Mange bedriftsledere er uvitende om de faktiske kravene som GDPR stiller. De færreste vet at bedriften er pålagt å dokumentere hvordan du samler inn, bruker og sletter personopplysninger. Dette er opplysninger – ofte omtalt som data – om f.eks kundene dine, de ansatte i virksomheten din eller medlemmene i organisasjonen din.
GDPR-verktøyene er ofte mangelfulle. Man ender opp med tilfeldig dokumentasjon av noen områder, som raskt blir utdatert. Dette fører til en falsk følelse av sikkerhet blant bedriftsledere som tror de har kontroll på personopplysningene de har tilgang til.
Les også: Slik får du endelig kontroll på GDPR
Grete Roede har i over 40 år hjulpet nordmenn med livsstilsendring og kosthold ved hjelp av fysiske kurs og digital oppfølging. De har en stor kundebase, som inneholder personopplysninger som navn, bosted og vekt, og er opptatt av å ta godt vare på disse dataene.
- Vi er lovpålagt å ivareta kundenes personvern, og er avhengig av ekstern fagkompetanse for å holde oss innenfor lovverkets rammer, forteller Harald Bugge, økonomisjef i Grete Roede.
Bugge tror mange ledere unngår å innføre GDPR-løsninger i virksomhetene sine fordi det er vanskelig å finne gode, praktiske løsninger. Et hinder er også økonomi. Han opplever at mange konsulenter og advokater overbyr hverandre for å få en andel av markedet, og prislappen for å anskaffe ekstern ekspertise nærmer seg fort en halv million kroner. Det gjør det vanskelig for bedrifter, spesielt små- og mellomstore selskaper, å overholde regelverket uten å bruke opp budsjettene sine.
Økonomisjefen forteller at de fikk et starttilbud på 330.000 kroner fra en tilbyder, men det viste seg at de måtte legge enda mer på bordet for å få de løsningene de trengte.
- Jeg vil sammenligne det med situasjonen før årtusenskiftet, da «alle» kjøpte dyre og unødvendige løsninger for å unngå å gå i svart ved midnatt den 1. januar 2000.
Les også: 72 bedrifter bøtelagt på fem år: – Ubehageleg å vite at vi bryt lova
Når konsulentselskapene i tillegg utnytter manglende kompetanse og forståelse hos kundene sine, ender man ofte opp med løsninger som er lite praktiske og intuitive. Flere har fått erfare at det de trodde var «Den endelige GDPR-løsningen» ender opp i en utdatert oversikt, som slett ikke svarer opp de lovpålagte kravene som Datatilsynet stiller.
I verste fall risikerer du bøter eller tap av omdømme, når kundene opplever at du ikke er i stand til å ta vare på personopplysningene deres på en god måte.
Les også: Tusenvis av norske bedrifter bryter personvernloven
Bugge i Grete Roede syntes det var krevende å ha ansvaret for bedriftens personvernrutiner.
- Jeg må innrømme at jeg har våknet om natten og tenkt på hvordan vi kan løse dette på en måte som fungerer for oss og våre kunder. Det er et stort ansvar å ivareta personvernet til så mange kunder, og gjøre det på en måte som vår organisasjon kan håndtere trygt og sikkert.
Han opplever Adminkits GDPR-løsning som tilgjengelig, intuitiv og enkel for hele organisasjonen å bruke. Den har skapt en bevissthet rundt GDPR-kravene på tvers av organisasjonen, og sikrer at alle ledd regelmessig følger opp og oppdaterer informasjonen.
- Nå har vi en applikasjon alle i organisasjonen kan bruke. Den er tilgjengelig, intuitiv og enkel. Vi har fått en sterk bevissthet i hele organisasjonen om at dette er enkelt, viktig og at det følges opp regelmessig i alle ledd.
I vinter la Bugge frem en GDPR-rapport for styret, noe som representerer en milepæl i Roedes reise mot å etablere et vanntett og stabilt GDPR-system. Han uttrykker nå trygghet og selvtillit i måten organisasjonen håndterer personvern på, og hvordan de møter myndighetenes krav.
Harald Bugges erfaringer med GDPR reflekterer en virkelighet mange bedriftsledere står overfor. Det er på høy tid å avvikle den falske GDPR-tryggheten og ta i bruk praktiske og kostnadseffektive løsninger som ikke bare oppfyller kravene, men også forenkler og styrker beskyttelsen av personopplysninger i virksomheten. Adminkit's suksesshistorie med Roede er et inspirerende eksempel på hvordan det er mulig å oppnå dette målet.
Usikker på hva du trenger for å følge kravene til GDPR? Ta GDPR-sjekken her!
*Kilde: SMB-tempen november 2023