Hva er GDPR og hva betyr GDPR for en liten bedrift i 2024?

Hva er GDPR?

GDPR står for General Data Protection Regulation og er et europeisk lovverk om personvern som også gjelder i Norge. GDPR på norsk oversettes til personvernforordningen, og er en del av personopplysningsloven. GDPR gjelder for alle virksomheter i Norge som behandler personopplysninger. Les hele loven på Lovdata (eller på engelsk her).

Hvis du vil forstå hva GDPR er, og betyr for din bedrift, setter du av tid til å lese gjennom hele artikkelen, som kun er basert på troverdige kilder. ☕

Viktig - før du starter

1) Sett av minst en halvtime til å lese uforstyrret gjennom hele innlegget. Hvis du ikke kan det nå, lagre den som bokmerke og kom tilbake når du kan. Da slipper du å stadig måtte gå tilbake til start hver gang GDPR kommer på agendaen (og sklir ned...)

2) Ikke klikk på noen av lenkene før du har lest gjennom alt minst én gang.

Jeg kan ikke understreke hvor viktig dette er. De fleste prøver virkelig å få til GDPR, men opplever det som komplisert og overveldende, og ender opp med å prøve utallige ganger. For å få dette gjort, krever det at du setter av tid og fokus.

Innføring i GDPR i Norge for små bedrifter

Denne GDPR-guiden er skrevet spesielt for deg som driver en liten bedrift. Så hvis du søker etter informasjon om "gdpr Norge", "gdpr regler", "gdpr bot", "gdpr sjekkliste", eller "gdpr krav», er du på rett plass!

Formålet er å forklare GDPR enkelt, så du:

1. Forstår grunnprinsippene
2. Får en GDPR sjekkliste over hva du trenger å gjøre, og
3. Kommer i gang, så du reduserer sjansen for å få en heftig GDPR-bot (som 167 000,- bare for mangler i personvernerklæringen)

Innholdsfortegnelse

For å få størst utbytte av artikkelen bør du lese gjennom den kronologisk, uforstyrret og fokusert, særlig hvis du skal lese om GDPR for første gang.

1. Hva er GDPR, og hva står GDPR for?

2. Hvem gjelder GDPR for?

3. Er GDPR-reglene noe nytt?

4. Hvor gjelder GDPR (geografisk)?

5. Hva er en personopplysning?

6. Hva er behandling av personopplysninger?

7. Hva betyr GDPR for deg og bedriften din? GDPR i praksis

8. GDPR sjekkliste | GDPR for små bedrifter

9. Hva er brudd på GDPR? Får jeg GDPR-bot som en liten bedrift?

10. Er det flere GDPR-plikter du ikke har nevnt her?

11. Bør jeg betale for å få hjelp med GDPR?

12. Hvorfor er egentlig GDPR viktig?

13. Ansvarsfraskrivelse

1. Hva er GDPR, og hva står GDPR for?

GDPR er en forkortelse for General Data Protection Regulation. GDPR på norsk oversettes til personvernforordningen, men de fleste bruker bare «GDPR», fordi det er mye enklere å si. 😉

GDPR, personvernforordningen, er en lov om personvern bedrifter, foreninger, idrettslag, skoler og organisasjoner i Norge må forholde seg til.

GDPR er et europeisk lovverk og en slik forordning fra EU er bindende for alle medlemslandene, også for Norge pga. EØS-avtalen (kilde). Personopplysningsloven vår fra år 2000 ble dermed oppdatert, og ny lov, med personvernforordningen (GDPR), trådte i kraft 20. juli 2018.

GDPR er en del av personopplysningsloven, og sammen beskriver de hvordan du plikter å behandle personopplysninger i virksomheten din.

Og det gjelder all behandling (lagring, registrering, analysering osv.) av alle personopplysninger, om det er personopplysninger på nettside, i kontrakter, på e-post, digitalt eller fysisk i arkivpermer.

Mange som tror at de ikke trenger å forholde seg til GDPR har som oftest misforstått hva en personopplysning er. Husk at det er personer som signerer kontrakter, og allerede der behandler du da personopplysninger.

