Bedre Bedrift AS

Kontakt Om meg Blogg Jobb med meg Gratis minikurs Logg inn

Hva er GDPR og hva betyr det for deg?

gdpr May 01, 2018

Hva er GDPR? Good Data Processing, Really

GDPR, som gjerne kunne stått for Good Data Processing, Really, står ikke helt for det, men det er egentlig godt oppsummert! GDPR står for General Data Protection Regulation og oversettes til personvernforordningen her hjemme. En forordning fra EU blir automatisk bindende for medlemslandene. Gjennom EØS-avtalen er Norge også forpliktet til å gjennomføre lovverket i norsk rett (kilde). Det er med andre ord ingen vei utenom.

Det første jeg vil understreke, er to ting; 1) Verden går ikke under med GDPR. Senk skuldrene, trekk pusten, og ta det helt med ro. Og 2) Neida, du trenger ikke å slette e-postlisten din, eller å legge ned virksomheten din. Dette kommer til å gå helt fint!

Det andre jeg vil si, er at det er veldig mange misforståelser, rykter, spekuleringer og skremselspropaganda på Facebook, i media, på podcaster, blogginnlegg - ja, egentlig alle steder der internett fungerer. Resultatet er at folk, som deg, blir usikre, fortvilte, forvirrede og ikke aner hvor de skal begynne.

Start her: GDPR for startups og små bedrifter, steg 1

Jeg er ingen jurist eller advokat. Men jeg har brukt flere hundre timer på å sette meg grundig inn i GDPR (og, som den eneste jeg vet om, så synes jeg dette er gøy!). Og nei, det i seg selv gir ingen særlige kvalifikasjoner. Men jeg vet at jeg kan gi deg gode råd for hvor du kan begynne med GDPR-arbeidet ditt, hva som haster mest, og hva du kan vente med. Kunnskapen min er ikke basert på løse forumtråder eller tilfeldige Facebook-diskusjoner, men på selve lovteksten med tilhørende "recitals", informasjon og veiledninger fra Datatilsynet og deres britiske søsterorganisasjon ICO, og informasjon fra, samtaler og kurs med advokater som har spesialisert seg på GDPR.

Gjelder GDPR egentlig meg…?

GDPR gjelder om du har nyhetsbrev, selger på nett eller i butikk, en e-bok til 19 kroner eller flymotorer til millioner. GDPR gjelder deg som jobber hjemmefra i joggebuksa, som "bare" driver med dyrepass, og det internasjonale selskapet med 250 000 ansatte.

GDPR gjelder enten du markedsfører tjenestene dine, eller kun får direkte henvendelser fra kunder. GDPR gjelder enten du lagrer opplysninger om kundene dine i et Excel-ark på C-driven din, på et ark på kontoret ditt, eller under fire lag med datasikkerhet.

Driver du noen form for næringsvirksomhet, da gjelder GDPR.

Hva betyr GDPR for deg og virksomheten din?

GDPR handler om personvern. At du som virksomhet har et ansvar overfor kundene dine, både potensielle, eksisterende og gamle, om å ta vare på personopplysningene deres. Det gjelder ikke bare kunder, men også leverandører, og alle andre privatpersoner du oppbevarer personopplysningene til. Les lenger ned for hva en personopplysning er (for her er det mange som ikke har forstått rekkevidden).

I praksis betyr dette blant annet at du må vite:

  • hvilke personopplysninger du håndterer i virksomheten din, inkl. om noen er sensitive
  • hvorfor du har de (formål)
  • hvor disse oppbevares (papir og elektronisk; systemer)
  • hvordan de oppbevares, og om de er sikret
  • hvor lenge du skal/bør ta vare på de
  • om du kun ber om og oppbevarer personopplysninger som er nødvendige
  • hvem du eventuelt deler opplysningene med

Ditt hovedansvar er å sikre at virksomheten din ivaretar personopplysninger etter lovverket i GDPR, på en ansvarlig og sikker måte. Om Datatilsynet kommer og banker på døren, må du kunne redegjøre for hvordan du gjør dette. Du må også kunne svare på henvendelser om innsyn, endring og sletting som kan komme fra de du oppbevarer personopplysninger til.

Og, ikke minst, om du deler personopplysningene med andre, for eksempel at du bruker MailChimp eller ConvertKit til å sende ut nyhetsbrev, må du være ekstra påpasselig. Det er ditt ansvar å sørge for at du kun bruker leverandører som driver i samsvar med GDPR. I tillegg må du innhente såkalte databehandleravtaler, spesielt om de holder til utenfor EU.

Til dette arbeidet kan det være lurt å bruke en mal. Se nederste avsnitt for tips til hvor du kan få tak i en.

Ikke slett e-postlisten din!

I mange Facebook-grupper og i ulike forum skriver folk at de vurderer å slette e-postlisten sin, fordi de ikke vet hva de må gjøre, hvordan eller når. Men du, ikke slett listen din! GDPR er mer overkommelig enn du tror, men det er viktig å gjøre ting i riktig rekkefølge.

