GDPR-revisjon: Slik holder du deg løpende GDPR-compliant

I dette innlegget skal vi gå gjennom hvordan du holder deg løpende GDPR-compliant. For å gjøre det, må du først ha grunnmuren på plass.

Og GDPR-arbeidet består grovt sett av tre faser:

• Forstå hva GDPR er og betyr for din bedrift
• Få personvernarbeidet opp på et visst minimum
• Hold deg løpende «GDPR-klar» (compliant)

Når du har fått på plass de to første punktene, blir det betydelig enklere å opprettholde GDPR-jobben fremover. Nedenfor går vi gjennom hva du trenger å gjøre.

Denne artikkelen er beregnet for små bedrifter (ansvarsfraskrivelse).

Hva er en GDPR-revisjon?

Du har flere former av det vi kan kalle en GDPR-revisjon eller personvernrevisjon;

1. den som Datatilsynet gjør som en tilsynskontroll,
2. en eksternrevisjon (typisk etter artikkel 28 nummer 3 bokstav h) og
3. den interne GDPR-revisjonen du må gjøre selv for å sikre løpende GDPR-etterlevelse.

💡 En intern GDPR-revisjon er en gjennomgang av personvernarbeidet i bedriften din, for å sikre at du overholder personopplysningsloven på løpende basis, og er den vi skal gå gjennom i dag.

Nå er det ikke praktisk gjennomførbart å slette personopplysninger hver eneste dag, spesielt ikke for en småbedriftseier.

Rådene nedenfor er derfor tilpasset til vår hverdag, sånn at vi klarer å holde oss «GDPR-ok», samtidig som vi kan drive lønnsomt.

Hvorfor bør du gjennomføre en intern GDPR-revisjon?

For det første må vi, fordi vi plikter å følge personopplysningsloven, inkludert GDPR (personvernforordningen).

Nå er risikoen for å få tilsynskontroll fra Datatilsynet trolig lav. Risikoen for at andre melder deg inn, er derimot vesentlig høyere:

– Datatilsynet, årsmelding 2019

Noen melder inn bedrifter fordi de har en reell grunn til å være misfornøyd, for eksempel der de ikke får svar på innsynshenvendelsen sin innen de lovpålagte 30 dagene.

Eller der de oppdager at en bedrift rett og slett lyver til dem. Slike blemmer vil du unngå (spesielt siden Datatilsynet offentliggjør tilsyn og bøter).

Dessverre finnes det også folk som vil gjøre livet surt for andre. Noen gjør en innsats på GDPR selv, før de klager inn konkurrentene.

Uansett hva grunnen er – ikke ta det for gitt at du ikke får tilsyn. Og jo mer du har gjort på forhånd, jo mindre tid vil en tilsynskontroll ta, og jo lavere er risikoen både for bøter og omdømmesvikt.

Du kan også:

• Spare (mye) penger på å slette personopplysninger, for eksempel der du betaler for hver e-postadresse*
• Bruke det som et konkurransefortrinn og aktivt i markedsføringen din – samtidig som du forteller kunder, leverandører, ansatte og andre at du ikke bare sier at du tar personvern på alvor, men du viser det
• En ryddig bedrift med god struktur gjør GDPR vesentlig enklere å forholde seg til på løpende basis
• Personvern står høyt på agendaen i hele verden og blir bare mer og mer aktuelt, ikke minst med dommer fra EU som i noen tilfeller forbyr lagring av personopplysninger i USA

* En av Bedre Bedrifts kunder sparte over ti tusen kroner årlig på å slette gamle lister i Campaign Monitor, et system for å sende ut nyhetsbrev

Forutsetninger: hva du må ha på plass først

Før du i det hele tatt kan gjøre en intern GDPR-revisjon, må du ha grunnmuren i personvernarbeidet ditt på plass.

I det videre forutsetter jeg at du, som minimum, har:

• fylt ut behandlingsprotokollen din,
• vet hvor personopplysningene lagres,
• har innhentet databehandleravtaler,
• gjort en risikovurdering,
• utformet gode rutiner for personvernarbeidet
• og har forsikret deg om at personvernerklæringen din er i tråd med alle kravene etter GDPR

Hvis du falt av lasset nå, bør du starte med å lese og følge denne guiden (grundig): Hva er GDPR og hva betyr GDPR for en liten bedrift?

