Persondata-forordningen (GDPR) for små virksomheder
Persondataforordningen har allerede sendt mange – især helt små virksomheder – ud i en større eller mindre grad af panik.
Men tag det nu helt roligt.
Det lyder alt sammen meget mere komplekst og kompliceret, end det behøver at være. – Især for dig med en lille virksomhed, der måske hovedsageligt består af dig selv. Dertil kommer også, at Datatilsynet selv har været ude og sige, at de jo altså ikke står klar med bødeblokken for at slå ned på alt og alle, der ikke til punkt og prikke overholder alt, der står skrevet i persondataforordningen.
MEN!
Det er klart, at persondataforordningen skal tages alvorligt. Du skal vise, at du gør, hvad du kan for at efterleve den – og ikke mindst, at du forsøger at håndtere og opbevare personoplysninger så forsvarligt, som muligt.
På den her side vil jeg gerne forsøge at gøre op med det komplekse og i stedet gøre persondataforordningen mere håndgribelig og nemmere at gå til. Med på sidelinjen har jeg advokat Ann Christina Rindom Sørensen fra RIND Advokatfirma, der har startet PersondataOnline.dk, som netop rådgiver virksomheder om at blive klar til persondataforordningen.
Hvad er persondataforordningen?
På engelsk hedder persondataforordningen ”General Data Protection Regulation” og forkortes derfor ofte til GDPR. I virkeligheden er der ikke voldsomt meget nyt i forordningen. Mange af de regler, som vi lige nu stresser allermest over, har faktisk være et lovkrav længe herhjemme. De er bare ikke rigtigt blevet håndhævede.
Det vil de fremover blive i langt højere grad, men husk nu lige på, at det ikke betyder, at du får en kæmpe bøde dagen efter, forordningen træder i kraft, hvis ikke du har fået 100% styr på alt. At implementere en forordning som denne tager tid – også for myndighederne. Men du skal selvfølgelig gøre, hvad du kan, for at få styr på dine data.
Hvad handler persondataforordningen om?
Helt overordnet handler persondataforordningen om, at du skal have respekt for de oplysninger om andre mennesker, som du naturligt vil have i din virksomhed.
Disse oplysninger er f.eks personnummer, mailadresse, postadresse, billeder, ægteskabelig status, noter om mental tilstand, sygejournaler og meget andet. Altså grundlæggende alle de oplysninger, der kan føre tilbage til en bestemt person.
Der kan selvfølgelig være stor forskel på graden af følsomhed i personoplysningerne, og derfor arbejder man med disse 4 grader af følsomhed:
4 typer af persondata:
- Almindelige personoplysninger: Navn, mailadresse, bolig, økonomi, stilling, sygedage, eksamen mm
- CPR nummer
- Lovovertrædelser og straf
- Særligt følsomme personoplysninger: Race, religion, seksuelle præferencer, helbredsoplysninger mm
Jo mere følsomme oplysninger, du har på dine kunder/klienter, jo større krav til sikkerheden.
Persondataforordningen er sat i søen for at ændre på vores adfærd, således at vi bliver mere bevidste om at håndtere og opbevare personfølsomme oplysninger forsvarligt. Dertil skal den skabe større gennemsigtighed, således at det er muligt for den enkelte at få oplyst, hvilke oplysninger du har på vedkommende, hvordan du opbevarer dem, samt at få dem slettet efter ønske.
Hvordan skal du forberede dig til persondataforordningen?
Det er klart, at jo flere oplysninger du har om dine klienter – og jo mere personlige, følsomme og sårbare disse oplysninger kan være, hvis de kommer ud – jo bedre skal du forberede dig på persondataforordningen.
Men overordnet skal du have fokus på disse 3 ting:
- At du sikrer dig, at de oplysninger du har på andre mennesker, opbevares så sikret som muligt
- At du dokumenterer og viser, at du har forstået vigtigheden af at behandle personoplysninger forsvarligt.
- At de pågældende personer kan få oplyst hvilke oplysninger, du har om dem, hvordan de bliver opbevaret samt kan få dem slettet efter ønske.
