7 tips for å forberede din bedrift for GDPR

Introduksjon

EU’s Personvernforordning, The General Data Protection Regulation (GDPR) er den viktigste lovfestede endringen innen datasikkerhet på over 20 år. De nye reglene vil tre i kraft 25.mai 2018, og vil erstatte EU’s Personverndirektiv fra 1995. Forordningen har til hensikt å samkjøre data-lovene i Europa, beskytte og styrke alle EU-borgeres personvern, og endre tilnærmingen til personvern blant virksomheter i Europa.

Mange av hovedbegrepene og prinsippene i GDPR har likheter med det nåværende Personverndirektivet. Forskjellen er at GDPR er mer detaljert og presis på enkelte områder, og tar høyde for utfordringene rundt økt personvernrisiko som kommer med den raske utviklingen i vår digitale verden.

Personlige data er i følge EU’s GDPR Portal all informasjon som kan knyttes til en fysisk person eller et rettssubjekt, og som direkte eller indirekte kan brukes til å identifisere den personen. Som for eksempel navn, e-postadresse, bilde eller bankinformasjon.

Så lenge din virksomhet følger nåværende lovverk på en god måte vil det meste være gjeldende også for den nye loven, og et godt utgangspunkt å bygge videre på.  

Det er imidlertid nye elementer og betydelige forbedringer din virksomhet må være oppmerksom på, for å imøtekomme de nye reglene i personvernforordningen.

I følge en undersøkelse av 1350 virksomheter over hele verden, utført av nettsikkerhet-selskapet NTT, er mange virksomheter fullstendig uvitende om GDPR. Undersøkelser viser at små bedrifter er de som er minst forberedt på den nye loven.

Som hjelp med å sikre at din virksomhet ikke blir tatt i å gjøre feil, kan du bruke denne sjekklisten som et startpunkt. Det er viktig å planlegge tilpasningen til personvernforordningen allerede nå, og forsikre deg om at du har alle nøkkelpersoner i virksomheten din med på laget.

De 7 tipsene

1. Opplæring

Sørg for at alle i virksomheten din kjenner til lovendringen og forstår innvirkningen GDPR vil ha. Du kan lese mer på EU’s GDPR Portal. 

2. Dokumentasjon

Det er viktig at du dokumenterer alle personlige data din virksomhet har lagret, hvor de kommer fra og hvem de deles med. GDPR krever at du dokumenterer alt du lagrer og prosesserer av data, og at du opptrer i samsvar med personvernprinsippene.

3. Gjennomgang

Du bør ta en gjennomgang av din nåværende personvernerklæring og lage en handlingsplan for hvordan du skal få oppdatert denne i tide for GDPR. Dette fordi de nye reglene inneholder nye punkter du må informere om, blant annet rettslig grunnlag for prosessering av data og individets rettigheter. GDPR krever også at denne informasjonen formidles på et tydelig og enkelt språk. For mer informasjon om personvernerklæringer og GDPR, les her.

4. Samtykke

Med det nye regelverket er innhenting av samtykke mye strengere, og påkrevd for å kunne bruke kundedata til for eksempel markedsføring, vedlikehold, kredittsjekk og support. Så du bør se på hvordan du innhenter og behandler samtykker, og om du trenger å gjøre endringer. Om din nåværende samtykkeprosess ikke imøtekommer GDPR standard, bør du oppdatere denne nå. Samtykke må være lett tilgjengelig, spesifikt, informativt og entydig, og avmerkingsbokser som er ferdig merket av er ikke lov. Kunden må selv ha valgt å delta og gi tillatelse, og dette må være godt dokumentert og enkelt å trekke tilbake.

5. Rettigheter

Sjekk dine nåværende prosedyrer for å forsikre deg om at disse dekker individets rettigheter, inkludert retten til å endre eller slette opplysninger.

6. Barn

De nye personvernreglene vil også gi spesiell beskyttelse for barns personlige data. Behandling av personlige data for nettbaserte tjenester til barn under 16 år vil kreve samtykke fra foreldre; medlemsland kan lovfeste en lavere aldersgrense for samtykke, men denne vil ikke være under 13 år. Så om din virksomhet tilbyr nettbaserte tjenester til barn må du ha et system for å bekrefte alder og innhente samtykke fra foreldre eller verge før barnets personlige data kan innhentes eller brukes.

7. Personvernbrudd

Sørg for at du har rette prosedyrer på plass for å oppdage, rapportere og undersøke brudd på personvern. Varslinger om brudd på personvern blir obligatorisk med de nye GDPR-reglene.

NB! Dette er ikke ment som en komplett sjekkliste i henhold til EU eller juridisk rådgivning for din virksomhet med tanke på å etterkomme EU’s personvernregler og GDPR. Den gir deg kun bakgrunnsinformasjon og tips for å bedre forstå GDPR-reglene

Konklusjon

EU tar den nye databeskyttelsesloven ekstremt seriøst, og enhver virksomhet som ikke overholder loven risikerer bøter på opp til 4% av sin globale omsetning.  

GDPR-reglene vil gjelde alle medlemmer av EU og EØS fra 25.mai 2018. Reglene vil påvirke alle som har lagret data om EU-borgere, inkludert virksomheter utenfor Europa.

Små bedrifter har ofte begrensede ressurser og mindre rom for feil sammenlignet med større selskaper som har flere midler for å håndtere omfattende utfordringer som GDPR. Du bør derfor vurdere ekstern hjelp for å forsikre deg om at du overholder den nye loven før den trer i kraft 25.mai 2018.

Ved å gjøre dette vil du kunne bygge tillit til dine kunder ved å vise at du tar deres personvernrettigheter på alvor, og respekterer den nye lovgivningen.

I tillegg gir GDPR små virksomheter en fantastisk langsiktig mulighet, siden de nye reglene kommer samtidig som ny og skybasert teknologi gjør det mulig å samle inn, lagre og analysere store mengder data. Disse dataene gir verdifull innsikt, og gjør det enklere for din virksomhet å møte kundens krav og behov på nye og bedre måter.

Du kan også få mer informasjon på EU’s GDPR Portal. Her finner du masse relevant informasjon, i tillegg til en stor FAQ-seksjon.

Du er kanskje også interessert i 

Følg oss på FacebookFølg oss på InstagramFølg oss på YouTubeFølg oss på Twitter