2. Hvem gjelder GDPR for?

GDPR gjelder for deg hvis du driver en bedrift. Så enkelt (og vanskelig) er det!

Alle næringsdrivende plikter å følge GDPR på samme måte som vi må følge andre generelle lover for å drive bedrift, som bokføringsloven for regnskap, markedsføringsloven for markedsføring, merverdiavgiftloven for moms, og så videre.

I GDPR defineres du som en behandlingsansvarlig, altså den som definerer formålet med og er ansvarlig for behandlingen av personopplysninger. Pliktene dine som behandlingsansvarlig er definert i GDPR artikkel 24.

GDPR gjelder for deg uansett om du driver ENK eller AS, i privat eller offentlig sektor, kommersielt eller frivillig, er blogger eller influencer, retter deg mot forbrukere eller kun andre bedrifter. Så du må ikke nødvendigvis være næringsdrivende/tjene penger!Det spiller ingen rolle hvor liten bedriften din er eller om du har ansatte eller ikke, eller til og med går i minus i årsregnskapet…

GDPR gjelder for personopplysninger du behandler på nettsiden din, i rekruttering av nye ansatte, i nyhetsbrevet ditt, i kundeforhold.

GDPR gjelder for leverandører, samarbeidspartnere, ansatte, medlemmer, pasienter, klienter, elever og alle andre personer du behandler personopplysninger til. 

I personopplysningsloven § 2 (og GDPR artikkel 2-1) står det at Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.

For deg som bedriftseier betyr dette i praksis stort sett alt du gjør med personopplysninger i virksomheten din, enten det er digitalt eller på papir.

👉 Med andre ord; driver du en bedrift, da må du følge nye GDPR-regler, du også.

3. Er GDPR-reglene noe nytt?

Nei, egentlig ikke.

Vi har hatt regler for personvern i Norge i mange tiår allerede og det er faktisk ikke så mye nytt med GDPR. Men den forrige personopplysningsloven var fra år 2000 og var moden for en oppdatering.

EU-kommisjonen ønsket å lage et felles lovverk for medlemslandene i EU for å gjøre personvern enklere, og samtidig innarbeide regler for bruk av ny teknologi, som kunstig intelligens.

De ville gjøre noe den utbredte misbruken av personopplysninger, og forbedre personvernet til oss som individer.

Loven er laget for å forbedre og beskytte personvernet ditt. Kanskje en mager trøst når du får grå hår av å lese om GDPR, men det er uansett viktig å huske på. 😉

Hvorfor er det så mye styr med GDPR, om det ikke er noe nytt? 🤔

Noen opplever personopplysningsloven som noe nytt. Det henger nok sammen med at lovverket ikke har blitt håndhevet så strengt for små bedrifter (min påstand).

Datatilsynet har fokusert på de større selskapene, helseforetakene og offentlig sektor.

Nå får de mer ressurser, og siden brudd kan meldes inn av alle du behandler personopplysningene til, også utenfor Norge, er det nå en annen hverdag for oss alle.

Ikke bare har bøtene blitt betydelig større, men risikoen for å «bli tatt» (inkludert klaget inn til Datatilsynet) er også betydelig høyere enn før.

4. Hvor gjelder GDPR (geografisk)?

GDPR gjelder for behandling av personopplysninger til personer som geografisk befinner seg i et av EUs medlemsland eller i et EØS-land (Norge, Liechtenstein, Luxembourg). Sammen utgjør dette EØS:

_{File:Europe countries.svg: Júlio Reis derivative work Kolja21 / CC BY-SA}

Loven gjelder for deg som driver virksomhet i Norge, uansett om du retter deg mot nordmenn eller ikke. Det at du geografisk befinner deg i Norge, er nok.

PS: Loven gjelder for alle som behandler personopplysninger til personer som befinner seg i EØS. Det betyr at f.eks. amerikanske selskaper også må følge reglene, så lenge de tilbyr varer og tjenester til noen som helst innen EØS, uavhengig av nasjonalitet, statsborgerskap eller om de bor der fast eller ikke.

