En personopplysning er informasjon som gjør at du kan kjenne igjen en person. Det kan være navn, bilde, adresse eller fødselsnummer, eller en kombinasjon av flere opplysninger som til sammen kan gjøre at en person blir gjenkjent. Tenk deg for eksempel at Google-bilen tar et bilde av faren din som maler huset når bilen kjører forbi. Selv om Google sladder ansiktet hans, vil de som kjenner ham fortsatt vite hvem som er avbildet på denne adressen.
Dersom Datatilsynet kommer på besøk, er det protokollen de vil spørre etter. Her samler du det meste av personopplysninger og dokumenterer ting som:
Det er ofte slik at hver avdeling samler ulik informasjon og har sin egen måte å bruke dataene på. Gjennom arbeidet med protokollen får dere en helhetlig oversikt for hele bedriften.
Når dere sender andres personopplysninger til en tredjepart, er dere lovpålagt å sikre at disse opplysningene ikke blir misbrukt. Så hvis oppdraget går ut på å bruke personopplysninger skal du be om en databehandleravtale fra underleverandøren din.
Det kan for eksempel være regnskapskontoret som kjører lønn for deg. De bruker opplysninger som navn, adresse og kontonummer for å utbetale lønn. Da må det på plass en databehandleravtale.
I en slik avtale vil leverandøren beskrive hvordan de vil ta vare på dataene de får låne av dere. De vil også si noe om hvordan de forplikter seg til å hjelpe dere hvis noe skulle gå galt.
De fleste har standardavtaler som du kan hente fra leverandørens nettsider.
Hvis du ser på de personopplysningene dere bruker og lagrer, hva kan gå galt? Hvor ille kan det bli og hva har dere gjort for å unngå at dette skulle skje? Dette er spørsmål du må ta stilling til i en risikovurdering.
I risikovurderingen listes det opp alle risikoene for selskapet. Beskriv de tiltakene dere har planlagt om dette skulle skje. Det er selvsagt ikke mulig å forutse alle hendelser, men eksempler på slike vurderinger kan være:
| Risikoområde | Hva kan skje | Tiltak |
| Pendling | En PC blir gjenglemt eller stjålet | Vi kan fjernstyre PC’en fra annen maskin og slette innholdet |
| Printer i åpent landskap | Gjenglemte utskrifter blir liggende på printeren | ID-brikker på printer |
| Alle har tilgang til CRM | En PC blir hacket | Dele opp tilgang til CRM |
Når protokollen er på plass, dere har hentet inn databehandleravtalene og tenkt gjennom risikoene, er endelig personvernerklæringen klar! Det er her dere forklarer hvorfor dere samler inn personopplysninger, hvilke rettigheter kundene har og hvilke forpliktelser dere har. Denne erklæringen skal være enkel for kundene deres å lese og forstå.
Vi ser ofte at man bare «låner» en personvernerklæring fra noen andre. Ikke gjør dette, det blir nesten alltid feil! Ta dere bryet med å skrive deres egen erklæring. Fortell hva dere har gjort og hvordan dere tar vare på opplysningene til kundene. Det kan være ganske forskjellig fra hvordan andre jobber.
Del den ferdige erklæringen på nettsidene deres, og vær stolt av den!
Vi vet at arbeidet med GDPR er en hodepine for mange bedrifter. Et flertall av lederne velger å se en annen vei og håper i det lengste at de unngår bøter. Andre kjøper dyre og ressurskrevende løsninger for å få på plass det man trenger for å være såkalt GDPR-kompatibel.
Vi har laget en løsning der små og mellomstore bedrifter kan få kontroll på GDPR og personvernet i bedriften, uten bruk av kostbare konsulenter. Og best av alt – det tar bare en time!
Adminkit GDPR hjelper deg med å bygge opp protokollen og risikovurderingen, samle databehandleravtalene og skrive personvernerklæringen.