Hopp til hovedinnhold
HMS Klar

· 7 min lesetid

GDPR for små bedrifter: hva kreves egentlig?

En konkret sjekkliste over hva en helt vanlig norsk småbedrift faktisk må ha på plass, uten å blåse opp kravene.

En person med briller jobber med en bærbar PC, kalkulator og papirer ved et vindu.

GDPR har et ufortjent rykte som noe bare store konsern må bry seg om. Sannheten er at reglene gjelder nesten alle norske virksomheter, men også at kravene til en liten bedrift er langt mer overkommelige enn mange tror. Denne artikkelen gir deg en konkret sjekkliste over hva en vanlig småbedrift faktisk må ha på plass, uten å blåse opp kravene.

Gjelder GDPR oss i det hele tatt?

Ja, med all sannsynlighet. Personvernforordningen er gjort til norsk lov gjennom personopplysningsloven §1, som sier rett ut at forordningen "gjelder som lov". Det finnes ikke noe unntak for små bedrifter. Behandler dere lønn og personalmapper for ansatte, navn og e-post til kunder, kontaktpersoner hos leverandører eller CV-er fra jobbsøkere, så behandler dere personopplysninger, og da gjelder reglene.

Det størrelsen påvirker er ikke OM reglene gjelder, men HVOR MYE dere må dokumentere. En liten bedrift med lav risiko slipper unna med vesentlig enklere rutiner enn et selskap som driver storstilt profilering eller behandler helsedata i stor skala. Poenget med denne sjekklisten er nettopp å vise hvor lista faktisk ligger for en vanlig SMB.

1. Behandlingsgrunnlag for hver behandling

Det første kravet er at all bruk av persondata må hvile på et gyldig grunnlag. GDPR art. 6 nr. 1 lister seks mulige grunnlag, og for en vanlig privat bedrift er det fire av dem du møter oftest:

  • Samtykke fra personen
  • Avtale, behandlingen er nødvendig for å oppfylle en avtale med personen
  • Rettslig forpliktelse, for eksempel bokføring og rapportering
  • Berettiget interesse, så lenge personens interesser ikke veier tyngre

Du trenger ikke et tjukt dokument. Du trenger å kunne peke på hvilket grunnlag som gjelder for hver type behandling. Lønnskjøring hviler typisk på avtale og rettslig forpliktelse. Bokføring av en faktura hviler på rettslig forpliktelse. Et nyhetsbrev hviler ofte på samtykke eller berettiget interesse.

En vanlig felle er å tro at samtykke løser alt. GDPR art. 7 krever at samtykke er frivillig, spesifikt, informert og like enkelt å trekke som å gi. I et arbeidsforhold er samtykke sjelden riktig grunnlag, fordi maktforholdet mellom arbeidsgiver og ansatt gjør at et "ja" sjelden er reelt frivillig. For ansattes data bruker dere derfor som hovedregel avtale, rettslig forpliktelse eller berettiget interesse i stedet.

2. Personvernerklæring som dekker informasjonsplikten

GDPR art. 13 og 14 krever at dere informerer folk om hva dere samler inn og hvorfor. I praksis løses dette med en personvernerklæring, ofte på nettsiden. Den bør fortelle hvem dere er, hvilke opplysninger dere behandler og til hvilke formål, behandlingsgrunnlaget, hvor lenge dere lagrer, hvem dere eventuelt deler med, hvilke rettigheter folk har, og retten til å klage til Datatilsynet. Dette er ofte det første Datatilsynet sjekker, så det er en billig og synlig ting å ha i orden.

3. Oversikt over behandlingene (protokoll)

Her kommer det punktet der mange tror de slipper unna fordi de er små. GDPR art. 30 krever en protokoll, altså en oversikt over behandlingsaktivitetene. Det finnes et unntak for virksomheter med færre enn 250 ansatte, men unntaket faller bort i tre tilfeller: når behandlingen ikke er leilighetsvis, når den kan medføre risiko, eller når den omfatter særlige kategorier av data.

I praksis behandler de fleste bedrifter ansattes lønn jevnlig (ikke leilighetsvis) og sykefravær, som er helseopplysninger og dermed særlige kategorier etter art. 9. Det betyr at de fleste norske bedrifter likevel skal ha en protokoll. Den gode nyheten er at den ikke trenger å være komplisert. Et enkelt regneark som for hver behandling viser hva slags opplysninger, formål, hvilke personer, hvem dere deler med, hvor lenge dere lagrer og hvilke sikkerhetstiltak dere har, holder for de fleste. Poenget er å ha oversikt, for du kan ikke styre data du ikke vet at du har.

4. Databehandleravtaler med leverandørene

Dette er punktet flest bommer på. Når en ekstern leverandør behandler persondata på deres vegne, krever GDPR art. 28 en skriftlig databehandleravtale. Dette gjelder flere leverandører enn folk tror:

  • Sky- og fildelingstjenester der dere lagrer kunde- eller ansattdata
  • Lønns- og HR-systemer
  • E-post- og kalenderleverandør
  • Ekstern regnskapsfører
  • Nyhetsbrev- og markedsføringsverktøy
  • Nettside- og hostingleverandør

De fleste større leverandører har en standard databehandleravtale klar, men det er DERES ansvar å sørge for at den faktisk er inngått. Uten databehandleravtale er selve bruken av leverandøren et brudd. Samtidig: ansvaret kan ikke outsources bort. Selv med en avtale på plass er det fortsatt dere som er behandlingsansvarlig og svarer for at behandlingen er lovlig, jf. art. 24.