Geografisk virkeområde står beskrevet i GDPR artikkel 3.

Tips: Lagre denne lenken: https://lovdata.no/lov/2018-06-15-38/gdpr/a1 Hvis du vil slå opp i en spesiell artikkel, bytter du bare ut tallet på slutten

Hvor loven gjelder betyr mye for hvilke plikter som gjelder. Hvis du bruker leverandører eller lagrer personopplysninger utenfor Norge, må du være sikker på at du følger GDPR-kravene som gjelder for dette.

5. Hva er en personopplysning?

Ifølge EU-kommisjonen er en personopplysning enhver opplysning om en identifisert eller identifiserbar fysisk person. Datatilsynet skriver det litt mer folkelig: Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson.

Kort sagt betyr det alle opplysninger som kan identifisere deg som person, uansett om det gjøres direkte (navnet ditt) eller indirekte (reg.nr. på motorsykkelen din).

Begrepet tolkes svært bredt og mange blir overrasket når de skjønner hvor mye som egentlig regnes som personopplysninger (og at de dermed plikter å følge GDPR).

For eksempel er kredittopplysninger om et enkeltpersonforetak også personopplysninger, fordi eieren kan identifiseres direkte med foretaket, som igjen er direkte knyttet til eierens privatøkonomi.

Det har flere små bedrifter smertelig erfart, som Odins Flissenter AS og Krokatjønnvegen 15 AS, da de kredittsjekket personer uten å ha et gyldig behandlingsgrunnlag og fikk hver sin bot på 300 000,-.

Andre eksempler på personopplysninger er e-postadresse, IP-adresse, signatur, bilder, mobilnummer, fødsels- og personnummer, notater fra en medarbeidersamtale, lydopptak, brukernavn, fingeravtrykk, irismønster og hodeform.

Atferdsmønstrene dine regnes også som personopplysninger, f.eks. hva du handler, hvor ofte, og hvor, fordi det er opplysninger knyttet til deg som enkeltperson.

For å vise hvor omfattende dette er, kan vi ta eksempelet sende e-post. Her vil de fleste si at e-postadressen og navn er personopplysninger. Men andre personopplysninger her er innholdet i e-posten og metadata, altså data om selve e-posten: når den ble sendt, hvordan, av hvem, teknisk informasjon osv.

Spesielt om "særlige kategorier" personopplysninger

Særlige kategorier personopplysninger er så sterkt vernet i GDPR, at det i lovteksten står at de er forbudt å behandle. Vær derfor 100% sikker på at du vet hvilke opplysninger dette gjelder.

Datatilsynet slår betydelig hardere ned på brudd på behandling av særlige kategorier personopplysninger, enn for andre personopplysninger (bøtene blir vesentlig høyere).

Særlige kategorier personopplysninger er opplysninger om:

• helse
• fagforeningsmedlemskap
• rase eller etnisk bakgrunn
• politisk eller religiøst standpunkt
• seksuell legning, seksuelle forhold

Helseopplysninger er relevant for de fleste, til og med for matbloggeren som spør om allergier, eller bedriften som inviterer til frokostseminar eller behandler sykemeldinger.

Særlige kategorier personopplysninger er omtalt i en egen artikkel i lovverket: artikkel 9. Sjekk umiddelbart om du må forholde deg til denne, og les i så fall også dette innlegget.

6. Hva er behandling av personopplysninger?

GDPR gjelder for all «behandling» av personopplysninger. Artikkel 4 definerer behandling som:

(...) enhver operasjon (…) som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Kort sagt; ALT du gjør med personopplysninger. Har du personopplysninger, behandler du dem, selv om det ikke gjøres aktivt.

Hvis du har en gammel Dropbox eller iCloud du ikke lenger bruker, eller et utdatert papirarkiv, gjelder loven i like stor grad som opplysningene du behandler på daglig basis.

Det at du oppbevarer / er i besittelse av personopplysninger, er nok.

Gyldendal A/S i Danmark måtte f.eks. ut med 1 million danske kroner i GDPR-bot for å oppbevare personopplysninger om ca. 685 000 personer lenger enn nødvendig.

