pågående arbeid.

Hver gang du skal ta i bruk en ny databehandler/system, må du vurdere risiko, inkludert kvalitetssikre leverandøren.

Du må sørge for å innhente databehandleravtaler, og eventuelt nødvendige garantier hvis personopplysninger lagres utenfor EU/EØS.

Hvis du bare skulle lest én eneste artikkel i GDPR, måtte det vært artikkel 5. Den beskriver selve grunnprinsippene i personvernforordningen og er en god sjekkliste.

Kort sagt må vi sørge for å behandle personopplysninger lovlig, kun til definerte formål, ikke be om flere personopplysninger enn vi trenger, sikre de godt og slette de når vi skal.

(OK, som behandlingsansvarlig (det er deg, småbedriftseier!) bør du også minst lese gjennom artikkel 24.)

Faste GDPR-revisjoner og sletting av personopplysninger

Vi kan nemlig ikke lagre personopplysninger på ubestemt tid, og også små bedrifter må sørge for å slette personopplysninger når vi skal (ellers risikerer vi sviende bøter).

Gode rutiner skal sikre at vi overholder personvernreglene, både hvis det oppstår hendelser eller vi får innsynskrav fra registrerte, men også på løpende basis.

Sletting må gjøres løpende. Du trenger selvsagt ikke å sjekke og slette personopplysninger daglig, men du må ha definert når du skal gjøre det.

Jeg anbefaler at du setter av minst én GDPR-revisjon i året. Jo større bedrift du har og jo mer personopplysninger du behandler, jo flere slike GDPR-revisjoner bør du ha. Her må du gjøre en vurdering selv.

I en GDPR-revisjon går du gjennom hele personvernarbeidet ditt.

Igjen er behandlingsprotokollen det viktigste dokumentet. Gå gjennom hver databehandler og hver behandling. Oppdater, endre og slett etter behov. Oppdater risikovurdering, rutiner og personvernerklæringer tilsvarende.

Og, ikke minst, dokumenter hver eneste aktivitet du gjør.

Hvis du skulle få tilsynskontroll fra Datatilsynet, vil de be deg om omfattende dokumentasjon på GDPR-arbeidet. Da er det nyttig å ha alt skriftlig, og gjerne også en prosjektplan og løpende logg over alle GDPR-aktivitetene dine.