GDPR – Sådan overholder du reglerne trin for trin
Vigtigheden af, at virksomheder overholder GDPR, kan ikke overvurderes. Undgå bøder og udnyt de muligheder, som GDPR vil give PR-branchen, ved at holde dig opdateret. I dette blogindlæg gennemgår vi, hvad du har brug for at vide om GDPR.
Den komplette tjekliste til overholdelse af GDPR
Selv om du er en lille virksomhed, vil du ikke være undtaget fra reglerne. Du må ikke begå den fejl at tro, at GDPR er irrelevant; hvis du ikke overholder den, kan det resultere i en betydelig økonomisk byrde for din virksomhed.
Derudover vil strømlining og beskyttelse af data gavne de mennesker, du arbejder med, og være afgørende for de relationer, du opbygger og udvikler med journalister. Ved at være transparent omkring, hvilke data du har om dem, og ved at vise, at du beskytter disse data, vil det opbygge tillid og styrke dine relationer.
Så hvor starter du?
1. Opdater din privatlivspolitik
Sørg for, at din privatlivspolitik er opdateret, og at den indeholder specifikke oplysninger som eksempelvis:
- Perioden for opbevaring af data
- Den dataansvarliges identitet
- Formålet med databehandlingen
- Hvem der har adgang til disse data
- Politikker for dataoverførsel
- En oversigt over retten til at anmode om data
- Tilbagetrækning af samtykke
- Hvordan man indgiver en klage
Sørg for, at denne information er synlig og tilgængelig på din hjemmeside.
2. Kend din data
At overholde GDPR betyder, at du skal vide, hvilke data du har, hvor de ligger gemt, og hvem der har adgang til dem. De følgende trin er et godt udgangspunkt:
- Bestem varigheden for opbevaring af data
- Forstå formålet med at behandle dataene
- Identificer, hvem der skal have adgang til dataene
- Afklar dine politikker for dataoverførsler
- Gør dig bekendt med retten til at fremsætte anmodninger
- Lær processen for at indgive en klage
Hvis du vil vide mere om, hvordan du tager ejerskab for dine data, kan du læse vores guide omkring emnet.
3. Definer dit juridiske grundlag for behandling af data
Sørg for, at du har defineret dit juridiske grundlag for behandling af data, uanset om det er samtykke eller legitim interesse. Sørg derudover også for, at du har den dokumentation, du skal bruge for at bevise, at du overholder reglerne. Hvis du vælger den legitime interesse, skal du sikre dig, at du udfører en Legitimate Interests Assessment (LIA) – dette er en risikovurdering baseret på din specifikke kontekst og specifikke omstændigheder – og at den er tilgængelig for alle i din organisation.
4. Gør hjemmesiden sikker
Det er helt afgørende at sikre, at din hjemmeside er sikker. Det betyder, at de data, der gemmes på hjemmesiden, skal beskyttes, og at selve hjemmesiden skal beskyttes mod angreb udefra. Ved at følge disse trin kan du hjælpe din hjemmeside med at få den beskyttelse, den har brug for:
- Ved at installere et SSL-certifikat krypterer du al informationsdeling mellem webstedet og serveren.
- Brug stærke adgangskoder og gem dem i en cloud-baseret platform som eksempelvis 1Password.
- Sørg for, at du ikke indsamler, bruger eller gemmer personlige data, der ikke er nødvendige for din hjemmeside, og sørg også for at fjerne data, når din hjemmeside ikke har brug for dem.
- Tag sikkerhedskopier af dine data.
5. Undersøg tredjepartswebsteder
Det er ikke nok at antage, at tredjeparter og leverandører overholder reglerne – du skal sikre dig, at de overholder de nye regler. Undersøg dine leverandører for GDPR-overholdelse.
6. Gør det muligt at give samtykke til e-mails
Bruger du e-mailmarketingtjenester til at udsende nyhedsbreve eller til anden kommunikation? Det er rigtig godt! Men du er nødt til at få tilladelse fra dine brugere til at sende disse e-mails. En god måde at gøre det på er at bruge et “opt-in”. Det betyder, at dine besøgende og brugere skal bekræfte deres e-mailadresse, når de har sendt den til din hjemmeside.
7. Tilføj et cookie-banner til din hjemmeside
Et cookie-banner på din hjemmeside sikrer, at du overholder reglerne om beskyttelse af personlige oplysninger og informerer dine besøgende om brugen af cookies, hvilket øger gennemsigtigheden og brugernes tillid, samtidig med at du undgår potentielle juridiske problemer.
