Bedre Bedrift AS

Kontakt Om meg Blogg Jobb med meg Gratis minikurs Logg inn

GDPR for små bedrifter: Steg 1 (protokoll)

gdpr May 26, 2018

Er du en av mange som fortsatt ikke har kommet helt i gang med GDPR, eller har du akkurat begynt? Du er kanskje overveldet og forvirret over det som bare virker kaotisk, og du har sikkert blitt fortvilet mer enn en gang de siste ukene.

Det er enormt med informasjon, blogginnlegg, artikler, podcaster, videoer og henvisninger til hva du bør gjøre, hvordan og når - og i hvilket omfang. Ofte er ikke informasjonen nyansert, og fremstilt på én måte uansett om du er 10 personer i bedriften, eller 250 000.

Denne artikkelserien om GDPR er for deg som driver en liten bedrift med én eller få ansatte. Les del 2 her, og del 3 her.

Målet er at du skal kunne senke skuldrene, få konkret hjelp til å komme i gang med GDPR-arbeidet, og vite hva du bør prioritere å gjøre fremover. 

Kjernen i GDPR-arbeidet ditt - en lovpålagt plikt

Det viktigste du bør prioritere først er å lage en oversikt over personopplysninger du behandler i bedriften din. Alle virksomheter har etter det nye regelverket plikt til å lage en slik oversikt. Bestemmelsen er regulert i Artikkel 30 i GDPR.

Denne oversikten, protokollen, er utgangspunktet for mye av det andre du bør gjøre for å bli GDPR-klar. Blant annet bør du oppdatere personvernerklæring din.

En personvernerklæring skal opplyse om hvordan du behandler personopplysninger i bedriften din, og er ikke noe nytt. Etter personopplysningslovens paragraf 19 er denne informasjonsplikten allerede pålagt, og har vært det siden loven trådte i kraft i 2001. 

Hvor krevende og hvor lang tid det tar å få på plass en slik oversikt, avhenger av størrelsen på bedriften din, og hvor (lite) komplisert den er. Jo større den er, jo flere ansatte, jo flere produkter og tjenester osv., dess mer komplisert blir protokollen.

Prosessen med å lage den er imidlertid ganske lik; start med idémyldring, og før opplysningene inn i en protokoll etterpå. Dersom det er flere i bedriften din bør dere gjøre det første steget sammen. Nedenfor går vi gjennom disse to stegene i mer detalj.

Steg 1a: Begynn med idémyldring

Aller først anbefaler jeg at du setter deg ned og skriver ned alt du kan komme på, for hvor du behandler personopplysninger. Bruk Word, Google dokumenter, OneNote, Mindmaps hvis du liker det, eller rett og slett penn og papir! Bruk det formatet som passer for deg, poenget er at du enkelt skal kunne rable ned alle systemer og programmer du bruker som du lagrer personopplysninger i.

Det kan være for eksempel programmer du bruker for:

  • å sende ut nyhetsbrev (MailChimp, AWeber, ConvertKit, Mailerlite…)
  • å føre et register over kundene dine (CRM; Zoho, Superoffice, Hubspot)
  • å legge inn regnskapsbilag (Tripletex, Fiken)
  • betaling på nettsiden din (PayPal)
  • plugins (utvidelser) på nettsteder laget i WordPress (Easy Digital Downloads, Akismet)


Det kan også være:

  • Excel-ark med liste over navn på kunder...
  • … som du har lagret i skyen (Google Drive, OneDrive eller Dropbox)
  • Papirdokumenter som inneholder personopplysninger (ansettelseskontrakter, leverandørkontrakter, notater fra medarbeidersamtaler)

Sett av i alle fall en time til denne første idemyldringen. Telefonen kan gjerne stå i flymodus! ;) De fleste har også behov for å gå flere runder med denne, fordi det er vanskelig å huske på alt med en gang. Legg til opplysninger etter hvert som du husker på det (som man typisk gjør når man har kommet i gang og sitter på jobb).

Steg 1b: Lag oversikten over personopplysninger (protokoll)

Nå skal du ha et godt grunnlag til å gå i gang med å lage en samlet oversikt over personopplysninger du behandler i bedriften din. Dette kaller vi for en protokoll. Loven (GDPR) stiller ingen krav til hvordan denne skal se ut eller hvilket format. Du kan lage den i Word, Excel, OneNote eller hva som fungerer for deg.

Jeg anbefaler imidlertid Excel, fordi det er et så enkelt format å håndtere. Du kan enkelt sortere og filtrere data, og det kan bli veldig nyttig dersom Datatilsynet skulle komme på besøk. De har laget en mal, som er laget etter ICO (det britiske datatilsynet) sin mal. Den kan du laste ned herfra.

Jeg synes imidlertid den er knotete og ulogisk satt opp, så jeg har skreddersydd min egen mal for oss som driver små bedrifter. Send meg en e-post hvis du ønsker en gratis (og uforpliktende) kopi av denne malen. 

Protokollen er kjernen i GDPR-arbeidet ditt

Det arbeidet du er i gang med nå, danner grunnlaget for det aller meste av GDPR i bedriften din. Bruk god tid og vær nøye! Det kommer til å spare deg for mye jobb senere.

Sett deg ned med den første oversikten du laget, og begynn med å føre inn én og én opplysning. Fyll ut alle de relevante kolonnene, og skriv heller inn mer informasjon enn nødvendig, enn andre veien rundt. Det kan lønne seg senere.

Trolig vil du måtte gå flere runder for å få alt på plass, spesielt når det gjelder databehandleravtaler. Du må sjekke hvilke du trenger, kontakte databehandlerne, få på plass avtalen, lagre den på et sted der du finner den igjen, og dokumentere det i protokollen (eller en annen liste dersom du velger å ha dette separat).

Derfor er protokollen så viktig

Som jeg nevnte over er protokollen selve kjernen i GDPR-arbeidet ditt. Fra denne kan du hente det meste du trenger til to viktige situasjoner:

1) En registrert ber om innsyn, endring eller sletting i sine personopplysninger

2) Datatilsynet kommer på tilsynskontroll

Da håper jeg at du har fått et godt grunnlag til å komme i gang med å lage oversikten over personopplysninger i bedriften din! Meld deg på nyhetsbrev hvis du vil være først til å få vite om nye innlegg, få ekstra tips og råd utover det som står på nettsidene her, få vite om GDPR-kurs og andre tilbud.

Les del 2 av artikkelserien her.

Toppbilde av The Digital Artist, Pixabay
Close

50% ferdig

Gratis minikurs i GDPR!

Meld deg på nedenfor for umiddelbar tilgang til kurset. 😊

NB! Du har kun tilgang til kurset i 14 dager. Meld deg derfor kun på når du har satt av tid til det.

Personopplysningene dine behandles i tråd med Bedre Bedrifts personvernerklæring.