<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=600253143510456&amp;ev=PageView&amp;noscript=1">
123.jpg

Slik blir du klar for GDPR

Posted by Tommy Arnesen | 15.02.18 07:00

GDPR. Disse fire skrekkens bokstaver, som i store deler av 2017 har generert store inntekter for foredragsholdere og advokater over hele landet. Hva er det egentlig? Og hvordan kan din bedrift komme i gang med å innfri kravene? For nå begynner det å haste!

 

Du trodde kanskje at GDPR ikke gjaldt deg? Din bedrift sender ikke ut nyhetsbrev eller oppbevarer noen form for kundedata? Tvilsomt, men la gå. Men du har ansatte i bedriften? Gratulerer, da er også du omfattet av GDPR.

EUs nye personvernforordning trenger ikke å være så skummel som så mange skal ha det til. Faktumet er at dersom du har oppført deg pent, og fulgt de lover og regler som gjelder den dag i dag, så er du ganske godt på vei allerede.

 

Så hva må jeg gjøre?

Dette innlegget er ment til deg som først nå har begynt å tenke at: ”jaja, kanskje jeg skulle gått på et sånt frokostmøte og hørt hva GDPR betyr”.

Bokstavene står for General Data Protection Regulation, og trer i kraft 25. mai i år. Kort forklart så er denne forordningen skapt for å sørge for sterkere beskyttelse av persondata, herunder også forhindring av misbruk av slik data. Eksempelvis kan en bedrift ikke lenger sende nyhetsbrev til sine kunder uten et eksplisitt samtykke til slik kommunikasjon, etter 25. mai.
Vær også forberedt på at når GDPR trer i kraft, kan hvem som helst å be om innsyn i hva din bedrift har lagret av persondata på vedkommende.

 

GDPR behøver ikke å være så vanskelig, så lenge man har dokumentasjonen på plass

Er det slik du ser ut nå? Frykt ikke. GDPR er ikke såååå vanskelig, så lenge du har forberedt deg

 

For å komme i mål, slik at alle rutiner og dokumentasjon er 100% kartlagt før fristen, ønsker vi å dele et forslag til en fremdriftsplan, hvor man følger disse stegene:

 

Evaluering

  • Hvilke personopplysninger/data lagrer vi (Rubbel og bit. Alt fra kundeinfo til personaldata)
  • Har vi anskaffet disse opplysningene på riktig måte, og har vi samtykke til å oppbevare dataene?
  • Er dataene lagret på en sikker måte som tilfredsstiller krav til IT-sikkerhet?
  • Har vi lagret sensitiv persondata? Dette er typisk helseopplysninger eller biometriske data. Ironisk nok er ikke personnummeret ditt regnet som sensitive opplysninger
  • Overfører vi disse dataene utenfor EU? Om ikke – er vi sikre på at det er nok sikkerhet involvert i prosessen?

 

Etter at man har tatt en evaluering av hvilke data man har, og hvordan disse oppbevares, er det hensiktsmessig å sette opp en prosjektplan for det videre arbeidet.

 Dokumentasjon, prosjekplan og oversikt over prosedyrer er alle tiltak man burde gjøre i forbindelse med GDPR

Fortsatt ikke helt med? Frykt ikke. Det er mange som ikke er klare enda, men det er smart å komme i gang relativt fort

 

Prosjektplan

  • Har vi en plan for å bli klar til mai?
  • Er ledelsen informert og klar over utfordringene, slik at vi eventuelt har godkjenning på innkjøp av nødvendige verktøy eller utvikling?
  • Trenger vi å gjøre en datasikkerhetsvurdering?
  • Må vi kanskje ansette en egen person som jobber med datasikkerhet?
  • Etablerer vi en såkalt Privacy by Design and Default i bedriften, slik at alle prosjekter vi jobber med i fremtiden vil hensynta datasikkerhet og korrekt behandling av persondata
  • Er informasjon om de ansatte en del av planen vår? Her har nok mange bedrifter mye å hente!

 

Prosedyrer og kontroll

  • Er de som jobber med sikkerhet, informert om deres plikter under GDPR og har de tilstrekkelige ressurser til å gjøre det som kreves?
  • Har vi prosedyrer på plass som tillater at de vi oppbevarer data om, kan få innsyn, eller endre eller slette sine data?
  • Har vi varslingsrutiner på plass, i tilfelle det skulle forekomme at vi har hatt brudd på datasikkerhet, eller persondata har kommet på avveie?
  • Gjør vi løpende vurderinger av de data vi sitter på?

 GDPR legger til rette for en solid opprydning i egne rutiner og prosedyrer

Oppgitt? Ingen grunn til å være det. GDPR gir deg en gyllen mulighet til å rydde opp der du ikke nødvendigvis har full oversikt i dag

 

Dokumentasjon

  • Har vi en Privacy Policy (personvernpolicy) på plass?
  • Har vi et bevisst forhold til hvor lenge vi lagrer personopplysninger fra kunder, prospekts, leverandører og ansatte?
  • Er alle våre interne prosedyrer tilstrekkelig dokumentert?
  • Har vi på plass en databehandleravtale?
  • I de tilfellene hvor tredjepartsleverandører behandler personopplysninger på våre vegne, har vi da sikret at de kontraktene vi har med dem har blitt oppdatert til å tilfredsstille kravene i GDPR?

 

Som du kanskje skjønner, er det mye å ta tak i. Et godt sted å starte kan være å kontakte den eller de advokatene ditt selskap benytter seg av for å høre hvordan dere går fram. Et alternativ er å sjekke med Datatilsynet, som også har laget en god oversikt over hva som faktisk forventes av din bedrift.

 

Vi kommer med mer personvern utover våren. Lykke til!

 

Topics: Markedsføring, Kundeservice, HMS

Written by Tommy Arnesen

Tommy Arnesen jobber som markedskonsulent i ProffCom. Han har bakgrunn fra kundeservice, salg, kommunikasjon, journalistikk, fotografi og markedsføring. Tommy har også en femåring mastergrad i medievitenskap fra Universitetet i Oslo