Meny Lukk

Hva GDPR kommer til å bety for oss og hva det kan bety for deg

De fleste har fått med seg den nye europeiske personvernforordningen (GDPR) som trer i kraft 25. mai. Forordningen kommer til å bli gjeldene for alle land i hele EU og EØS-området. Dette styrker alle innbyggeres kontroll over egne personopplysninger og sikrer også at informasjon beskyttes, selv når den blir overført mellom landegrenser og til andre kontinenter. GDPR påvirker nemlig også land utenfor EU; i de tilfeller der personopplysninger fra brukere innenfor EU blir behandlet utenfor EU skal EUs personvernforordning følges. Den skal sikre en trygg og god behandling av personopplysningene. 

Vi har som hovedvirksomhet å behandle personopplysninger.

For oss betyr dette at vi må ta en gjennomgang av våre rutiner rundt personvern, både internt og for alle våre kunder. Alle foretak har et ansvar både som behandlingsansvarlig og i mange tilfeller som databehandler. Ansvaret som databehandler er kanskje også mest aktuelt for oss. Vi har som hovedvirksomhet å behandle personopplysninger. Enten det er personopplysninger fra nettsider, nettbutikker eller nyhetsbrev, så stilles det krav til at vi kartlegger og utarbeider en oversikt over all databehandling vi foretar oss på en daglig basis, og hvilken rettslig hjemmel som ligger til grunn for den databehandlingen vi gjør. I de fleste tilfeller er et eksplisitt samtykke tilstrekkelig for å behandle personopplysninger. Det som er nytt er derimot begrensningene for hva et samtykke kan gjelde for, hvor lenge samtykket gjelder og brukerens rett til å trekke tilbake eller endre samtykket som er avgitt. Vi tar GDPR på alvor, derfor har daglig leder Morgan Eriksson tatt kurs i emnet, og Joakim Milian Elden tar for øyeblikket deltidsstudier for å bli vårt personvernombud.

Hva betyr dette for meg og mitt foretak?

Dette er et vanskelig spørsmål fordi det kan variere fra bedrift til bedrift, men GDPR vil påvirke alle foretak. Mange vil oppleve at de allerede har mange tiltak på plass, fordi mye av den nye lovgivningen allerede eksisterte i vår personopplysningslov. Denne var det imidlertid ikke alle som fulgte så nøye, og derfor kan GDPR virke overveldende for en del foretak. Datatilsynets veileder er en god start. Gjennom veilederen får man et godt innblikk i hva man må tenke over. Generelt for de fleste foretak som er aktive i digitale kanaler er det noen regler som vil gå igjen. De sentrale reglene er blant annet: krav til samtykke, rett til innsyn, sletteplikten, krav til minimering av data og lovlig grunnlag for behandlingen. Her er noen eksempler på hvordan innvirkning disse reglene kan ha på et foretak:

  • Kontaktskjemaer:

    I kontaktskjemaer skal det ikke innhentes mer personopplysninger enn det som er nødvendig for behandlingen av forespørselen. Dataene skal heller ikke lagres lenger enn det som er nødvendig. Et eksempel på dette kan være henvendelser fra kunder. En kunde har et spørsmål om et produkt som selges i en nettbutikk. Kunden ønsker å bli kontaktet på e-post, og dermed er det ikke nødvendig at han/hun fyller inn telefonnummer. Kunden skal også bli informert om hva personopplysningene blir brukt til, og man har ikke lov til å bruke personopplysningene til andre formål enn det som tydelig fremkommer (i dette eksempelet for å besvare et spørsmål om et produkt). Når henvendelsen er besvart skal alle personopplysninger slettes, f. eks en e-post fra et kontaktskjema.

  • NYHETSBREV:

    Det er ofte vanlig å sende ut nyhetsbrev til hele kundelisten sin og i mange nyhetsbrevløsninger er det standard å oppgi lenke for oppsigelse og/eller endring av nyhetsbrevabonnement. Når den nye lovgivningen trer i kraft vil det ikke lenger være lov å sende ut nyhetsbrev til hele kundelisten. Man må innhente tydelig samtykke fra mottakerne og samtykket skal lagres og være lett tilgjengelig. Det skal være enkelt for brukeren å endre opplysninger om seg selv, endre abonnementet og/eller si opp abonnementet. Nytt samtykke må innhentes hvert år. Her kan man være føre var og sende ut en e-post til alle abonnementer der man lenker til en side der brukerne blir informert om den nye lovgivningen, på grunnlag av det kan de gi samtykke.

  • Informasjonskapsler (cookies):

    Når det kommer til cookies holder det ikke lenger å ha den tradisjonelle «cookieboksen» som sier noe om at «denne siden lagrer cookies på din enhet og vi må bruke cookies for at siden skal fungere optimalt». Nå skal brukeren bli informert om hvilken type cookie som blir brukt, hvilke opplysninger som blir lagret, hva formålet med disse opplysningene er og hvem som bruker disse opplysningene. Når brukeren har blitt informert om dette kan den til slutt velge å gi et frivillig samtykke. Det skal også være lett for brukeren å angre seg i etterkant, eller å få informasjonen som cookien har lagret slettet.
    Når du ber om å lagre en cookie på andres enheter skal det komme tydelig frem.

