I dette innlegget skal vi gå gjennom hvordan du holder deg løpende GDPR-compliant. For å gjøre det, må du først ha grunnmuren på plass.
Og GDPR-arbeidet består grovt sett av tre faser:
Når du har fått på plass de to første punktene, blir det betydelig enklere å opprettholde GDPR-jobben fremover. Nedenfor går vi gjennom hva du trenger å gjøre.
Denne artikkelen er beregnet for små bedrifter (ansvarsfraskrivelse).
Du har flere former av det vi kan kalle en GDPR-revisjon eller personvernrevisjon;
💡 En intern GDPR-revisjon er en gjennomgang av personvernarbeidet i bedriften din, for å sikre at du overholder personopplysningsloven på løpende basis, og er den vi skal gå gjennom i dag.
Nå er det ikke praktisk gjennomførbart å slette personopplysninger hver eneste dag, spesielt ikke for en småbedriftseier.
Rådene nedenfor er derfor tilpasset til vår hverdag, sånn at vi klarer å holde oss «GDPR-ok», samtidig som vi kan drive lønnsomt.
For det første må vi, fordi vi plikter å følge personopplysningsloven, inkludert GDPR (personvernforordningen).
Nå er risikoen for å få tilsynskontroll fra Datatilsynet trolig lav. Risikoen for at andre melder deg inn, er derimot vesentlig høyere:
– Datatilsynet, årsmelding 2019
Noen melder inn bedrifter fordi de har en reell grunn til å være misfornøyd, for eksempel der de ikke får svar på innsynshenvendelsen sin innen de lovpålagte 30 dagene.
Eller der de oppdager at en bedrift rett og slett lyver til dem. Slike blemmer vil du unngå (spesielt siden Datatilsynet offentliggjør tilsyn og bøter).
Dessverre finnes det også folk som vil gjøre livet surt for andre. Noen gjør en innsats på GDPR selv, før de klager inn konkurrentene.
Uansett hva grunnen er – ikke ta det for gitt at du ikke får tilsyn. Og jo mer du har gjort på forhånd, jo mindre tid vil en tilsynskontroll ta, og jo lavere er risikoen både for bøter og omdømmesvikt.
Du kan også:
* En av Bedre Bedrifts kunder sparte over ti tusen kroner årlig på å slette gamle lister i Campaign Monitor, et system for å sende ut nyhetsbrev
Før du i det hele tatt kan gjøre en intern GDPR-revisjon, må du ha grunnmuren i personvernarbeidet ditt på plass.
I det videre forutsetter jeg at du, som minimum, har:
Hvis du falt av lasset nå, bør du starte med å lese og følge denne guiden (grundig): Hva er GDPR og hva betyr GDPR for en liten bedrift?
Hvor mange timer du bruker på en intern GDPR-revisjon er umulig å anslå uten å vite mer om bedriften din (men jeg kan hjelpe deg med et estimat).
De samme faktorene som har noe å si for hvor lang tid det tar å bli «GDPR-klar» i utgangspunktet, påvirker også hvor lang tid en oppdatering tar:
Fordelen med å gjøre disse jevnlige revisjonene, er at det blir enklere og raskere over tid. Så sett av tid til å gjøre dem.
Fordi det er så vanskelig å gi deg et anslag, kan vi ta bedriften min, Bedre Bedrift AS, som et eksempel.
Bedriften ble etablert som AS i juni 2018, eneste ansatt er meg og jeg startet på fulltid 1. november 2018.
Jeg har god kontroll på systemer og dataflyt, høy fokus på sikkerhet, lagrer ingen personopplysninger på papir, er teknisk anlagt, jobber hurtig og har rimelig god kontroll på GDPR. 😉
Likevel brukte jeg nesten 7 timer på min revisjon:
Her brukte jeg imidlertid nesten halvannen time bare på Schrems II-dommen.
Likevel ble jeg selv overrasket over hvor krevende en slik revisjon er, mest på grunn av slettejobben. (Vi kommer tilbake til det nedenfor.)
I skjermbildet over ser du hvordan jeg strukturerte GDPR-revisjonen min i ulike områder. Etter hvert område står en tall- og bokstavkombinasjon, som kommer fra prosjektstyringsverktøyet jeg bruker.
Jeg har ikke bare god kontroll på hvilke systemer og verktøy jeg bruker, men på innholdet i systemene. Jeg vet hva jeg har lagret hvor. Jeg tar ikke vare på mer enn jeg trenger og sletter data fortløpende – personopplysninger eller ikke.
Uten denne oversikten og kontrollen ville GDPR-revisjonen min fort tatt dobbelt så lang tid.
Les mer nedenfor for verktøy jeg anbefaler til arbeidet.
Du kan nå tenke gjennom hvor stor/liten/enkel/kompleks din egen bedrift er, og hvor god GDPR-grunnmur du har – begge delene påvirker hvor mange timer du bør sette av.
