Hvor mange ganger har du gitt fra deg navn, telefonnummer og epost det siste året? Mens våre handlingsmønstre på nett har vært i konstant bevegelse har norsk lov rundt personvern stått relativt stille i flere år. I tidlig 2018 vil EUs forordning for personvern bli norsk lov og vil føre til mye hodebry for mange bedrifter. Er du klar for GDPR?
Hva er GDPR?
GDPR er en engelsk forkortelse for General Data Protection Regulation, på norsk oversatt til Personvernforordningen. Forordningen har til mål å skape et felles regelverk for personvern.
Hva regnes som en personopplysning?
En personopplysning en opplysning eller detalj som kan identifisere deg som enkeltperson. Eksempler på slike opplysninger er: navn, telefonnummer, e-postaresse, adresse, bilnummer, fingeravtrykk, IP-adresse, bilder og fødsels- og personnummer.
Hovedregelen er at all informasjon som gjør at noen kan finne frem til spesifikt deg er en personopplysning. Registrerte atferdsmønstre er også en form for personopplysning.
Hvordan dette påvirker deg
En av hovedpunktene med GDPR er at alle registrerte personopplysninger, digitalt og fysisk, skal lagres på en trygg og oversiktlig måte. Et annet viktig punkt er at alle har rett til å vite når en personopplysning blir fanget opp og lagret. Samtidig skal det være et klart definert formål med innsamlingen. Det betyr blant annet at du skal bli gjort oppmerksom på at bedriften kan sende reklame til deg når du melder deg på et nyhetsbrev.
For alle
Alle privatpersoner har rett på innsyn og og sletting av personopplysninger. Har du oversikt over hvor all informasjon lagres? Du må også kunne informere berørte dersom personopplysninger kommer på avveie.
For de fleste
De aller fleste bedrifter lagrer informasjon om kundene sine. Navn, nummer, epost og adresse er gjengangerne, og her er det åpenbart enkelt å koble informasjonen opp mot enkeltindivider. Denne informasjonen er også gull verdt for markedsføring, men husk at du ikke har lov til å bruke disse opplysningene uten å bedt om samtykke. Her er det viktig med gode rutiner.
For mange
Mange vil bli berørt av reglene rundt informasjonskapsler og cookies. Dette er helt enkle opplysninger om din atferd på en nettside, og det skal i teorien være umulig å spore enkeltpersoner basert på denne informasjonen. Det er likevel lovpålagt å gjøre besøkende oppmerksom på at din aktivitet blir registrert. Bruker du Google Analytics, remarketing, eller noe som helst som baserer seg på informasjon om besøkende? Da benytter du deg av informasjonskapsler og cookies – noe som krever merking/informasjon på nettsiden.
For noen
Noen bedrifter trenger og registrerer mer informasjon enn andre. Nettbutikker samler inn mye informasjon, til tider også betalingsinformasjon. Her er det viktig med trygg lagring. Det skilles også mellom personopplysninger og sensitive personopplysninger i loven. Dette er eksempelvis opplysninger om rase, etnisitet, politikk og religion.
Sjekkliste for GDPR for din bedrift
- Hvilken informasjon trenger du for å levere dine produkter?
- Spør du om mer enn hva som trengs for å levere?
- Hvor lagres denne informasjonen, og kan det forekomme kopier?
- Har du et aktivt samtykke som gjør det mulig å benytte denne informasjonen til noe mer enn å levere produktet?
- Informerer du i tilstrekkelig grad? Nyhetsbrev skal ikke føre til e-postreklame og remarketing, og det skal være helt forståelig for alle som samtykker hvordan infromasjonen brukes.
- Benytter du deg av en tredjepart? Vurder hvilke aktører du benytter deg av. Selv om det er tredjeparten som gjør feil så er det dine kunder det går utover.
Hvordan gjøre deg klar til den nye personvernsloven?
Det er lett å la seg skremme av alle de nye reglene, men her gjelder det å holde hodet kaldt. Begynn med en intern analyse av hvilken informasjon som er lagret og hvor den er lagret. Er det vanskelig å finne frem til informasjonen, og er det usikkert om den ligger flere steder? Da må du endre rutiner og finne nye løsninger. Arbeidsavtaler og liknende er spesielt viktig å ha kontroll på.
Du bør også skaffe deg oversikt over alle programmer og liknende som fanger opp informasjon. Hvilke data lagres? Overføres data videre til andre progammer? Skaff deg en god oversikt og rutiner for både lagring og sletting. Du må også skrive en lettlest informasjonstekst om innhenting av personopplysninger på egen nettside.
Begynn i dag
Sliter du med GDRP i din bedrift? Vi kan gjerne hjelpe deg med oppsett og implementering av nye personvernererklæringer.