Så det er viktig at du forstår både hva behandling av personopplysninger er, og at også personopplysninger du ikke lenger bruker aktivt, er omfattet av GDPR.

7. Hva betyr GDPR for deg og bedriften din? GDPR i praksis

GDPR handler om personvern. At du som bedriftseier (behandlingsansvarlig) har et ansvar for å ta vare på personopplysningene til kunder, ansatte og andre på en god måte.

GDPR i praksis betyr blant annet at du må:

• vite hvilke personopplysninger du behandler (i hele bedriften din)
• ha definert hvorfor du behandler personopplysningene (formål)
• ha et rettslig grunnlag (behandlingsgrunnlag) for å gjøre det
• vite hvor du lagrer personopplysninger, både digitalt og på papir
• beskrive hvordan de oppbevares, og om de er sikret (godt nok)
• ha definert hvor lenge du skal/kan ta vare på de
• slette de når du skal
• kun be om og behandle personopplysninger som er nødvendige
• vite hvem du deler personopplysninger med
• inngå avtaler med alle som behandler personopplysninger på dine vegne (databehandlere og databehandleravtaler)
• innhente nødvendige garantier for overføring utenfor EU/EØS
• gjennomføre risikovurdering(er), både for selve behandlingen av personopplysningene, men også av systemene og leverandørene du benytter i behandlingen
• informere alle du behandler personopplysninger til (personvernerklæringer)
• etablere gode rutiner for innsynskrav, sletting, tilsynskontroll fra Datatilsynet, oppdatering av behandlingsprotokollen, sikkerhetstiltak, avvikshåndtering (databrudd – brudd på personopplysningssikkerheten), og mer, slik at du holder deg løpende GDPR-compliant

Ditt hovedansvar er å sikre at bedriften din behandler personopplysninger etter alle GDPR-kravene, på en ansvarlig og sikker måte.

Om Datatilsynet kommer og banker på døren, må du kunne redegjøre for hvordan du gjør dette.

Du må også kunne svare på henvendelser om innsyn, endring og sletting som kan komme fra de du behandler personopplysningene til.

8. GDPR sjekkliste | GDPR for små bedrifter

Å bli «GDPR-klar» er ikke gjort på en dag. Og hvis du skal gjøre alt arbeidet selv, må du sette av god tid. Det kan fort ta uker eller (mer trolig) måneder (fordi vi også har tusen andre ting å gjøre).

Datatilsynet har en oversikt over alle GDPR-plikter for offentlig sektor og virksomheter av alle størrelser. Listen nedenfor er tilpasset småbedriftseieren.

GDPR sjekkliste for en liten bedrift ✅

1. Forstå grunnprinsippene i hva GDPR er (og vurder GDPR-kurs for de ansatte).
2. Kartlegg alle personopplysningene du behandler, i hele bedriften din, og før dem (og systemene du bruker) inn i en behandlingsprotokoll.
3. Finn ut hvor personopplysningene du behandler, lagres.
4. Innhent nødvendige garantier for lagring av personopplysninger utenfor EU/EØS.
5. Inngå databehandleravtale med hver enkelt databehandler.
6. Vurder sikkerhetstiltakene både til databehandlere du bruker, og dine egne, interne tiltak for å hindre databrudd.
7. Dobbeltsjekk at du har definert et formål, et rettslig grunnlag (behandlingsgrunnlag), kriterier for lagring/sletting og hvem du deler personopplysningene med, for hver enkelt behandling av personopplysninger du gjør.
8. Gjennomfør en risikovurdering av personopplysningene du behandler.
9. Få på plass og innfør interne GDPR-rutiner.
10. Få på plass og distribuer GDPR-klare personvernerklæringer med alle lovpålagte punkter (og unngå den boten på 167 000,- nevnt over).
11. Legg ut en personvernerklæringen på nettsiden din, og sikre at nettsiden ellers er i tråd med kravene i GDPR (inkludert informasjon om og samtykke til bruk av cookies).
12. Legg inn faste GDPR-revisjoner i kalenderen din for å sikre at du holder deg GDPR-compliant også fremover.