For det første bør du sette av tid i kalenderen din til jevne revisjoner. Hvis du får Datatilsynet på besøk kan du også (be)vise at du har løpende fokus på personvern.
Hvis du driver en liten bedrift alene, eller du ikke har mange systemer, kan du fint klare det på en dag. Jeg anbefaler likevel at du deler arbeidet i to, over to dager, for eksempel á tre timer.
På dag 1 kan du fokusere på behandlingsprotokollen:
På dag 2 kan du ta for deg sletting av personopplysninger. Etter min erfaring er dette en krevende øvelse (både i tid og kompleksitet).
Strukturer arbeidet ditt nøye og sørg for at du har kontroll underveis. Du må passe godt på sånn at du ikke sletter personopplysninger du plikter å ta vare på, for eksempel regnskapsdokumentasjon.
Gjør deg helt ferdig med ett system før du går videre til neste, med mindre du venter på oppdateringer fra andre.
I ett tilfelle måtte en av databehandlerne jeg bruker, slette personopplysninger manuelt… Det fine med en GDPR-revisjon er at en fort oppdager om en databehandler ikke er rigget så bra for GDPR, som de kanskje gir uttrykk for.
Og helt til slutt gjenstår kun å oppdatere risikovurderingen og personvernerklæringen din. ✅
Det aller første du bør gjøre, er å lage en logg for arbeidet. Legg inn agenda og plan først, og dokumenter alle aktivitetene dine underveis (med dato).
Loggen hjelper deg å holde god oversikt. Slik dokumentasjon er også uvurderlig ved en tilsynskontroll fra Datatilsynet!
Jeg bruker som sagt et prosjektstyringsverktøy. Ikke bare til slike revisjoner, men til alt jeg gjør i bedriften min. (Og ja, jeg logger all tiden min – derfor vet jeg nøyaktig hvor lang tid GDPR-revisjonen min tok. 😉)
I tillegg har jeg opprettet en egen digital notatblokk (i OneNote) kun for det interne GDPR-arbeidet mitt. Der har jeg full oversikt over systemer, alle versjoner av personvernerklæringen min, alt arbeidet i forbindelse med Schrems II-dommen, risikovurdering, sikkerhetstiltak og mer.
Hvis du driver en liten, ukomplisert bedrift, trenger du ikke nødvendigvis egne GDPR-verktøy/systemer.
Du kan fint ha behandlingsprotokollen din i Excel/regneark og bruke Word/tekstbehandlingsprogram til å loggføre arbeidet, gjøre risikovurderinger, dokumentere berettiget interesse og mer.
Driver du alene, trenger du ikke nødvendigvis å involvere noen andre. Det kommer helt an på budsjettet ditt og hvor mye tid du vil/kan bruke på dette selv.
I en liten håndverkerbedrift er det nok daglig leder alene som vil gjøre jobben (eventuelt med ekstern hjelp).
Har dere avdelinger for HR, markedsføring og IT bør du involvere disse. HR behandler generelt mye personopplysninger, IT har spisskompetanse og markedsansvarlig bruker kanskje Facebook piksel og annet som krever et rettslig behandlingsgrunnlag.
Ellers vil du trolig ha kontakt med databehandlerne dine.
Kanskje oppdager du at du ikke får slettet personopplysninger i et system, som jeg gjorde, eller at de kun har Privacy Shield som overføringsgrunnlag (det holder ikke lenger).
I en revisjon er det lite sannsynlig at du trenger å involvere en advokat, med mindre du trenger/ønsker å kvalitetssikre en databehandleravtale eller et overføringsgrunnlag.
Hvis du ønsker mer konkret, praktisk hjelp, kan du spare både tid og penger på å involvere ekstern bistand. Bare vær sikker på at hjelpen du får, er god nok, og ta gjerne kontakt for en uforpliktende prat om du trenger bistand.
Uansett så håper jeg at du er i gang med personvernarbeidet ditt og ønsker deg lykke til!
Les mer: Ekstern GDPR-revisjon - når du må bevise at du er GDPR-compliant
Motta sjekklisten som PDF og (kun) to e-poster til med konkrete tips til arbeidet (meld deg av når som helst).
Og selv om e-postene også nevner hvordan jeg kan hjelpe deg, blir du ikke bombardert med salgspitcher (som ingen kan fordra 🤢). For å ivareta markedsføringsloven trenger jeg samtykket ditt, derfor må du krysse av i boksen 👇. Les mer om personvernet ditt her.
Få viktige oppdateringer om GDPR og nyttige tips for å drive en lønnsom og profesjonell bedrift.
Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om produkter og tjenester. Meld deg av når som helst.
Abonnenter får invitasjon til et gratis ressursbibliotek for småbedriftseiere og gründere.