Du bør for eksempel aller først lage en oversikt basert på punktene i avsnittet over, så du vet hvilke personopplysninger du håndterer i virksomheten din. Du bør også oppdatere personvernerklæringen din før du begynner med "reconsenting"-kampanjer, altså å forsøke å innhente nye samtykker. Og til slutt så er det ikke sikkert at denne type samtykke er det riktige i forhold til abonnentene dine!

Alle må forholde seg til GDPR - enten de vil eller ikke

Selv om jeg vil gjøre mitt beste for å gi deg gode råd for hva du bør gjøre, og i hvilken rekkefølge, er det helt og fullt ditt eget ansvar å sørge for at du gjør dette riktig for din virksomhet. GDPR er ingenting en ekstern konsulent kan gjøre for deg. Uansett hvor stor eller liten virksomhet du har, kan du ikke lene deg tilbake og tro at du ikke trenger å forholde deg til det.

Når det er sagt vil jeg gjerne si én ting, og det er at GDPR er det beste som har skjedd den vanligere borgeren i gata, noensinne, når det kommer til personvern. Tenk på Facebook og Cambridge Analytica. På alle aktivitetsarmbåndene som ble klaget inn til Datatilsynet for brudd på norsk lov. Eller på sikkerhetstabben i Remas "Æ"-app der telefonnumre og deler av kortnumre lå åpent tilgjengelig i nesten to uker... På alle appene du (og jeg) gladelig har gitt alle personopplysningene dine til. Ansiktsgjenkjenning. Fingeravtrykk. Iris.

Har du tenkt på hva alle våre personlige data brukes til? Hvordan de kan sammenstilles til én profil, som vet mer om oss, enn vi gjør selv?

Hva er "personopplysninger"?

EU-kommisjonen definerer personopplysninger som enhver opplysning om en identifisert eller identifiserbar fysisk person. Datatilsynet skriver det litt mer folkelig: Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson. Kort sagt betyr det alle opplysninger som kan identifisere deg som person.

Eksempler på personopplysninger er navn, postadresse, e-postadresse, IP-adresse, registreringsnummeret på bilen din, bilder, mobilnummer, fødsels- og personnummer osv. Biometiske data, som fingeratrykk, irismønster og hodeform (for ansiktsgjenkjenning) er personopplysninger. Atferdsmønstrene dine regnes også, f.eks. hva du handler, hvor ofte, og hvor. (De store matvarekjedene har nok en jobb å gjøre når det kommer til å fortelle oss hvor mye data de samler inn, og hvordan disse brukes!)

GDPR omtaler også sensitive personopplysninger spesielt. Det kan være informasjon om rase eller etnisk bakgrunn, helsen din, politisk, filosofisk eller religiøst standpunkt, kriminelle forhold, seksuell legning/preferanser eller medlemskap i fagforeninger. Slike opplysninger skal man håndtere med ekstra stor varsomhet.

Struktur, orden og system gjør GDPR mer håndterlig

Om du er en av de som har struktur og systemer i bedriften din allerede, vil ikke GDPR være veldig vanskelig å imøtekomme. For de av dere som kanskje har litt mer rot, er dette en gyllen anledning til å etablere struktur og gode systemer!

Se på GDPR som en mulighet. Til å rydde opp i businessen din, og til å fortsette en dialog med de riktige kundene dine.

Vi har alle et ansvar om å ta vare på personopplysninger på en ansvarlig og sikker måte, som ivaretar den enkeltes rettigheter.

Start her

Når du nå skal i gang med GDPR-arbeidet i virksomheten din, er Datatilsynets sider det naturlige stedet å starte. De har en samleside her: Alt om de nye personvernreglene. Der finner du blant annet veilederen Virksomhetens ansvar etter nytt regelverk, se spesielt siden Protokoll over behandlingsaktiviteter der du også finner en mal for å lage oversikten jeg nevner over.

Men, mange (inkludert meg selv) synes at Datatilsynet ofte skriver langt og komplisert. Derfor har jeg laget miniserien "GDPR gjort enkelt for små bedrifter". Der lærer du hvordan du 1) kommer i gang med behandlingsprotokollen, 2) hvordan du sjekker geografisk område, og 3) alt du trenger å vite om databehandleravtaler.

Meld deg gjerne på nyhetsbrevet mitt, så får du i tillegg en gratis mal for protokoll. Den har jeg brukt mye tid på å gjøre forståelig, og kolonnene står i logisk rekkefølge (i motsetning til mange andre maler der ute - sjekk selv ved å sammenligne med Datatilsynets ;)).

Lurer du på noe? Send meg en melding via Kontakt-siden.

Toppbilde av The Digital Artist, Pixabay

Close

50% ferdig

Gratis minikurs i GDPR!

Meld deg på nedenfor for umiddelbar tilgang til kurset. 😊

NB! Du har kun tilgang til kurset i 14 dager. Meld deg derfor kun på når du har satt av tid til det.

Personopplysningene dine behandles i tråd med Bedre Bedrifts personvernerklæring.