Persondataforordningen for små virksomheder
Hvis der kun er dig selv i virksomheden og hvis de oplysninger, du har på dine kunder primært er navn, mailadresse og telefonnummer, så behøver du på ingen måde at panikke.
Så skal du først og fremmest have lagt en privatlivspolitik ind på din hjemmeside, hvor du bekræfter, at du er bekendt med persondataforordningen og at du bestræber dig på at opbevare de oplysninger, du har, på forsvarlig vis. Du kan finde en gratis skabelon til en privatlivspoltik på hjemmesiden minecookies.org
Derudover kan det sagtens tænkes, at du samarbejder med nogle virksomheder, som du deler nogle af personoplysningerne med. Det kan f.eks være, hvis du har ansatte og udbetaler løn via Danløn. Så behandler Danløn nogle af dine data for dig, og derfor skal du have en såkaldt Databehandleraftale med dem.
Det samme gælder, hvis du sender nyhedsbreve via f.eks Mailchimp eller hvis der bliver indsamlet cookies på din hjemmeside, hvilket der gør, hvis du benytter dig af Google Analytics el.lign.
Mange af de store virksomheder sender i øjeblikket reviderede kontrakter ud til alle, så aftalerne med dem bliver opdaterede i forhold til persondataforordningen, men er du i tvivl om noget, så sørg for at tage kontakt til dem, du selv arbejder sammen med og spørg direkte.
Persondataforordningen og coaching via Skype
Èt af de elementer i persondataforordningen, som har fået rigtig mange coaches, behandlere og rådgivere til at gå i panik er udsigten til, at man ikke længe kan lave sessioner via Skype.
Baggrunden for dette er, at Skype ikke er en sikker forbindelse, og derfor vil de private oplysninger, som der vil komme frem under en session på Skype, i princippet være nemme for en hacker el.lign at gå ind og få fat i. Derfor skal denne type sessioner foregå i et sikkert rum på nettet.
Der findes dog en række lukkede systemer, som du kan bruge i stedet for – se nogle af dem længere nede i artiklen.
Spørgsmål og svar og persondataforordningen:
Nedenfor har jeg prøve at samle svar på nogle af de spørgsmål, jeg har fået vedr. persondataforordningen. Dem prøver jeg at svare på så godt som muligt – og for at jeg ikke får skrevet noget forkert, har jeg allieret mig med advokat Ann Christina Rindom Sørensen fra ProteQ.dk, som selvfølgelig også har læst hele denne artikel igennem.
1. Hvordan skal personlige oplysninger opbevares efter persondataforordningen?
Hvis der er tale om fysiske journaler, skal de opbevares aflåst og brandsikkert, f.eks i et brandsikkert arkivskab, og kun de medarbejdere, der ifm. deres stilling har behov for at have adgang til disse journaler, skal have en nøgle.
Det er i princippet det samme, hvis journalerne opbevares digitalt. Det sted, de placeres, skal være sikkert og kun personer, der i kraft af deres stilling har behov for at få adgang til oplysningerne, skal have kodeord/adgang til stedet.
Hvis du er i tvivl om niveauet af din/jeres datasikkerhed, så kan du muligvis få et fingerpeg ved at tage testen her. Den er dog primært rettet mod lidt større virksomheder, men igen: Den kan give et meget godt fingerpeg samt nogle anbefalinger til, hvor du bør sætte ind.
2. Hvor kan jeg få en skabelon til privatlivspolitikken på min hjemmeside?
Den kan du hente gratis hos minecookies.org. Husk dog, at den skal tilpasses, så den passer til din virksomhed.
3. Må jeg opbevare mine klienters telefonnumre, inkl deres navn på min almindelige smartphone?
Nej, det anbefales at du har en særskilt telefon til brug i din virksomhed. Grunden er, at vi ofte har en række apps og andre programmer på vores personlige telefon, som giver adgang til de oplysninger, der ligger på telefonen og herunder – i princippet – til oplysninger om dine klienter.
4. Må jeg bruge Skype til at lave sessions?
I udgangspunktet er Skype ikke en sikker forbindelse, og derfor må du ikke bruge den til at lave sessioner eller behandlinger. Det samme gælder i øvrigt Facebook og FaceTime.
