Hva er GDPR, og hva betyr det for din bedrift?
GDPR er kort fortalt EUs personvernforordning, som gjelder i hele EU og EØS – og dermed også i Norge. Den kom på plass for å sikre at personopplysninger behandles på en trygg og ryddig måte. Det handler om å beskytte oss som enkeltpersoner, men det stiller også klare krav til hvordan bedrifter samler inn, lagrer og bruker data.
Hvem har ansvar?
Alle virksomheter som behandler personopplysninger har et ansvar. Det gjelder både de som er behandlingsansvarlige og de som er databehandlere.
Behandlingsansvarlige: Den som bestemmer formålet med behandlingen og hvordan dataene brukes.
Eksempler:En arbeidsgiver som håndterer ansattdata
En nettbutikk som samler inn kundedata for å sende varer
En legekontor som oppbevarer pasientjournaler
Databehandlere: Den som behandler personopplysninger på vegne av den behandlingsansvarlige.
Eksempler:Et regnskapsbyrå som fører regnskap på vegne av en kunde
Et IT-system eller skyløsning som lagrer data for en bedrift
Et markedsføringsbyrå som håndterer e-postlister
Det er lett å tenke at dette kun gjelder de store aktørene, men også små og mellomstore bedrifter omfattes fullt ut. Har du ansatte, kunder eller leverandører – ja, da behandler du personopplysninger og må følge GDPR.
Hva menes med personopplysninger?
Personopplysninger er mye mer enn bare navn og fødselsnummer. Det kan være informasjon som e-postadresser, telefonnummer, IP-adresser, bilder, opptak av stemmen din eller detaljer om kjøpshistorikk. Til og med en kombinasjon av mindre opplysninger – som bosted, alder eller jobb – kan gjøre det mulig å identifisere en person. Kort sagt: Alt som kan knyttes til en enkeltperson regnes som en personopplysning. Derfor omfatter GDPR langt flere situasjoner enn mange er klar over.
I praksis samler bedrifter inn og lagrer slike data hver eneste dag. Det kan være når en kunde fyller ut et skjema på nettsiden, når ansatte registrerer timelister, eller når et system logger innlogginger og aktivitet. Mange virksomheter er ikke alltid bevisste på hvor mange kilder til personopplysninger de faktisk sitter på – og nettopp derfor er det viktig å ha gode rutiner og systemer på plass.
Konsekvenser ved manglende etterlevelse
Dersom man ikke følger regelverket kan konsekvensene bli store. Det handler ikke bare om økonomiske sanksjoner, men også om tillit og omdømme. Når personopplysninger ikke behandles på en sikker og åpen måte risikerer virksomheten å tape både kunder og samarbeidspartnere.
Mulige konsekvenser ved manglende etterlevelse:
Høye bøter fra Datatilsynet ved alvorlige brudd
Skade på bedriftens omdømme dersom et avvik blir kjent offentlig
Tap av kundetillit som kan være vanskelig å bygge opp igjen
Risiko for erstatningskrav fra enkeltpersoner som rammes
Merarbeid og kostnader knyttet til opprydding etter et brudd
Det viktigste er likevel at manglende etterlevelse kan svekke relasjonen til kunder og ansatte. Tillit tar lang tid å bygge opp, men kan forsvinne på et øyeblikk dersom data ikke håndteres på riktig måte.
Hvorfor gjelder dette også små og mellomstore bedrifter?
GDPR skiller ikke mellom små og store virksomheter. Reglene gjelder for alle som behandler personopplysninger, uansett bransje eller størrelse. Selv en liten håndverksbedrift som lagrer kundelister på mobilen, et treningssenter som registrerer medlemmenes inn- og utpassering, eller en nettbutikk som håndterer bestillinger og betalinger, behandler personopplysninger hver eneste dag.
Mange små og mellomstore bedrifter tenker kanskje at risikoen er lav, men realiteten er at selv små databrudd kan få store konsekvenser – både for de som blir berørt og for bedriften selv.
Fordelen er at man ikke trenger å gjøre ting mer komplisert enn nødvendig. Jo tidligere man får på plass gode rutiner, desto enklere er det å følge lovverket i praksis og skape trygghet hos både kunder, ansatte og samarbeidspartnere. Med et digitalt verktøy som Tavler kan du samle rutiner, maler og dokumentasjon på ett sted og sørge for at GDPR-arbeidet blir håndterbart i hverdagen.