GDPR sjekkliste – hvor langt har småbedriftene kommet med GDPR arbeidet?

Gjesteartikkel skrevet av Tommy Svendsen.

Aller først så kan det være greit å redegjøre for hva GDPR er….

GDPR står for General Data Protection Regulation, og er en europeisk forordning som ble innført i Norge sommeren 2018. Det er Datatilsynet som har ansvar for at virksomheter etterlever regelen om personvernet. Forordningen er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, organisasjoner og andre samler inn av personopplysninger og data.

Det er et krav at GDPR – ordningen skal sikre informasjon om privatpersoner, blant annet ved at du som virksomhet, på en forståelig måte, skal opplyse om hvorfor informasjon samles innhvorfor den beholdes og hvor lenge dataen skal oppbevares. Kort sagt; ansatte, klienter og andre du oppbevarer personopplysninger på skal altså informeres

Den nye lovgivningen gjelder ALLE virksomheter som behandler personopplysninger. Det er ledelsen sitt ansvar å overholde de nye pliktene, få dette implementert og følge opp dette i virksomheten med å dokumentere GDPR arbeidet. 

Igjen; oppbevarer du personopplysninger så må du informere, overfor myndigheter og andre må du dokumentere.  

At det er krav rundt GDPR ordningen har de fleste fått med seg, men er du klar over hva som ligger i dette?  

Etterspørsel om dokumentasjon for systematisk GDPR arbeid kan komme fra kunder/medlemmer, oppdragsgivere, samarbeidspartnere og myndigheter. I denne forbindelse må du kunne du henvise og framlegge dokumentasjon å tydeliggjøre at virksomheten tar dette på alvor.

Det er på langt nær alle virksomheter som har gjennomført de nye kravene i personvernordningen. Kun 4 av 10 virksomheter har fått på plass rutinene rundt GDPR arbeidet. Spesielt ser man at små og mellomstore aktører ikke har fått kontroll på GDPR. 

At mange små og mellomstore virksomheter ikke har GDPR på plass skyldes ofte uvitenhet om den nye lovgivningen, mangel på kompetanse for å få GDPR på plass, eller at man faktisk ikke har tid til å «gjøre noe med det».  Det kan være lett å kjenne seg igjen som småbedriftseier på dette.  

Nå er det slik at GDPR er lovpålagt, og man MÅ være klar over at brudd på regelverket kan gi store konsekvenser i form av sanksjoner og bøter. Ikke minst så må man tenke på virksomhetens renommè og tillit dersom personopplysninger kommer på avveie.  Er du klar for å håndtere dette, dersom det skjer i din virksomhet?

Det er altså langt i fra tilstrekkelig å bare ha en personvernerklæring på hjemmesiden eller at ansatte har fått informasjon om personvern internt i virksomheten. Arbeidet med GDPR krever mer.

Her får du en 10 punkts sjekkliste på hva du bør gjøre for å få på plass GDPR i virksomheten:

  • Skaff en total oversikt over hvilke personopplysninger virksomheten oppbevarer.
  • Gå deretter igjennom hvorfor opplysningene oppbevares, og hvor lenge dere skal oppbevare opplysningene.
  • Få oversikt over hvem i virksomheten som har tilgang til personopplysninger.
  • Få oversikt over hvilke rettigheter en person (ansatte og klienter) har i forbindelse med personvernordningen. Dette gjelder både innsynsrett, oppdateringer, retten til å bli slettet osv. Få oversikt over hvordan virksomheten skal håndtere dette.
  • Få oversikt over hvordan virksomheten oppbevarer personopplysninger. I papirform, digitalt, epost?
  • Skaff til veie informasjon om hvordan man skal forholde seg til Datatilsynet, og hva man skal gjøre dersom opplysninger om personer kommer på avveie.
  • Er det behov for å opprette eget ombud i virksomheten, som håndterer personvern som en av oppgavene?  
  • Sørg for å informere klienter/medlemmer, ansatte og andre om personvernet i virksomheten. Dette gjøres gjennom personvernerklæringer og samtykke/godkjenninger.
  • Få oversikt over eksterne som behandler personopplysninger på vegne av virksomheten. Foreligger det databehandleravtale eller erklæring på at de ivaretar personvernet på vegne av dere?
  • Få på plass dokumentasjon som rutiner, prosedyrer og loggsystem rundt GDPR arbeidet. Herunder avviksrutiner, handlingsplaner, oppfølging osv. Det er dette som dokumenterer at virksomheten tar GDPR på alvor.

GDPR handler om trygghet for dine ansatte, kunder og samarbeidspartnere. GDPR arbeidet må derfor være en løpende prosess i virksomheten.

Har du spørsmål rundt GDPR eller ønsker bistand for å få dette på plass i virksomheten, så kan ta kontakt på telefon 924 99 992 for en uforpliktende samtale med Tommy Svendsen som tilbyr konsulenthjelp på GDPR.