8. Tjek alle formularer på din hjemmeside
Har din hjemmeside nogle formularer, der indsamler personlige data? Hvis ja, skal du indsætte en fortrolighedserklæring, der forklarer, hvorfor du beder om deres oplysninger. Tilføj en opt-in-mulighed; fx et afkrydsningsfelt, der ikke er markeret. Tilføj også et link til privatlivspolitikken, hvis dine besøgende søger efter yderligere oplysninger.
9. Forbered dit personale
Uddan personalet i best practice, når det gælder GDPR. Sørg for, at de kender din privatlivspolitik og ved, hvordan de skal dele og opbevare data. De skal også gøres opmærksomme på, hvordan GDPR vil påvirke deres daglige arbejde. Det er vigtigt, at de forstår, at relativt rutineprægede opgaver, som fx at sende mails ud, måske skal tjekkes en ekstra gang for at sikre overholdelse, før de sendes.
Inden for kommunikation vil GDPR have størst indflydelse på, hvordan marketingbranchen fungerer. Spam-mail og indhentning af samtykke, før man markedsfører sig over for folk, er to besværlige aspekter. Men selvfølgelig vil noget af dette også smitte af på PR.
Personlig data kan betyde alt fra et navn eller en e-mailadresse til mere følsomme data som fx pasoplysninger og bankoplysninger. Men det er, hvad du gør med disse data, der betyder mest. Hvilket juridisk grundlag har du for at bruge dem?
Som kommunikatør behandler du personlige data dagligt. Det kan være, når du henter journalisters oplysninger og e-mailadresser, eller når du sender personaliserede e-mails og pressemeddelelser. Kort sagt: Du manipulerer med data. I henhold til de nye regler skal du både behandle og opbevare data omhyggeligt.
Bekymrende nok, tager mange virksomheder ikke disse ændringer alvorligt. Ifølge TrustArc mener kun 27 % af virksomhederne, at GDPR-regler gælder dem, og 7 % undlader at bede om samtykke til at indsamle kundedata.
Hvis du vil vide mere om, hvad GDPR betyder for PR- og kommunikationsbranchen, kan du læse meget mere i “GDPR – Den ultimative guide for PR-folk”.
Opsummering
Overholdelse af GDPR-reglerne er obligatorisk for alle virksomheder – uanset størrelse. Hvis man ignorerer det, kan det få store økonomiske konsekvenser. Korrekt datahåndtering styrker relationer og opbygger tillid.
Først og fremmest er det afgørende at opdatere din privatlivspolitik. Den skal være synlig på din hjemmeside og beskrive aspekter som varighed af datalagring, den dataansvarliges identitet, hensigt med databehandling, tilgængelighed af data, politikker for dataoverførsel, ret til anmodning af data, metoder til tilbagetrækning af samtykke og klageprocessen.
For at overholde GDPR er det også nødvendigt at forstå, hvilken type data du har, hvor de befinder sig, og hvem der har adgang til dem.
Det er vigtigt at definere det juridiske grundlag for databehandling, hvad enten det er samtykke eller legitim interesse. Når man hælder til legitim interesse, er det afgørende at lave en Legitimate Interests Assessment (LIA), som er tilgængelig for alle i din organisation.
Hjemmesidesikkerhed er også afgørende, når vi taler GDPR. Dette omfatter beskyttelse af lagrede data og sikring af webstedet mod eksterne trusler. Implementeringsforanstaltninger omfatter at installere et SSL-certifikat, at bruge robuste adgangskoder, at sikre minimal dataindsamling og konsekvent sikkerhedskopiere data.
Regelmæssige undersøgelser af tredjepartswebsteder for overholdelse af GDPR er en anden nødvendig del. Det er ikke nok at antage, at de overholder reglerne. For dem, der bruger e-mailmarketing, er det afgørende at få brugernes samtykke gennem metoder som opt-in. På samme måde bør hjemmesider have cookie-bannere. Alle webformularer, der indsamler personlige data, skal indeholde en fortrolighedserklæring og en opt-in-mulighed. Personalet skal være tilstrækkeligt uddannet i virksomhedens GDPR-regler og være bekendt med dennes privatlivspolitik. Det er alarmerende, at mange virksomheder undervurderer GDPR’s rækkevidde. PORT.im rapporterede, at kun 27 % af virksomhederne mener, at GDPR vedrører dem, og at 7 % forsømmer at anmode om samtykke til dataindsamling.
Indførelsen af GDPR vil først og fremmest ændre marketingbranchen og påvirke spam-mails og samtykkebaseret marketingpraksis. Da PR- og kommunikationsfolk håndterer personlige data rutinemæssigt, kræver de nye regler omhyggelig databehandling og -opbevaring.