Husk at du selv er ansvarlig for å sjekke at du følger alle pliktene som gjelder for din bedrift. Men følger du punktene over har du i alle fall fått gjort en stor del av jobben!

Spesielt om behandlingsprotokoll

Behandlingsprotokoll er et krav etter artikkel 30 i GDPR, og jeg kan ikke understreke hvor viktig dette dokumentet er.

Enkelt sagt er protokollen en oversikt eller register over alle personopplysningene du behandler i bedriften din. En liten bedrift trenger ikke et eget verktøy (etter min mening), men kan fint bruke Excel:

I behandlingsprotokollen lister du opp alle behandlingene du gjør (fakturere kunder, sende ut nyhetsbrev, kjøre lønn osv.) og databehandlerne (Microsoft, Tripletex, MailChimp, regnskapsfører osv.) du bruker.

I tillegg spesifiserer du blant annet formål, rettslig grunnlag, hvem du behandler personopplysninger til, type personopplysninger, mottakere, lagringsperiode og tekniske og organisatoriske sikkerhetstiltak.

Gå grundig gjennom innlegget om protokoll og følg rådene der.

Ekstra GDPR-tips for de aller minste bedriftene (jukselapp)

Å bli «GDPR-klar» er en stor oppgave (og alle som sier at det er enkelt, driver enten ikke bedrift selv, eller undervurderer lovverket).

For å «få til» GDPR er du nødt til å prioritere arbeidet. Hvis du ikke har råd* til å få hjelp med GDPR-arbeidet, kan du følge disse stegene først:

• Start med å forstå hva du skal gjøre, for ikke å kaste bort tid på ting som trolig ikke gjelder for deg (som DPIA og personvernombud). Guiden du leser nå er et godt utgangspunkt.
• Få oversikt over personopplysningene du behandler og legg de inn i behandlingsprotokollen. Jobb systematisk gjennom hver type behandling du gjør, og hvert system du bruker.
• Skriv en personvernerklæring. Her er det viktig at du har med alle lovpålagte punkter.
• Publiser personvernerklæringen på nettsiden din og sørg for at du også har en cookieerklæring.

* Eller kan du faktisk spare penger på å få hjelp med GDPR? 🤔

Nå har du grunnmuren på plass og kan gå mer detaljert til verks med å sjekke databehandlere, databehandleravtaler og nødvendige garantier.

Gjør som tidligere og jobb deg systematisk gjennom hver databehandler (hver rad i protokollen din).

Ikke stress, og ikke tenk at alt skal være perfekt. Det viktigste er at du kommer i gang.

Sett deg inn i sikkerhet (krav etter GDPR artikkel 32). Små bedrifter blir utsatt for databrudd hver eneste dag (hacking, phishing, ansattsvindel). Bruk sterke passord, tofaktorautentisering og passordmanager.

Og til slutt går du tilbake til sjekklisten over og går gjennom de øvrige punktene. ✅

9. Hva er brudd på GDPR? Får jeg GDPR-bot som en liten bedrift?

Hvis du ikke følger pliktene dine nevnt over, bryter du GDPR-reglene. Og både små og store bedrifter risikerer, og får, heftige bøter og alvorlig omdømmesvikt.

Slik det er for en hvilken som helst annen lov i Norge, får lovbrudd konsekvenser. Brudd på GDPR kan f.eks. resultere i en advarsel eller bot fra Datatilsynet.

At Datatilsynet har begrensede ressurser er ingen garanti for at du ikke får tilsynskontroll, og du lever farlig om du gambler på at akkurat du ikke blir plukket ut. Og risikoen for å «bli tatt» avhenger faktisk ikke av Datatilsynet.

For hvem som helst kan klage deg inn til Datatilsynet:

Sitatet over (og under) er fra Datatilsynets årsmelding for 2019. Som en offentlig tilsynsmyndighet i Norge plikter de nemlig å følge opp saken, uansett hvor liten den er. Det betyr at de som minimum vil vurdere den.

