GDPR – slik overholder du reglene steg for steg
Å følge reglene for GDPR har blitt stadig viktigere for norske organisasjoner. Ved å holde seg ajour når det kommer til GDPR kan bedrifter ikke bare unngå bøter koblet til datahåndtering, men også omfavne mulighetene som GDPR gir PR- og kommunikasjonsbransjen. I dette blogginnlegget tar vi deg gjennom alt du trenger å vite for å sikre at dere følger reglene for GDPR.
Den ultimate GDPR-sjekklisten
Selv om virksomheten er liten, kommer dere ikke unna GDPR. Har en ikke kontroll på hva som gjelder, kan det nemlig resultere i store bøter og skjebnesvangre konsekvenser for organisasjonen.
Det er viktig å beskytte personlige data. Å være transparent angående dataen du forvalter, men samtidig også beskytte den, kommer til å hjelpe deg med å bygge tillit og styrke dine nåværende relasjoner.
Det er imidlertid bekymringsfullt at mange bedrifter ikke tar forandringene på alvor. Ifølge TrustArc er det bare 27 % av bedrifter som tror at GDPR gjelder dem, og 7 % unngår å be om samtykke for å samle personopplysninger og kundedata.
Men hvordan – og hvor – skal en begynne?
1. Oppdater personvernerklæringen deres
Det første steget handler om å sørge for at personvernerklæringen er relevant og oppdatert. Se derfor over følgende områder:
- Datalagringsperioden
- Identiteten til den behandlingsansvarlige
- Formålet med databehandlingen
- Hvem som har tilgang til dataen
- Retningslinjer for dataoverføring
- En oversikt over retten til å be om opplysninger
- Tilbaketrekking av samtykke
- Hvordan sende inn en klage
Sørg for at personvernerklæringen er godt synlig på nettsiden, slik at den er tilgjengelig for alle.
2. Bli kjent med dataen din
For å overholde GDPR-reglene må du bli kjent med dataen din, vurdere hvilken data selskapet sitter på, hvor den ligger lagret og hvem som har tilgang til den. Følgende steg kan være en god start:
- Bestem hvor lenge dataen skal lagres
- Forstå målet bak behandlingen av opplysningene
- Identifiser hvem som har tilgang til dataen
- Tydeliggjør retningslinjene for dataoverføringer
- Kartlegg retten til å be om opplysninger
- Hvordan ser prosessen ut for å sende inn en klage?
Vil du lære mer om hvordan du kan eie din data, kan du lese guiden vår om temaet.
3. Definer de rettslige grunnene for behandling av data
Sørg for at du har definert de rettslige grunnene for behandling av data, uavhengig av om det er samtykke eller berettiget interesse. Sørg også for at du har dokumentasjonen du trenger for å bevise at kravene oppfylles. Velger du veien for berettiget interesse, er det viktig at du gjennomfører en vurdering av berettiget interesse, på engelsk kalt «Legitimate Interests Assessment» (LIA). Dette er en risikovurdering basert på din spesifikke kontekst og omstendighetene dine – og den er tilgjengelig for alle innad i organisasjonen å henvise til.
4. Sikre nettsiden
Det er helt nødvendig å sørge for at nettsiden din er sikker. Det betyr at data som lagres på nettsiden må beskyttes, og selve nettsiden må beskyttes for eksterne angrep. Følger du disse stegene gir du nettsiden din beskyttelsen den trenger:
- Ved å installere et SSL-sertifikat krypterer du all informasjon som deles mellom nettsiden og servere.
- Bruk sterke passord og lagre dem på en skybasert plattform, som for eksempel 1Password
- Sørg for at du ikke samler, bruker eller lagrer personopplysninger som er unødvendige for nettsiden, og sørg for at du sletter data når nettsiden ikke lenger trenger den
- Sikkerhetskopier dataen din
5. Gransk tredjepartsnettsider
Det er ikke godt nok at tredjeparter og leverandører følger reglene – du er nødt til å sikre at de gjør det. Gransk derfor leverandørene dine for overholdelse av GDPR-reglene.
6. Legg til samtykke for e-post
Bruker du ulike tjenester for å sende ut nyhetsbrev i kommunikasjonen din? Flott! Du må imidlertid ikke glemme at du trenger tillatelse fra brukerne for å sende disse e-postene. En måte å gjøre det på, er via en såkalt dobbel opt-in, som oppmuntrer besøkerne og brukerne til å verifisere e-postadressene sine etter å ha sendt dem til nettsiden din.