  • Brukerregistrering:

    Har du et nettsted der brukerne kan lage seg en brukerprofil, f. eks. i en nettbutikk, er det viktig å informere om hvorfor man trenger å fylle inn informasjonen som kreves. Det er ikke noe fasit på hvordan man gjør dette, men det kan f. eks. være ved at en boks popper opp over feltet man fyller inn. Som nevnt skal det heller ikke spørres om mer informasjon enn det som er nødvendig, etter kravet om minimering av personopplysninger. Om brukeren skal kjøpe et produkt og betale med faktura, så trenger han/hun kanskje å fylle inn sitt fødselsnummer. Dette er imidlertid ikke informasjon som trengs å lagres på brukeren, de sensitive opplysningene trengs bare for å fullføre akkurat den transaksjonen.

Det er altså en del mindre tilpasninger som antagelig må til for å tilfredsstille de nye reglene. Det er likevel en liten pris å betale for å kunne betraktelig høyne graden av informasjonssikkerhet for folk flest. Man skal også være obs på om man hoster nettstedene sine hos en tredjepart. Har tredjeparten gode nok tiltak for å opprettholde god informasjonssikkerhet, og har de en plan på hvordan de skal følge den nye lovgivningen? En databehandleravtale vil kanskje være nødvendig. Datatilsynet forventer nok ikke at alt skal være perfekt fra 25. mai. Det vil være en prosess å arbeide med den nye lovgivningen, implementere den i det daglige arbeidet og finne de gode løsningene. Det som er viktig er at man gjør det man kan allerede nå, og fortsetter å jobbe med GDPR kontinuerlig i årene som kommer.

Still OSS spørsmål OM GDPR

Vi i Spire kommer til å lage en plan på hvordan vi kan informere våre kunder med rett informasjon tilpasset de løsningene de har hos oss, og bistå med forslag til løsninger vi kan implementere for å følge regelverket. Har du spørsmål? Ta kontakt enten du er kunde hos oss eller ei, og vi kan hjelpe deg med det du lurer på. Ring vårt personvernombud på tlf: +47 949 87 804 eller send en e-post til post@spire.as.

Hvorfor Spire startet en bedriftsblogg

Med denne bloggposten starter Spires bedriftsblogg. Ved et par anledninger har det blitt foreslått internt at Spire kanskje burde hatt en blogg, og de fleste har vært positive til det. Det ville jo vært bra å ha en plattform hvor vi kan dele informativt, godt innhold om det vi holder på med, samt fronte egne tjenester og produkter på en interessant måte.

«Et sted må man starte.»

Det virker jo vel og bra? Så kommer spørsmålene: hvem skal ha ansvaret for bloggen? Hva skal det skrives om? Hvor ofte skal det postes? Hvilket tidspunkt skal innlegg publiseres? Når man kommer på alle spørsmålene, kommer også den høye terskelen for å starte bloggen. Jeg gjorde noe research og så raskt at dette var de rette spørsmålene å stille – samtidig forstod jeg at man ikke må drepe lysten for å starte bloggen ved å planlegge mer enn nødvendig. De fleste artiklene jeg leste presierte også at  «et sted må man starte», og at «man lærer underveis.»

Så jeg satt opp en enkel publiseringsplan der jeg skrev ned noen tanker om når og hvor ofte innlegg skulle publisere, litt hvordan arbeidsprosessen skulle være, samt hvordan dette skulle deles via sosiale medier.

Er bedriftsblogging fortsatt aktuelt?

Mange vil kanskje spørre seg hvor vidt bedriftsblogging er aktuelt lenger. Et raskt søk i Google Trends viser jevn nedgang i søk relatert til bedriftsblogging både på verdensbasis og i Norge. Tiden der alle bedrifter skulle ha en blogg kanskje forbi, men man ser at bedrifts- og bransjebloggene fortsatt eksisterer og innholdet er ofte bra.

Innholdet vant vel også i denne runden? Jeg tror, uten å vite, at bedriftsbloggen fortsatt kan være aktuell. At bedriftsbloggen på lik linje med Facebook og Snapchat funker for de som gjør en innsats. Innholdet er viktig, og det må i stor grad tilpasses deling i sosiale kanaler. Uansett skader det ikke å gi det et forsøk, kanskje passer det for din bedrift – kanskje ikke.

5 argumenter for å starte en bedriftsblogg

  1. Potensiell synlighet for bedriften
  2. Man blir tvunget til å være nysgjerrig og følge med i egen bransje
  3. Mulighet til å tilby eksisterende og nye kunder god informasjon
  4. Få kontakt med andre i bransjen
  5. Styrke egen kompetanse i bedriftsblogging

Nå gjenstår det bare å se hva som spirer frem på denne bloggen. Første innlegg er ute, og med det har terskelen forhåpentlig blitt senket et par hakk.

Grafikk fra Photoroyalty og Starline, Freepik.com

© 2018 Spire blogg. All rights reserved.

Theme by Anders Norén.