I stedet kan du overveje f.eks. at bruge Go2Meeting/Go2Webinar, som er i gang med at implementere en sikkerhed, der lever op til persondataforordningen. Det samme gælder Microsoft, der ligeledes har en meget udvidet sikkerhedspolitik, der bl.a. involverer Office 365 og Skype for Business.
5. Hvordan skal jeg opbevare min mailkorrespondance med mine klienter?
Det kommer en smule an på graden af personfølsomheden i de oplysninger, der findes i dine mails. I udgangspunktet skal du jo helst benytte en sikker mail, når du skriver med klienter og efterfølgende opbevarer mailkorrespondancen. Især hvis din korrespondance handler om personfølsomme ting.
Men er det ikke den slags oplysninger, du deler med dine kunder, ville jeg ikke investere i en sikker mail som det første. Dér ville jeg lige se tiden an.
Hvis du arbejder med de særligt følsomme oplysninger, ville jeg dog skynde mig at få en sikker løsning. Se eksempel og priser på en sikker mail løsning her. Det er også en god idé ikke at bruge sit mailsystem som kundekartotek og i stedet gemme sin korrespondance et sikkert sted. Der findes forskellige muligheder, men tjek f.eks Microsofts Sharepoint ud her.
6. Hvad betyder persondataforordningen for nyhedsbreve?
Den betyder en del for nyhedsbreve. Få overblikket over de ting, du skal være opmærksom på ift persondataforordningen og nyhedsbreve her.
7. Må jeg bruge f.eks Dropbox til opbevaring af journaler og andre dokumenter?
Du må gerne opbevare dine dokumenter og oplysninger digitalt i skyen, men det skal være på en tjeneste, der er sikker. Du kan læse mere om nogle af mulighederne her.
Mange bruger allerede Dropbox. De møder endnu ikke helt reglerne fra GDPR, men forventer at være på plads inden 25. maj. Se evt. mere her
9. Har jeg personoplysninger på min hjemmeside?
Det kan ikke undgås, at der vil blive samlet en eller anden form for oplysninger ind om de mennesker, der besøger din hjemmeside. Derfor skal du have en databehandleraftale med dit hostingfirma.
Hvis du klikker her, kan du f.eks se Surftowns beskrivelse af proceduren, men kontakt dit eget hostingfirma, hvis du ikke allerede har hørt fra dem, og spørg ind til både aftale og sikkerheden.
10. Hvorfor sker det, at jeg får forskellige svar på, hvordan jeg skal forberede mig på persondataforordningen?
Det gør det, fordi forordningen først bliver implementeret den 25. maj. Herefter vil den så blive viklet sammen med dansk lovgivning, ligesom der kan blive indskrevet forskellige forbehold eller skærpede regler.
Så selvom nogle ting ligger fast, så er der fortsat også meget tolkning af de signaler og regelsamlinger, der er sendt ud. Derfor kan der være ting, som der ikke enslydende svar på.
Men så længe, du sikrer dig så godt, som du kan, og dokumenterer din indsats, så er du altså på rimelig sikker grund. – Og vil du være endnu mere sikker, så hook op med f.eks PersondataOnline eller en tilsvarende dygtig virksomhed og få dem til at rådgive dig om de specifikke forhold for netop din virksomhed.
God arbejdslyst,
Malene
Bliv ENDNU skarpere, når du skriver tekster!
Hent e-bogen: “11 heftige psykologiske triggere – der virker! her.
Du tilmelder dig samtidig mit nyhedsbrev, hvor du løbende får tips, tricks og ny viden om at skabe interesse og salg på nettet.
OM MALENE FICH WEISCHER
Jeg har arbejdet med online tekster, websites og online markedsføring siden omkring 2000.
Derudover har jeg leveret indhold til bl.a. Berlingske, Femina, BT, TV2.dk, været redaktør for flere af landets største magasiner, samt Digital chef hos Aller Medier.
I dag har jeg Netinspire.dk – Online markedsføring, der er til at forstå! Jeg er underviser på Holbæk Kommunes iværksætterforløb, hjælper på Maj Wismanns Online Markedsførings Mentorforløb, samt er rådgiver i Holbæk Erhvervsforums rådgivningscafé