Hvor mange timer tar en GDPR-revisjon?

Hvor mange timer du bruker på en intern GDPR-revisjon er umulig å anslå uten å vite mer om bedriften din (men jeg kan hjelpe deg med et estimat).

De samme faktorene som har noe å si for hvor lang tid det tar å bli «GDPR-klar» i utgangspunktet, påvirker også hvor lang tid en oppdatering tar:

• Kunnskapen din om personvern og sikkerhet fra før av
• Ambisjonsnivået ditt (hvor «GDPR-klar» du ønsker å være)
• Størrelsen på bedriften din (antall ansatte, antall selskaper, omsetning m.m.)
• Hvor lenge bedriften har eksistert (har du mange år med papirarkiver?)
• Kompleksiteten i bedriften din (antall systemer, mengde personopplysninger)
• Typer personopplysninger, og spesielt om du behandler særlige kategorier personopplysninger
• Hva du selger (fysiske produkter, digitale tjenester, med distributører, Klarna osv.)
• Om du kun er behandlingsansvarlig, eller også en databehandler
• Type markedsføring du driver med (avisannonser vs. Facebook-markedsføring med bruk av Facebook piksel)
• Om du får hjelp, eller ikke

Fordelen med å gjøre disse jevnlige revisjonene, er at det blir enklere og raskere over tid. Så sett av tid til å gjøre dem.

Et eksempel: Bedre Bedrifts revisjon

Fordi det er så vanskelig å gi deg et anslag, kan vi ta bedriften min, Bedre Bedrift AS, som et eksempel.

Bedriften ble etablert som AS i juni 2018, eneste ansatt er meg og jeg startet på fulltid 1. november 2018.

Jeg har god kontroll på systemer og dataflyt, høy fokus på sikkerhet, lagrer ingen personopplysninger på papir, er teknisk anlagt, jobber hurtig og har rimelig god kontroll på GDPR. 😉

Likevel brukte jeg nesten 7 timer på min revisjon:

Her brukte jeg imidlertid nesten halvannen time bare på Schrems II-dommen.

Likevel ble jeg selv overrasket over hvor krevende en slik revisjon er, mest på grunn av slettejobben. (Vi kommer tilbake til det nedenfor.)

Hvor god struktur du har fra før av, teller mye

I skjermbildet over ser du hvordan jeg strukturerte GDPR-revisjonen min i ulike områder. Etter hvert område står en tall- og bokstavkombinasjon, som kommer fra prosjektstyringsverktøyet jeg bruker.

Jeg har ikke bare god kontroll på hvilke systemer og verktøy jeg bruker, men på innholdet i systemene. Jeg vet hva jeg har lagret hvor. Jeg tar ikke vare på mer enn jeg trenger og sletter data fortløpende – personopplysninger eller ikke.

Uten denne oversikten og kontrollen ville GDPR-revisjonen min fort tatt dobbelt så lang tid.

Les mer nedenfor for verktøy jeg anbefaler til arbeidet.

Du kan nå tenke gjennom hvor stor/liten/enkel/kompleks din egen bedrift er, og hvor god GDPR-grunnmur du har – begge delene påvirker hvor mange timer du bør sette av.

Slik planlegger og gjennomfører du en GDPR-revisjon

For det første bør du sette av tid i kalenderen din til jevne revisjoner. Hvis du får Datatilsynet på besøk kan du også (be)vise at du har løpende fokus på personvern.

Hvis du driver en liten bedrift alene, eller du ikke har mange systemer, kan du fint klare det på en dag. Jeg anbefaler likevel at du deler arbeidet i to, over to dager, for eksempel á tre timer.

