Hopp til innholdet
Svensk
23 - 24SO - Icons stack

Hvordan påvirker GDPR min virksomhet? 

I 2018 fikk vi en ny personvernsforordning som skal beskytte alle individer mot uriktig bruk av personvernsopplysninger. Forordningen heter “The General Data Protection Regulation”, bedre kjent som GDPR. 

Personopplysninger har på mange måter blitt en valuta på lik linje med penger. Opplysningene kan f.eks. benyttes til å tilpasse relevant markedsføring og kommunikasjon i ulike kanaler, basert på ditt engasjement på ulike plattformer på nett.  Dette er ikke nødvendigvis negativt, men om slik informasjon derimot benyttes til å gi deg spesialtilpasset innhold som bidrar til å endre din virkelighetsoppfattelse av verdensbildet, er vi fort inne på en farlig vei.

De færreste av oss interessert i at tredjeparter skal sitte på sensitiv informasjon om oss. Det er derimot ikke noe nytt eller galt i å samle inn persondata, men det er viktig at dette gjøres på en måte slik at ikke enkeltindivider blir krenket.

Forordningen har derfor blitt etablert for å beskytte enkeltindivider fra samfunn der den teknologiske utviklingen og bruk av store datamengder (“big data”) går i en rasende fart og lovverket ikke rekker å henge med. Selv om forordningen gjelder i EU og EØS, har også andre land som vi har mye med å gjøre med som f.eks. USA sine egne ordninger.    

Mye av fokuset rundt GDPR i pressen har handlet om konsekvensene ved å ikke følge forordningen. Ved brudd på bestemmelsene kan en få bøter på opptil 4% av den årlige globale omsetningen eller €20 millioner, alternativet som utgjør den høyeste summen. For mange er dette grunn nok til ta GDPR på alvor. Det er likevel viktig å ta til betraktning hvordan din virksomhet skal leve etter retningslinjene for GDPR i hverdagen, slik at dette ikke bare blir en sjekkliste som hukes av for å vise at reglene følges.

Hva er GDPR?

GDPR eller The General Data Protection Regulation gir enkeltindivider mer kontroll på personopplysninger, enten de betraktes som kunder, prospekter, leverandører eller ansatte. De viktigste rettighetene kan sammenfattes slik: 

 

  1. Å gi eller fjerne samtykke
    Du har retten til å gi eller fjerne samtykke knyttet til bruk av dine personlige data.

  2. Rett til tilgang
    Du har retten til å få informasjon om hva slags personlige data som har blitt registrert og lagret om deg.

  3. Rett til å korrigere informasjon
    Du har retten til å be om at feil informasjon om deg blir korrigert.

  4. Rett til å bli glemt
    Du har retten til å kreve at eieren av et register sletter personlige data om deg. Dersom du har et kundeforhold til en virksomhet, vil regnskapsloven gjelde. Dvs. en virksomhet har krav om å oppbevare regnskapsmessige bilag som f.eks. inn- og utgående fakturaer i en viss tidsperiode. Virksomheten kan derfor ikke slette deg fra sine registrer før denne perioden utløper. Du kan derimot be om å bli fjernet fra f.eks. å motta nyhetsbrev.

  5. Rett til å eksportere data
    Du har rett til å få dine personlige data eksporter i et maskinlesbart format.

  6. Rett til å bli informert
    Du har retten til å bli informert når personlig data om deg som individ blir innsamlet. Du har også retten til å bli informert dersom det har vært datainnbrudd hos eieren av et register innen 72 timer etter datainnbruddet har blitt oppdaget.      

 


Hvordan påvirker GDPR din virksomhet?

“Jeg forstår at selskaper som Google og Facebook blir fulgt tett i forhold til GDPR. Men jeg er jo bare en liten konsulentbedrift med få ansatte. Vi kommer vel aldri til å bli kontrollert”.
En vanlig daglig leder i et lite selskap

Jo, GDPR gjelder for alle virksomheter, enten du er stor eller liten, arbeider med privatkunder eller bedriftskunder. Du er ansvarlig for at persondata i din virksomhet følger reglene og at informasjon ikke kommer på avveie. 

