Hopp til innhold

Hvorfor GDPR. Hva er utfordringen for små bedrifter?

21. mars 2018

Hvorfor GDPR. Hva er utfordringen for små bedrifter?

Allerede idag har Norge klare regler for personvern og HMS. Problemet er at det ikke har vært så strenge krav for bedrifter med under 5 personer ansatt tidligere. Siden GDPR forutsetter et interkontrollsystem i bedriften så må også små bedrifter nå lage slike systemer.

Er det komplisert å følge reglene ?

Dette spørsmålet vil ha ulike svar utifra hva du driver med. Hvis du forsøker å følge god forretnings-skikk allerede så har du ikke så mye problemer. Hvis du lagrer alt mulig i ditt datasystem om kunder, ansatte - og de ikke kan få innsyn. Kanskje du også forsøker å sende ut eposter til alle mulige personer og firmaer du ikke har et kundeforhold til- ja da har du mange problemer du må rydde opp i. Hvis du i tillegg oppbevarer eposter med sensitivt innhold og ikke har noen sikkerhet på ditt nettverk  - og ikke vet noe om hvordan dine underleverandører tar vare på data for deg - ja da er det mye du må finne ut av.

Et internkontrollsystem er ikke så vanskelig å lage. https://www.arbeidstilsynet.no/hms/internkontroll/ 

Du må starte med å finne ut om de ulike delene av HMS i bedriften din har et godt system for å bli fulgt opp. Hvis du allerede nå har personalmøter, medarbeidersamtaler, årlig gjennomgang av elektrisk system og annet teknisk utstyr - OG i tillegg tar brann og helseutfordringer på alvor i bedriften - ja da er det mer spørsmål om å skrive dette ned i dokumenter.

( Husk at alle ledere i bedrifter MÅ ha Hms kurs. Eneste unntak nå er om du er eneste person i ditt enkeltmannsforetak : https://www.arbeidstilsynet.no/hms/roller-i-hms-arbeidet/arbeidsgiver/hms-opplaring-ledere/ )

Det som er viktig er at avvik håndteres på en god måte. Når en av dine ansatte gir beskjed om at en røkvarsler ikke virker så er det et avvik. Dette avviket bør ikke bare inn i handlingsplanen, men det bør følges opp omgående med å bestille elektriker. På samme måte kan et avvik være at du ser at flere ansatte sliter med rygg og nakkeproblemer etter å ha brukt mye tid foran pc'n. Dette er et avvik som også skal inn i en handlingsplan, men du har da mer tid til å analysere problemet - finne løsninger - diskutere med de tillitsvalgte - og så iverksette løsningne. Noen ganger kan en løsning på et avvik være å lage en rutine i bedriften. Alt dette blir et godt internkontrollsystem - og hele systemet skal gjennomgås hvert år.

Det som er det nye nå er at også all info om personopplysninger og oppbevaring av disse - samt alt av databehandling skal dokumenteres i internkontrollsystemet. Det skal lages rutiner for å hjelpe kunder til å få se sin informasjon - og for å kunne slette informasjon. Du er også pliktig til å ha avtaler med alle de som oppbevarer data for deg.

Romerike Internett ønsker å gi enkel og grei informasjon til vanlige bedrifter om det nye regelverket for GDPR. Vi tror det er viktig å begynne med det mest grunnleggende for så å gå videre på de større utfordringene etterhvert. Vi ønsker å samle informasjon på en side som vi starter etter påske.

GDPR bygger på HMS arbeidet i bedriften din. Vi tror at dere som er i vanlige bedrifter kan begynne med å gå igjennom HMS systemet - og at dere på den måten kan komme langt i arbeidet med å forberede bedriften på det nye regelverket.

Følgende ting bør alle bedrifter gjennomføre i løpet av de neste 3 ukene:

1: Få oversikt over alle personopplysninger som ditt firma har. Har du notert ting i personalmapper eller i kundeoppfølgingssystemet som du ikke kan gi innsyn i? Stort sett så dreier reglene seg om vanlig sunn fornuft, men noen krav er strenge: Det er ikke lov å oppbevare sensitive opplysninger om f.eks. helse, religion eller legning. https://www.datatilsynet.no/regelverk-og-skjema/veiledere/grunnleggende-personvernprinsipper-etter-nytt-regelverk/?id=7769 

2: Lag en risikoanalyse og handlingsplan for oppbevaring av data og andre opplysninger i bedriften https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/?id=6321 

3: Finn ut hvem som er behandlingsansvarlig, og eventuelle databehandlere og
underleverandører. Det må inngås databehandleravtaler, og underleverandører skal
godkjennes av behandlingsansvarlig https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/?id=6326 

Vi vil forsøke å hjelpe bedrifter som kanskje ikke har noen av disse tingene - eller andre HMS dokumenter på plass til å få et enkelt og greit system på nett. Gi oss gjerne noen tilbakemeldinger på hva du kunne tenke deg å få en forklaring på i tekst og video.

Hva er det grunnleggende du allerede skulle hatt på plass:
1: En HMS perm med internkontrollsystem

2: En handlingsplan for HMS arbeidet i bedriften din

3: Risikoanalyser og gjennomgang av HMS systemet hvert år

4: Bedrifter med mange ansatte skal også ha verneombud, AMU utvalg og flere andre krav - men vi antar at disse større bedriftene også allerede har kommet langt i GDPR arbeidet.

Send en epost til info@romerike.com hvis du har spørsmål eller tips til siden vi skal starte etter påske.



Del denne siden med andre!

Share on FacebookShare on Twitter

Personvernerklæring