Slik får du endelig kontroll på GDPR!  

Du eier ikke kundenes personopplysninger, du bare låner dem! Når dere ikke lenger har bruk for opplysningene, skal de slettes. Personopplysningsloven og arbeidet med personvern er egentlig bare normal folkeskikk, men det er noen steg du må gjennom. Her beskriver vi de 4 viktigste stegene. 

Hva er en personopplysning? 

En personopplysning er informasjon som gjør at du kan kjenne igjen en person. Det kan være navn, bilde, adresse eller fødselsnummer, eller en kombinasjon av flere opplysninger som til sammen kan gjøre at en person blir gjenkjent. Tenk deg for eksempel at Google-bilen tar et bilde av faren din som maler huset når bilen kjører forbi. Selv om Google sladder ansiktet hans, vil de som kjenner ham fortsatt vite hvem som er avbildet på denne adressen.  

4 steg til trygg behandling av personopplysningene 

1. Beskriv hvordan selskapet jobber med personvern 

Dersom Datatilsynet kommer på besøk, er det protokollen de vil spørre etter. Her samler du det meste av personopplysninger og dokumenterer ting som:  

  • Hva du bruker personopplysningene til 
  • Hvor lenge du skal bruke disse
  • Hvem i bedriften som har tilgang til denne informasjonen 
  • Hvordan dataene er sikret  
  • Hvor lenge dere vil ta vare på disse dataene

Det er ofte slik at hver avdeling samler ulik informasjon og har sin egen måte å bruke dataene på. Gjennom arbeidet med protokollen får dere en helhetlig oversikt for hele bedriften.  

 

Trenger du hjelp til å sette opp protokollen for din bedrift? Les mer om GDPR Kit 

2. Hent alltid inn databehandleravtaler  

Når dere sender andres personopplysninger til en tredjepart, er dere lovpålagt å sikre at disse opplysningene ikke blir misbrukt. Så hvis oppdraget går ut på å bruke personopplysninger skal du be om en databehandleravtale fra underleverandøren din. 

Det kan for eksempel være regnskapskontoret som kjører lønn for deg. De bruker opplysninger som navn, adresse og kontonummer for å utbetale lønn. Da må det på plass en databehandleravtale. 

I en slik avtale vil leverandøren beskrive hvordan de vil ta vare på dataene de får låne av dere. De vil også si noe om hvordan de forplikter seg til å hjelpe dere hvis noe skulle gå galt.  

De fleste har standardavtaler som du kan hente fra leverandørens nettsider. 

Databehandleravtaler i GDPR KIt

Trenger du et trygt sted å samle og lagre databehandleravtalene deres? Test ut Adminkit GDPR

3. Ta stilling til hva som kan gå galt  

Hvis du ser på de personopplysningene dere bruker og lagrer, hva kan gå galt? Hvor ille kan det bli og hva har dere gjort for å unngå at dette skulle skje? Dette er spørsmål du må ta stilling til i en risikovurdering.  

I risikovurderingen listes det opp alle risikoene for selskapet. Beskriv de tiltakene dere har planlagt om dette skulle skje. Det er selvsagt ikke mulig å forutse alle hendelser, men eksempler på slike vurderinger kan være: 

Risikoområde  Hva kan skje  Tiltak 
Pendling  En PC blir gjenglemt eller stjålet  Vi kan fjernstyre PC’en fra annen maskin og slette innholdet 
Printer i åpent landskap  Gjenglemte utskrifter blir liggende på printeren  ID-brikker på printer 
Alle har tilgang til CRM  En PC blir hacket  Dele opp tilgang til CRM 

Har dere behov for et sted å samle risikovurderingene? Ta en kikk på Adminkit GDPR

4. Gi kundene god informasjon om hvordan dere tar vare på dataene deres 

Når protokollen er på plass, dere har hentet inn databehandleravtalene og tenkt gjennom risikoene, er endelig personvernerklæringen klar! Det er her dere forklarer hvorfor dere samler inn personopplysninger, hvilke rettigheter kundene har og hvilke forpliktelser dere har. Denne erklæringen skal være enkel for kundene deres å lese og forstå.  

Vi ser ofte at man bare «låner» en personvernerklæring fra noen andre. Ikke gjør dette, det blir nesten alltid feil! Ta dere bryet med å skrive deres egen erklæring. Fortell hva dere har gjort og hvordan dere tar vare på opplysningene til kundene. Det kan være ganske forskjellig fra hvordan andre jobber.  

Del den ferdige erklæringen på nettsidene deres, og vær stolt av den! 

 

personvernerklæring

Få autogenerert personvernerklæringen deres med hjelp av Adminkit GDPR

Slik får du kontroll på GDPR på 1 time 

Vi vet at arbeidet med GDPR er en hodepine for mange bedrifter. Et flertall av lederne velger å se en annen vei og håper i det lengste at de unngår bøter. Andre kjøper dyre og ressurskrevende løsninger for å få på plass det man trenger for å være såkalt GDPR-kompatibel. 

Vi har laget en løsning der små og mellomstore bedrifter kan få kontroll på GDPR og personvernet i bedriften, uten bruk av kostbare konsulenter. Og best av alt – det tar bare en time!

Adminkit GDPR hjelper deg med å bygge opp protokollen og risikovurderingen, samle databehandleravtalene og skrive personvernerklæringen.