På dag 1 kan du fokusere på behandlingsprotokollen:

• Slett databehandlere du ikke lenger bruker, og behandlingsaktiviteter du ikke lenger gjør
• Legg til nye databehandlere (inkl. kvalitetssikring av leverandøren, databehandleravtalen og ev. nødvendige garantier)
• Lagre nye databehandleravtale og ev. nødvendige garantier
• Legg til nye behandlingsaktiviteter (inkl. type personopplysninger og om noen av disse er «særlige kategorier», kategorier av registrerte, formål, rettslig grunnlag osv.)
• Dokumenter bruk av berettiget interesse, dersom relevant
• Gå gjennom tekniske og organisatoriske sikkerhetstiltak og gjør nødvendige oppdateringer (for eksempel bytte passord)

På dag 2 kan du ta for deg sletting av personopplysninger. Etter min erfaring er dette en krevende øvelse (både i tid og kompleksitet).

Strukturer arbeidet ditt nøye og sørg for at du har kontroll underveis. Du må passe godt på sånn at du ikke sletter personopplysninger du plikter å ta vare på, for eksempel regnskapsdokumentasjon.

Gjør deg helt ferdig med ett system før du går videre til neste, med mindre du venter på oppdateringer fra andre.

I ett tilfelle måtte en av databehandlerne jeg bruker, slette personopplysninger manuelt… Det fine med en GDPR-revisjon er at en fort oppdager om en databehandler ikke er rigget så bra for GDPR, som de kanskje gir uttrykk for.

Og helt til slutt gjenstår kun å oppdatere risikovurderingen og personvernerklæringen din. ✅

Hva slags verktøy trenger du / anbefales

Det aller første du bør gjøre, er å lage en logg for arbeidet. Legg inn agenda og plan først, og dokumenter alle aktivitetene dine underveis (med dato).

Loggen hjelper deg å holde god oversikt. Slik dokumentasjon er også uvurderlig ved en tilsynskontroll fra Datatilsynet!

Jeg bruker som sagt et prosjektstyringsverktøy. Ikke bare til slike revisjoner, men til alt jeg gjør i bedriften min. (Og ja, jeg logger all tiden min – derfor vet jeg nøyaktig hvor lang tid GDPR-revisjonen min tok. 😉)

I tillegg har jeg opprettet en egen digital notatblokk (i OneNote) kun for det interne GDPR-arbeidet mitt. Der har jeg full oversikt over systemer, alle versjoner av personvernerklæringen min, alt arbeidet i forbindelse med Schrems II-dommen, risikovurdering, sikkerhetstiltak og mer.

Hvis du driver en liten, ukomplisert bedrift, trenger du ikke nødvendigvis egne GDPR-verktøy/systemer.

Du kan fint ha behandlingsprotokollen din i Excel/regneark og bruke Word/tekstbehandlingsprogram til å loggføre arbeidet, gjøre risikovurderinger, dokumentere berettiget interesse og mer.

Hvem må involveres i en GDPR-revisjon?

Driver du alene, trenger du ikke nødvendigvis å involvere noen andre. Det kommer helt an på budsjettet ditt og hvor mye tid du vil/kan bruke på dette selv.

I en liten håndverkerbedrift er det nok daglig leder alene som vil gjøre jobben (eventuelt med ekstern hjelp).

Har dere avdelinger for HR, markedsføring og IT bør du involvere disse. HR behandler generelt mye personopplysninger, IT har spisskompetanse og markedsansvarlig bruker kanskje Facebook piksel og annet som krever et rettslig behandlingsgrunnlag.

Ellers vil du trolig ha kontakt med databehandlerne dine.

Kanskje oppdager du at du ikke får slettet personopplysninger i et system, som jeg gjorde, eller at de kun har Privacy Shield som overføringsgrunnlag (det holder ikke lenger).

I en revisjon er det lite sannsynlig at du trenger å involvere en advokat, med mindre du trenger/ønsker å kvalitetssikre en databehandleravtale eller et overføringsgrunnlag.

Hvis du ønsker mer konkret, praktisk hjelp, kan du spare både tid og penger på å involvere ekstern bistand. Bare vær sikker på at hjelpen du får, er god nok.

Uansett så håper jeg at du er i gang med personvernarbeidet ditt og ønsker deg lykke til!

Les mer: Ekstern GDPR-revisjon - når du må bevise at du er GDPR-compliant