Datatilsynet varsler også flere tilsyn i privat sektor:

Hvis du er riktig uheldig (hvis du ikke har gjort noe med GDPR), får du ikke bare et mangesiders brev i posten med en lang liste over hva du må svare for, men de kommer på faktisk tilsyn.

Én ting er sikkert. Terskelen for å klage til Datatilsynet, er betydelig lavere. Oversikten deres (fra årsmelding 2019) viser at antall avviksmeldinger har gått fra fattige 84 i 2015, til hele 1916 i 2019 (!). Det er all grunn til å ta nye GDPR-regler på alvor.

At du kun driver for deg selv og kanskje bare med deg selv som ansatt, spiller ingen rolle.

Jeg følger en klagesak hos Datatilsynet for et enkeltperson-AS. Innklagede fikk et firesiders brev med 7 konkrete punkter å besvare, samt krav om å sende inn omfattende dokumentasjon fra GDPR-arbeidet sitt.

Saken har pågått i lang tid og trolig krevd mye tid og ressurser fra selskapet.

I Europa deles det ut flere og større bøter. I juni 2020 fikk et tysk forsikringsselskap en bot på over 13 millioner kroner (!) for brudd på GDPR artikkel 32.

De hadde ikke gode nok tekniske og organisatoriske sikkerhetstiltak for behandling av personopplysninger, som førte til at 500 personer fikk markedsføring de ikke hadde samtykket til.

Hvor stor blir GDPR-boten? 💸

Hvor store konsekvensene av et GDPR-brudd blir, avhenger av mange faktorer:

• Status i arbeidet: De som har gjort lite eller ingenting, risikerer en betydelig strengere reaksjon enn de som har gjort et oppriktig forsøk på å følge lovverket
• Hva slags personopplysninger som behandles og hvor sensitiv de er (særlige kategorier, straffedommer)
• Hvem personopplysningene tilhører, spesielt for de Datatilsynet omtaler som «sårbare registrerte», inkludert behandling av barns personopplysninger
• Mengden personopplysninger: Antall personopplysninger totalt og antall typer personopplysninger du behandler

Konsekvensene, og eventuelt boten du risikerer, henger tett sammen med risikovurderingen for hvordan du behandler personopplysninger i bedriften din.

Her kan vi også se til fortalen punkt 76: Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i.

10. Er det flere GDPR-plikter du ikke har nevnt her?

Ja, det er flere plikter enn de som er nevnt over. Alle GDPR-kravene finner du i Datatilsynets oversikt. Noen av disse gjelder mest for offentlige eller større virksomheter og det er særlig:

• Krav om personvernombud (men det tar deg bare noen få minutter å sjekke om du trenger personvernombud, og det kan du gjøre her)
• Vurdering av personvernkonsekvenser (DPIA)
• Innebygd personvern (men bygger du noen form for digital løsning/system, er f.eks. en tech start-up, da må du sette deg grundig inn i dette fra dag 1)
• Etablere internkontroll

Jeg har ikke skrevet direkte om internkontroll her. Krav om internkontroll gjelder så snart du har én ansatt i bedriften, og på mange områder (HMS, IT-sikkerhet osv.), ikke bare for personvern.

Etter min mening er det ingen gode internkontrollveiledninger for de minste bedriftene. Men, følger du stegene i sjekklisten over, og dokumenterer arbeidet underveis, vil du i stor grad oppfylle pliktene dine etter artikkel 24, som handler om ansvaret du har etter GDPR.

11. Bør jeg betale for å få hjelp med GDPR?

Det kommer helt an på bedriften og budsjettet ditt, men ofte er svaret ja.

Min erfaring er at mange bruker enormt med tid på å få til GDPR. Men hvis du kan sette av en hel dag til kun å jobbe med GDPR, er mye gjort.

Du bør forutsette at det fort tar et ukesverk å få det viktigste på plass. Regn ut hva det vil koste deg, basert på timeprisen din.

Med hjelp kan du redusere antall timer betydelig – men ikke helt. Som daglig leder (og behandlingsansvarlig) må du fortsatt kunne et minimum.