Datatilsynet skriver følgende på sine sider om virksomhetens ansvar: “Personopplysningsloven inneholder noen personvernprinsipper som alle virksomheter må følge. Ett av prinsippene er ansvarlighet. Dette prinsippet går ut på at virksomheten skal ha full oversikt over sin behandling av personopplysninger og iverksette tekniske og organisatoriske tiltak som gjør at loven følges. Dette betyr at hver enkelt virksomhet må gjøre mange viktige vurderinger på egen hånd - før de samler inn og bruker personopplysninger. “

GDPR handler om personvern, sikkerhet, transparens og tillit. Men GDPR kan også være en god mulighet for din virksomhet til å bygge enda bedre kunderelasjoner, basert på profesjonell behandling og tillit. 

I dag har du registrert opplysninger om dine kunder, leverandører og prospekter, slik som navn, adresse og epostadresser, der du muligens også har kategorisert dem ut fra interesser eller kjøpshistorikk, slik at du kan gi kundene dine gode kundeopplevelser.  

Når slike data lagres er det viktig å tenke på GDPR. Noe av denne informasjonen er du lovpålagt å lagre, som f.eks. faktura- og regnskapsbilag, mens annen data skal være formålstjenlig å lagre. Her er noen spørsmål du kan stille til egne lagringsrutiner:

 

Hva kan du gjøre?

Her er noen råd til hva du kan gjøre i din virksomhet:

 

  1. GDPR er en kontinuerlig prosess!
    Den bør innarbeides i alle virksomhetens rutiner. Dette er ikke en engangsjobb som du kan sjekke av som ferdigstilt.

  2. Be om samtykke!
    Hva vil jeg oppnå ved å lagre disse opplysningene? Er det relevant eller nødvendig å lagre disse opplysningene? Kan jeg dokumentere at samtykke er gitt? Hvordan ble opplysningene innhentet? Gjør det til en rutine å be om samtykke for å lagre data. Husk at dersom du har bedt om et samtykke fra noen, så gjelder det frem til personen trekker det tilbake. Husk hvorfor du ba om samtykket og at opplysninger ikke skal benyttes til andre formål enn det de er innsamlet for, eller gitt samtykke til.

  3. Må jeg ha samtykke på alt?
    Du behøver ikke å be om samtykke for alt. Du har sikkert allerede en opparbeidet kundedatabase med både eksisterende kunder og prospekter. For å vurdere om du har lov til å beholde deres personopplysninger etter GDPR må det gjøres en konkret vurdering av behandlingsgrunnlaget. Det kan være informasjon du må ha for å fakturere eller holde kontakt med en kunde. Dette kalles å oppfylle kontrakten du har med din kunde. Det er også visse andre forhold hvor det er rettslige forpliktelser, oppgaver som skal utøves med allmennhetens interesse, eller i offentlig myndighet.

  4. Utnevn et personvernombud
    Noe av det første du kan gjøre er å utnevne et personvernombud eller noen som er ansvarlig for personvern i din virksomhet. For offentlige virksomheter og større virksomheter som behandler personopplysninger i stort omfang er dette lovpålagt. Mange virksomheter har ikke dette kravet, men de er fortsatt pålagt å følge GDPR kravene. Dermed anbefales det at du utnevner et personvernombud, selv om dette ikke er lovpålagt. Et personvernombud bør ta tak i teamene i dette dokumentet og se hvordan din virksomhet håndterer dette i hverdagen.

  5. Hvor skal de som har forespørsler rundt GDPR henvende seg?
    Hvis noen ønsker at du skal slette dem fra dine registre, eller ønsker å få utlevert opplysningene du har registrert om dem. Hvor henvender de seg? Hvordan utføres oppgaven? Benytter du 24SevenOffice kan du enkelt foreta slike oppgaver fra personvernsmodulen. Denne er rettighetstyrt, så hvis du ikke har tilgang til denne, så spør administrator i din virksomhet eller ta kontakt med 24SevenOffice for veiledning.

  6. Få på plass rutiner for å slette gammel data
    Er det formålstjenlig å ta vare på 8 år gamle notater om et prospekt du var i kontakt med, men aldri fikk? Lag rutiner for når data skal slettes og ikke, slik at du unngår misforståelser.

