Kan du huske, hvor du var den 25. maj 2018? Ingen? Det var dagen, hvor den generelle databeskyttelsesforordning (GDPR) trådte i kraft. Det var en almindelig arbejdsdag, og himlen faldt ikke, som mange havde forudsagt. Faktisk fortsatte arbejdet som normalt, og alle virksomheder krydsede ind i post-GDPR-æraen. Nogle var forberedte, andre ikke, og mange var, og er stadig, meget uvidende om, hvad GDPR er, eller hvordan de skal overholde.
Tænk over, om du vil risikere manglende overholdelse af GDPR og/eller udvikle en plan for tilpasning. Overvej følgende for at hjælpe dig med at beslutte din tilgang fremadrettet:
At blive GDPR-kompatibel behøver ikke at være en skræmmende opgave. Men hvis du er en lille virksomhed, kan det tage en god del tid. Mit råd er at lave en plan for at blive compliant, og arbejde på det over tid. Her er, hvad du bør inkludere:
Du skal forstå, at personlige data under GDPR betyder navn, adresse, e-mailadresse, bank- eller kreditkortoplysninger, fotos og endda IP-adresser. Hvis du indsamler oplysninger om besøgende på dit websted, der peger direkte tilbage til en bestemt bruger (f.eks. helbredsoplysninger, religiøse synspunkter, fagforeningsmedlemskab eller endda civilstand til forsikringsrelaterede formål), betragtes det som følsomme data. Følsomme data kræver en anden og mere væsentlig styring end blot personlige data.
GDPR forhindrer dig ikke i at indsamle eller opbevare persondata. Det kræver, at du har en legitim grund til at gøre det, eller at du indhenter samtykke fra brugeren, før du indsamler det. Legitime grunde kan være at opretholde et kontraktforhold eller skabe mulighed for at servicere eller markedsføre relaterede produkter til kunden i fremtiden. Hvis du ikke kan lave det link, så prøv at indhente samtykke fra brugeren til meget specifikke formål og dokumenter dette samtykke.
Selv som en lille virksomhed skal du tænke på dine kundeemner og kundedata. Hvordan vil du beskytte det? Vil du være i stand til at underrette enkeltpersoner og myndigheder inden for 72 timer, hvis deres data bliver brudt?
GDPR siger specifikt, at brugeren ejer de data, der handler om dem. Tænk på, om du kan give brugerne adgang til deres oplysninger inden for en tidsramme på en måned? Brugere har ret til at få adgang til deres data, rette, hvis de er forkerte, og få dig til at slette dem, hvis de ikke længere ønsker, at du skal opbevare dem. I nogle tilfælde kan du være berettiget til forlængelse af en-måneders ur. En forlængelse er kun op til 90 dage og skal falde ind under en særlig og begrundet omstændighed.
En DPO er en databeskyttelsesansvarlig. De fleste små virksomheder har ikke brug for en, men GDPR kræver, at du har en, hvis dine kerneaktiviteter kræver regelmæssig og systematisk overvågning af enkeltpersoner i stor skala; dine kerneaktiviteter består i at behandle særlige data eller oplysninger om straffedomme. Hvis du er en meget lille virksomhed og ikke behandler store mængder data, behøver du ikke have en DPO.
Se tilbage på din privatlivspolitik og vilkår for brug for dine digitale produkter og tjenester (inklusive dit websted). Forhåbentlig har du allerede disse på plads; hvis ikke, er det tid til at få dem i orden. Med GDPR vil du gerne ændre meddelelserne for at forklare i almindeligt sprog, hvordan brugeroplysninger indsamles, administreres og bruges.
For at blive GDPR-kompatibel skal du sikre dig, at dine partnere også er GDPR-kompatible. For små virksomheder kan dette være en tidsinvestering. Hvis du bruger software eller tjenester baseret i skyen, er der stor sandsynlighed for, at de allerede har taget stilling til GDPR og måske endda har ændret din aftale, så den afspejler den leverede organisations overholdelse. Kontakt først for at tjekke dette, og hvis dine partnere ikke er det, så overvej at skrive en ny aftale, herunder en anmodning om overholdelse af GDPR.
For en lille virksomhed, der handler med dem i EU, kommer det største problem op omkring overførsel af data til USA. Desværre mener EU ikke, at USA har tilstrækkelig sikkerhedskontrol til at beskytte en individuel brugers onlinerettigheder. Den gode nyhed er, at hvis du er en lille virksomhed, bruger du sandsynligvis tjenester i skyen, og mange af dem er blevet GDPR-kompatible. For dem, der ikke har, kan det give mening at flytte din hosting eller storage til en EU-baseret cloud-løsning. Ellers bliver du nødt til at tage skridt til at sikre, at EU-brugerdata krypteres, overføres og opbevares til en højere grad af sikkerhed, og at du har valideret dette niveau af overholdelse.
GDPR kan helt sikkert virke skræmmende og skræmmende for en lille virksomhed (inkluderet mig!). Med de nye databeskyttelsesregler på plads, kan din virksomhed risikere bøder på op til 2 % af din årlige omsætning eller €10 millioner (ca. $11,6 millioner), alt efter hvad der er højest. For personlige databrud stiger det til 4 % af omsætningen eller €20 millioner ($23 millioner.) Men der er også en konkurrencefordel ved at tilpasse sig GDPR!
Selvom det er nemt for os alle at se GDPR som en byrde, er det noget, der kan bruges til din fordel og tilføje værdi til din virksomhed. Når du giver kundeemner/kunder en GDPR-kompatibel virksomhed, opbygger du tillid. Og i virkeligheden er der ingen, der kan lide at få deres data tabt, stjålet, beskadiget, misbrugt eller delt uden ordentligt samtykke. At vide, at du er GDPR-kompatibel, betyder, at du respekterer og beskytter dine kunders data og demonstrerer en højere værdi for dine kunder. Dette vil blive værdsat og betale sig nu, såvel som hen ad vejen.