Gjør det du er god på i bedriften din. Er du foredragsholder, hold gode foredrag. Er du personlig trener, få folk i form. Er du elektriker, hjelp folk med lys og varme. Er du rå på markedsføring, hjelp andre småbedriftseiere å få til annonsering!

Mitt råd er å bruke tiden din på å forstå GDPR, og investere i malverk og hjelp med årlige GDPR-revisjoner.

Det må ikke være fra Bedre Bedrift, men sørg for at hjelpen du bruker kun lener seg på troverdige kilder, og ikke selger deg mer enn du faktisk trenger.

Det aller første jeg outsourcet i bedriften min, var regnskapsføringen, noe jeg ikke angrer et sekund på. Bokføring er enormt tidkrevende og frustrerende for meg, og jeg vil heller bruke tiden min der jeg god – nemlig på GDPR. 🤓

Hjelp med GDPR trenger ikke å koste mye, og verdien du får igjen, kan være ubetalelig. I alle fall om du allerede i dag mister nattesøvnen over GDPR-krav, samtykker og GDPR-compliant listebygging.

Bedre Bedrift tilbyr skreddersydd hjelp med GDPR til små bedrifter:

• Grundige og kvalitetssikrede innlegg om GDPR
• Se hva som er tilgjengelig i nettbutikken, særlig nettkursene med ferdige malverk og steg-for-steg videoinstrukser
• Invester i et GDPR-kurs hvis du har ansatte som trenger opplæring i GDPR

Kan du tjene penger på å ta GDPR på alvor?

Å jobbe med GDPR-regler, personvern og sikkerhet har flere fordeler enn den hodepinen du kanskje føler på akkurat nå. 🤯

OK, med mindre du selger GDPR-tjenester er det kanskje vanskelig å tjene penger direkte, men kan du spare penger, eller har GDPR-arbeidet andre (store) fordeler? Ja!

For det første vil du unngå omdømmesvikt med påfølgende konkurs (les: Cambridge Analytica-skandalen). Bergen kommune og Zoom har også utfordringer med tillit etter (gjentatte) personvern- og sikkerhetsbrudd.

Omdømmesvikt resulterer i mangel på tillit fra potensielle og eksisterende kunder. Og hvis du selger varer og tjenester til offentlig sektor, bør du følge GDPR-kravene nøye.

Flere av Bedre Bedrifts kunder har bedt om ekstern hjelp med GDPR på grunn av offentlige anbud eller offentlige kunder som har bedt om utfyllende dokumentasjon på at de overholder GDPR-pliktene sine.

GDPR er med andre ord et viktig konkurransefortrinn som kan være akkurat det som avgjør at du vinner den neste kontrakten din.

Å være i stand til å demonstrere at du har tatt GDPR på alvor, kan også være avgjørende i et oppkjøp eller en fusjon.

Investorer vurderer GDPR-compliance som del av sin due diligence, altså den grundige gjennomgangen de gjør av et selskap før de kjøper aksjer i det.

Spesielt etter at hotellkjeden Marriott fikk et varsel om bot på over 1,15 milliarder kroner (!) for et omfattende databrudd i en hotellkjede de kjøpte, som stammet fra før oppkjøpet.

Hvis du har oversikt og kontroll på GDPR er det mange parter som vil se positivt på det; myndigheter, kunder i offentlig og privat sektor, enkeltpersoner, leverandører, investorer og media.

Oversikt og kontroll i egen bedrift gir deg trygghet.

Og du kan spare penger fordi du ikke har unødige systemer og ikke betaler for unødige abonnenter på e-postlisten din når du sletter personopplysninger når du skal.

12. Hvorfor er egentlig GDPR viktig?

GDPR er viktig fordi personvern er viktig. Loven er utformet for å beskytte deg, for at du skal ha kontrollen på dine egne data (ikke Facebook eller andre).

Du tror kanskje at det ikke spiller noen rolle, og du er kanskje ikke så opptatt av personvernet ditt.

Du bytter kanskje gladelig bort personopplysninger mot noe gratis, om det er for å kunne bruke en app, få den tiende overnattingen eller en chai latte med dobbel espresso. Vi liker å få ting gratis.