7. Legg til et cookiebanner på nettsiden
Et cookiebanner på nettsiden din sikrer at du følger reglene for taushetsplikt og informerer besøkere på siden om bruken av cookies, eller kaker som det også kalles på norsk. Det øker gjennomsiktigheten og brukernes tillit, samtidig som du unngår potensielle rettslige problemer.
8. Kontroller alle skjemaer på nettsiden
Har nettsiden din skjema som henter personopplysninger? Da må du inkludere en melding for taushetsplikt som forklarer hvorfor du ber om opplysningene. Legg til et valg for opt-in, for eksempel en rute en kan krysse av i. Legg også til en link til personvernerklæringen i tilfelle besøkerne dine ønsker ytterligere informasjon.
9. Forbered de ansatte
Utdann de ansatte om beste praksis når det kommer til GDPR. Sørg for at de kjenner til personvernerklæringen deres, samt hvordan de burde dele og lagre data. De burde også informeres om hvordan GDPR påvirker deres daglige arbeid. Det er viktig at de forstår at relativt rutinebaserte oppgaver, som e-postutsendelser, kanskje må gjennomgå nøye granskning for å sikre overholdelse av GDPR før de sendes.
Når det kommer til kommunikasjon er en av de største påvirkningsfaktorene avhengig av hvordan markedsføringsindustrien fungerer. Søppelpost og å hente samtykke før markedsføring til folk, er to utfordrende aspekter. Selvfølgelig kommer dette også til å påvirke PR-arbeidet.
Personopplysninger kan inkludere alt fra et navn eller en e-postadresse til mer sensitive opplysninger som passinformasjon, bankopplysninger og så videre. Men det er hva du gjør med denne dataen som er det viktigste. Hva er den rettslige bakgrunnen for at du får bruke den?
Som kommunikatør håndterer du personopplysninger daglig. Det kan dreie seg om å hente opplysninger og e-postadresser til journalister, eller å sende personlige e-poster og masseutsendelser av pressemeldinger. Kort fortalt: Det du driver med er å manipulere data. Ifølge de nye reglene kommer du til å både bearbeide og lagre data med stor forsiktighet.
Vil du lære mer om GDPRs konsekvenser for PR- og kommunikasjonsbransjen, burde du lese «GDPR – den ultimate guiden».
Sammendrag
Overholdelse av GDPR-reglene er obligatorisk for alle selskap, uansett størrelse. Å ignorere dem kan få store økonomiske konsekvenser. Korrekt håndtering av data styrker relasjoner og bygger tillit.
Først og fremst er det viktig å oppdatere personvernerklæringen. Disse retningslinjene bør være synlige på nettsiden din og detaljert når det kommer til spørsmål vedrørende datalagringsperioder, identiteten til den behandlingsansvarlige, formålet med databehandlingen, datatilgang, retningslinjer for dataoverføring, retten til å be om opplysninger, metoder for å trekke tilbake samtykke og prosessen for å sende inn en klage. Å følge GDPR-reglene krever også en forståelse av hva slags data en besitter, plasseringen av den og hvem som har tilgang til den.
Å definere de rettslige grunnene for databehandling, uansett om den skjer gjennom samtykke eller «berettiget interesse» (LIA), er avgjørende. Når det kommer til berettiget interesse er det viktig å utføre en vurdering av dette, og den må være tilgjengelig for alle i organisasjonen.
Det er også viktig å vurdere nettsidens sikkerhet når en snakker om GDPR. Dette inkluderer beskyttelse av lagret data og å sørge for at nettsiden er beskyttet mot eksterne trusler. Tiltak som å installere SSL-sertifikat, bruke sterke passord, sikre minimal datainnsamling og kontinuerlig sikkerhetskopiering av data bidrar til dette.
Regelmessige granskninger av tredjepartsnettsider for å sikre at de også følger GDPR-reglene er en annen nødvendig del av arbeidet. Å anta at en tredjepart har kontroll på reglene holder ikke – det er ditt ansvar at de faktisk følger reglene. For de som benytter seg av e-postmarkedsføring er det viktig å sørge for at det finnes et brukersamtykke. Dette får en gjennom funksjoner som for eksempel dobbel opt-in. På samme måte burde nettsider ha cookie-banner. Alle skjemaer på nettsider som samler personopplysninger må inkludere en melding om taushetsplikt og et alternativ for opt-in. De ansatte burde få opplæring innen GDPR og være kjent med selskapets personvernerklæring.