Det er mye snakk om GDPR for tiden, og vi vet at det er mange små og mellomstore bedrifter som ikke er klare til tidsfristen. Er dere?
Hva er GDPR?
Den nye europeiske lovgivningen The General Data Protection Regulation (GDPR) trer i kraft 25. mai 2018. Den gjelder for alle selskaper som selger til og/eller lagrer personopplysninger om europeiske statsborgere.
Hvordan påvirker det din bedrift?
GDPR gir forbrukeren økt makt over sine personopplysninger, og arbeidet med å overholde forordningen legges på selskaper og organisasjoner.
Det er strenge straffer for bedrifter som ikke overholder GDPR. Bøtene er på opptil 4 % av årlig global omsetning, opp til 20 millioner euro.
Mange tror GDPR bare handler om tekniske løsninger, men dette er langt fra tilfelle. Det får omfattende konsekvenser for hele virksomheten, spesielt håndteringen av digitale salg- og markedsføringsaktiviteter.
Hva trenger dere å gjøre før 25. mai?/span>
Før 25. mai må din bedrift kunne dokumentere at dere har gjennomført en GDPR-prosess, og at dere har kartlagt personopplysninger i deres bedrift. Utover dette skal det kunne dokumenteres interne prosesser som lar personvernombudet i bedriften utlevere, endre eller slette relevante personopplysninger i deres systemer ved forespørsel. Hvis dette ikke foreligger kan dere risikere å bli bøtelagt.
Er dette klart i din bedrift?
- Kartlegging av alle personopplysninger som finnes på tvers av bedriftens systemer.
- Interne prosesser for sletting, endring eller flytting av personopplysninger i alle systemer innen 30 dager ved eksterne forespørsler.
- Nødvendig sikring av personopplysninger mot hackerangrep i systemene deres.
- Muligheten for juridisk samtykke fra enkeltpersoner til behandling av personopplysninger i alle internett- skjemaer og systemer.
- Kommunikasjons-plan og interne prosesser ved et datainnbrudd.
- Kartlegging av risiko ved tolkning av samtlige GDPR-krav, og identifikasjon av uakseptable risikoer til deres forretning og IT.
Vår anbefalte GDPR-prosess
- Kartlegge krav – skaffe innsikt over nye krav virksomheten må innrette seg etter
- Kartlegge personopplysninger – innsikt og oversikt over virksomhetens data behandlingsprosesser
- Oppfylling av krav og risiko – avdekke om GDPR-krav er oppfylt og hvilke risikoelementer bedriften kan være utsatt for
- Utforming av tiltak – identifisere og gjennomføre nødvendige tiltak for å oppfylle krav og minimere bedriftens risiko
- Utforming av internkontrolldokument – Personvernombudets prosesser for å overholde GDPR om virksomheten utsettes for krav, og kontrollrutiner for å sikre fremtidig GDPR dekning
Usikker på om dere trenger å gjøre noe som helst?
Dere må helt sikkert gjøre noe, men det trenger ikke være så mye. Det kan holde med en kartlegging, gjennomføring av en intern prosess og få på plass et personvernombud.
Det viktigste er at dere har et forhold til GDPR internt og vet hvilken risiko bedriften utsettes for ved å eventuelt ignorere gjeldene krav.
Vi har allerede hjulpet flere bedrifter med GDPR og har kjørt egen prosess selv, så si ifra om dere vil ha GDPR-hjelp! Vi begynner med en uforpliktende kartlegging for å se hvordan en prosess kan se ut!