Det er ingenting i veien for det (jeg gjør det jeg også og digger kaffeappen min!).

Problemet er når globale selskaper som Facebook, Google og andre ukritisk og kynisk samler inn personopplysningene våre for deretter å selge de i stor skala til høystbydende.

De tjener seg søkkrike på å selge data om hva du liker, hvor du bor, hva du stemmer på, hvem du kjenner og hvor du til enhver tid befinner deg, som på sykehus eller krisesenter.

Og det er mange som slåss om kjøp og salg av personopplysningene dine:

_{Fra rapporten Det store datakappløpet, Datatilsynet 2015.}

Problemet er når personopplysningene dine brukes til å påvirke internasjonal politikk som får konsekvenser for oss alle.

Problemet er når helseopplysningene dine ikke tas godt nok vare på, så sensitive og intime personopplysninger ligger på en usikret server langt utenfor Norges grenser og der «hvem som helst» kan snoke i dem.

Guide (NRK): Slik begrenser du sporing av din mobil

Og du? Selv om du kanskje "ikke synes at det er så farlig" hvordan dine personopplysninger behandles, så har du ingen rett til å ta den avgjørelsen for andre.

13. Ansvarsfraskrivelse

Denne artikkelen om GDPR og personvern er skrevet for små bedrifter som driver i Norge. Det er en forenklet fremstilling med hovedlinjene i lovverket og de viktigste pliktene en liten bedrift har. Artikkelen inneholder ikke alle tenkelige eventualiteter og ingen informasjon er av juridisk art. Les mer i Bedre Bedrifts ansvarsfraskrivelse.

Avsluttende ord

GDPR er et stort og komplisert område og et relativt nytt lovverk som fortsatt har flere gråsoner. Mange saker venter i rettsapparatet, og en del blir ikke avklart før det foreligger en dom.

Du trenger ikke å forstå absolutt alt på én dag og alt trenger ikke å være perfekt. Det viktigste er at du kommer i gang. For hvis Datatilsynet kommer på kontroll, og du ikke har gjort noe, ligger du tynt an.

Se på GDPR som en mulighet. Til å rydde opp i bedriften din, trolig spare noen kroner underveis og til å fortsette en dialog med de riktige kundene dine.

Tre av fire foretak går konkurs innen fem år.📉

Min hypotese er at det ofte skyldes dårlig planlegging og mangel på struktur. Jeg tror at mange bedrifter vil være mer robuste om daglig leder har god oversikt og kontroll – noe GDPR kan gi deg.

Ofte stilte spørsmål

Hva er GDPR og "personvernforordningen"?

GDPR er en lov fra EU som kalles en "forordning". I motsetning til et "direktiv" betyr det at GDPR, som en forordning, er bindende med en gang for alle medlemslandene.

Hva står GDPR for?

GDPR står for General Data Protection Regulation. GDPR på norsk er "personvernforordningen".

Gjelder GDPR i Norge?

Ja, GDPR gjelder fullt ut i Norge pga. EØS-avtalen.

Gjelder GDPR små bedrifter? Og frivillige organisasjoner?

Ja, GDPR gjelder for både små og store bedrifter, for frivillige organisasjoner, for idrettslag osv. (Vi ser til og med dommer i EU nå der privatpersoner får bøter etter GDPR på grunn av måten de behandler personopplysninger på, f.eks. ved kameraovervåkning!)

Hva betyr GDPR for min bedrift?

GDPR betyr at du trolig må gjøre et stykke arbeid i bedriften din. ;) Vi har hatt lover om personvern i mange år, men ikke så streng håndheving som nå.

Hva må jeg gjøre etter GDPR?

Det første du bør gjøre er å lese nøye gjennom dette innlegget og sørge for at du får på plass de viktigste stegene. Jobb strukturert med GDPR med hjelp av GDPR-sjekklisten. Send inn skjemaet nedenfor for å få den som en énsides PDF med direktelenker til relevante innlegg, og kom i gang med GDPR-arbeidet i dag!