  7. Hvor lagrer jeg dokumentene mine?
    Du bør lagre dokumenteret sted du vet at lagring skjer i hht. GDPR lovgivningen. 24SevenOffice lagrer data ihht. disse reglene

  8. Hvem har tilgang til dataene mine?
    Vi lever i en hverdag der data fra ulike IT-systemer stadig flyter mer sømløst sammen. Vi får et  stadig mindre forhold til hvor data faktisk befinner seg. En ting er at dataene ligger i et GDPR-kompatibelt forretningssystem som 24SevenOffice. Men hvilke andre integrasjonstjenester som du har koblet på, har tilgang til dataene dine? Har disse leverandørene gode GDPR rutiner på plass?

  9. Kategoriser kundene dine
    Lag kategoriserte lister over personer som ikke lenger ønsker å få tilsendt informasjon. Det er ikke populært om personer som har bedt om å ikke få tilsendt informasjon fra deg, fortsatt får tilsendt f.eks. nyhetsbrev. Benytter du flere verktøy til utsendelser? Snakker disse sammen? Bruk et sentralt CRM register som en master for behandling av denne typen data.

  10. Ha en plan for hva du gjør dersom noe går galt!
    Det er din plikt å varsle alle i registeret ditt dersom du er så uheldig å opplever et datainnbrudd. Dette skal gjøres innen 72 timer etter at innbruddet fant sted. Da kan det allerede være for sent å etablere rutiner og planlegge hvordan dette skal informeres om. Ha en plan for dette på forhånd.

  11. Velg et forretningssystem som tar GDPR på alvor
    Velger du 24SevenOffice så har du valgt en leverandør som tar GDPR på alvor.


Er 24SevenOffice "GDPR kompatibelt"?

GDPR handler ikke så mye om IT-verktøyene du benytter, men om hvordan du benytter dem. Benytter du 24SevenOffice så har du et trygt verktøy for blant annet lagring av korrekt informasjon, men også muligheten til å å slette data dersom dette blir krevd. Samtidig kan du utlevere informasjon om hva som står registrert om en person på en enkel måte. Dataene lagres innenfor EU/EØS og følger strenge krav til lagring i forhold til regnskapsloven. 24SevenOffice er er ISO 27001 sertifisert, noe som innebærer at informasjonssikkerhet tas på alvor på alle nivåer i organisasjonen.

 

Har jeg en databehandleravtale med 24SevenOffice?

Alle som har en bruker i 24SevenOffice har godtatt lisensvilkårene ved opprettelse av brukeren. Da du godkjente disse vilkårene, godkjente du også en databehandleravtale som 24SevenOffice har med deg som bruker. 

Databehandleravtalen kan leses i sin helhet her

For å spare miljøet for unødvendige utskrifter, kan du i din GDPR dokumentasjon lenke til denne siden.

 

Hvordan behandler 24SevenOffice mine data?

Utover databehandleravtalen har 24SevenOffice en integritetspolicy eller Privacy Notice som det omtales internasjonalt. Denne beskriver hva slags data som 24SevenOffice samler inn og hvordan de benyttes. Her finner du også mer informasjon om dine rettigheter som individ, enten du er en bruker av 24SevenOffice eller om du er registrert i register opprettet av en virksomhet som benytter 24SevenOffice som IT-verktøy. 

Privacy Policy kan leses i sin helhet her

Både databehandleravtalen og Privacy Notice er skrevet på engelsk, da 24SevenOffice er et internasjonalt selskap, der henvendelser rundt dette ofte krever internasjonalt språk.

 

Oppsummering

Ikke la deg skremme av GDPR. Dette er lovgivning som er laget for å beskytte både deg og meg. Det er klart at det er en del du må ta stilling til dersom du enda ikke har begynt å tenke på GDPR i din virksomhet. Når dette først er på plass, skal GDPR være en del av måten virksomheten fungerer framover, det skal være en integrert del i måten å tenke og jobbe på. Bruk GDPR som et konkurransefortrinn. Vis kundene dine at du tar personvern og sikkerhet på alvor og at du er en trygg og seriøs aktør. 

Dette er ikke et juridisk dokument, da innholdet kun er laget for å gi informasjon om personvern og GDPR. Har du spørsmål om behandling av personopplysninger om deg selv hos en virksomhet som benytter 24SevenOffice, ta kontakt med denne virksomheten og ikke 24SevenOffice. 

Del artikkel

Del på Facebook Del på Twitter Del på LinkedIn