5. Grunnleggende informasjonssikkerhet

GDPR art. 32 krever egnede tekniske og organisatoriske tiltak tilpasset risikoen. Loven gir ingen fast sjekkliste, fordi en tannlege med helsedata trenger strengere tiltak enn en blomsterbutikk med en e-postliste. Men noen grunnvaner forventes av alle:

  • Tilgangsstyring: bare de som trenger tilgang skal ha den, og tilgang fjernes samme dag en ansatt slutter
  • Sterke, unike passord og tofaktorautentisering på systemer med persondata
  • Oppdaterte systemer og sikkerhetskopi
  • Ikke send sensitive persondata på åpen, usikret e-post
  • Unngå skygge-IT, altså private apper og verktøy uten databehandleravtale

De fleste brudd skyldes ikke avanserte hackere, men menneskelige feil: e-post til feil mottaker, en mistet minnepenn, et regneark delt for bredt. Derfor er hverdagsdisiplin det billigste og mest effektive tiltaket dere har.

6. En enkel avviksrutine

Før eller siden går noe galt. Det avgjørende er ikke om det skjer, men om dere oppdager det og håndterer det i tide. GDPR art. 33 krever at et personvernbrudd meldes til Datatilsynet uten ugrunnet opphold, og der det er mulig senest innen 72 timer etter at dere ble klar over det. Fristen løper fra dere ble klar over bruddet, ikke fra det inntraff, og 72 timer inkluderer helger.

Det er ett viktig unntak: dere trenger ikke melde hvis bruddet sannsynligvis ikke medfører risiko for personene, for eksempel tap av en kryptert enhet ingen kan åpne. Medfører bruddet høy risiko, skal de berørte personene også varsles direkte etter art. 34. En liten bedrift trenger ikke en avansert beredskapsplan, men dere må ha avklart PÅ FORHÅND hvem som varsles internt og hvem som vurderer og melder. Dere skal også loggføre alle brudd internt, også de dere velger å ikke melde, jf. art. 33 nr. 5.

7. Opplæring av de ansatte

Det siste kravet er det som binder alt sammen. Ansvarlighetsprinsippet i GDPR art. 5 nr. 2 betyr at dere ikke bare må følge reglene, dere må kunne PÅVISE at dere gjør det. Datatilsynet beskriver opplæring som en del av internkontrollen. Når de ansatte vet hva en personopplysning er, hvordan de skal håndtere en innsynsbegjæring og hvem de skal varsle ved et avvik, reduserer dere selve risikoen, og dere får dokumentasjon på at dere har gjort jobben.

Det er nettopp dette kurset i personvern og GDPR er laget for: praktisk grunnopplæring for daglig leder, HR og kontoransatte, med et nummerert og verifiserbart kursbevis du kan vise frem. Vær oppmerksom på den ærlige rammen: kurset er opplæring som ledd i internkontroll, ikke en statlig godkjenning eller sertifisering, og det gjør ingen til personvernombud.

Hva dere sannsynligvis IKKE trenger

Like viktig som å vite hva som kreves, er å vite hva som ikke gjelder en vanlig liten bedrift:

  • Personvernombud (DPO): GDPR art. 37 krever dette bare for offentlige myndigheter, ved storstilt systematisk overvåking, eller ved behandling av særlige kategorier i stor skala. De aller fleste små bedrifter har ikke plikt til DPO. Men dere må faktisk ha vurdert spørsmålet, ikke bare anta at dere slipper.
  • Personvernkonsekvensvurdering (DPIA): art. 35 kreves bare når en behandling sannsynligvis medfører høy risiko. Det er uvanlig for en vanlig SMB.

Med andre ord: kravene som ofte oppleves som de tyngste, gjelder sjelden de minste virksomhetene. Det betyr ikke at dere kan slappe av, men det betyr at en realistisk innsats er fullt oppnåelig.

Praktisk: kom i gang på en ettermiddag

For en helt vanlig liten bedrift kan grunnmuren etableres raskt. Sett av en halv dag til å liste opp hvilke persondata dere behandler og koble hver behandling til et grunnlag, sette opp et enkelt protokoll-regneark, sjekke at dere har databehandleravtaler med de viktigste leverandørene, skrive en kort personvernerklæring, og avklare hvem som tar imot avvik og rettighetshenvendelser. Deretter lar dere de ansatte ta en grunnopplæring slik at rutinene faktisk følges. Det er nettopp dette Datatilsynet forventer av en virksomhet av deres størrelse.

Vil du se hvordan dette henger sammen med det øvrige internkontrollarbeidet, er vår mal og veiledning for risikovurdering et godt utgangspunkt for den systematiske tankegangen.

Sammendrag

GDPR gjelder også små bedrifter, men kravene er overkommelige. En vanlig SMB trenger: et behandlingsgrunnlag for hver behandling (art. 6), en personvernerklæring (art. 13-14), en enkel protokoll (art. 30, som de fleste likevel må føre fordi de behandler lønn og sykefravær), databehandleravtaler med leverandørene (art. 28), grunnleggende informasjonssikkerhet (art. 32), en avviksrutine med 72-timersfrist (art. 33), og opplæring av de ansatte (art. 5 nr. 2). De tyngste pliktene, som personvernombud og DPIA, gjelder sjelden de minste. Start med grunnmuren, og dokumenter det dere gjør.

Relaterte artikler