GDPR – Dataskyddsförordningen
Var och en har rätt till skydd för sitt privatliv, sitt hem och sin korrespondens
Alla berörs av den nya dataskyddslagen GDPR och många har redan skrivit mycket om den. Så varför skall jag skriva om den då… jo dels för att dokumentera för mig själv vilka förhållningsregler och åtagande jag har gjort och dels för att hjälpa andra företagare och frilansare att komma igång med den nya lagen utan att behöva få grått hår över denna pucken eller ”elefanten” i en företagares liv. Elefant ja – hur äter man stora elefanter – i små portionsbitar så klart. Några portionsbitar finns att äta eller läsa längre ner i artikeln. Den nya GDPR-lagen ersätter PUL-lagen från 1996 – så efterlever ditt företag den så är du nästan i hamn. Jag skriver utifrån mina förhållande i mitt företag – i mitt enmansföretag har jag ett lättare jobb framför mig än vad andra mera komplexa företag med flera system, anställda och konsumentkunder har – givetvis.
Dokumentation
Dokumentationen är också bra att visa fram om dataskyddsmyndigheterna skulle hitta på att kolla om just du lever efter den nya lagen.
Adresslistor och kundvårdsystem
Jag har inget ”riktigt” CRS-system i mitt företag, jag har bara ett excel-ark med kunder och affärskontakter där jag samlar personuppgifter så som namn, företagsnamn, telefonnummer, webbadress, e-mailadress, gatuadress, när och var vi fick kontakt, och kolumnen övrigt som kan innehålla allt från vad vi har pratat om till varför personen finns med på listan
Så här vill jag göra
Jag vill bara ha en enda lista och den skall innehålla alla kontakter så som kunder, leverantörer, prospekts dvs de som troligen kan bli mina kunder, vänner och nätverkskontakter. Listan skall innehålla kontaktuppgifter, var jag träffade personen första gången, var personen jobbar och eller hur jag kan hjälpa dem. Alla skall märkas efter kategorier för att jag lätt skall kunna samla tex alla vänner eller alla som jag har träffat på ett specifikt närverk osv.
Rensa och städa i listan – kontroll är A och O
Det är viktigt att rensa bort alla uppgifter som du inte kan motivera efter en intresseavvägning. Tex kan du motivera varför du behåller en potentiell kund på din lista för att du tänker att kontakta hen inom 3 månader. Det bästa är att bara skriva företagsnamnet och inte namnet på tex marknadschefen som du tänker ringa, marknadschefens namn kan du leta upp när det blir aktuellt att ta kontakt. Håll listan uppdaterad och var beredd på att visa personer vad du lagrar om dem och ta bort informationen på begäran. Alla ändringar i listan skall göras senast 30 dagar efter begäran. Det är en mänsklig rättighet att få veta vad som lagras om en.
Tänk så här
Personuppgifter är något du lånar av ägaren. Du skall vara rädd om dem och behandla dem med omtanke, inte låna vidare eller stoppa ner i egna gömmor.
Vad som räknas som personuppgifter
Allt som gör att du kan identifiera en person: bild, röstinspelning, adress, fingeravtryck, telefonnummer, IP nummer, email, DNA mm.
Ansvar
Du ansvarar för din lista. Ha bra lösenord, rapportera till datainspektionen inom 72 timmar om du misstänker intrång. Dokumentera vilka på företaget som har tillgång till uppgifterna.
Listor utanför min dator
Data med personuppgifter som du ansvarar för ligger även på externa tjänster som tex Mailchimp, FortNox, iCloud, google-drive och många andra. För större säkerhet, välj välkända tjänsteleverantörer från länder med adekvat skyddsnivå.
Oorganiserad data faller utanför lagen
Visitkort huller om buller i en skolåda är fortfarande tillåtet för det räknas som oorganiserad data. Jag har en låda med blandade visitkort som jag har samlat på mig från alla nätverksträffar under flera år. Ibland öppnar jag lådan – inte så mycket för att leta efter en person utan mera för att titta på olika visitkortsstilar när jag som grafisk formgivare har i uppdrag att göra någons kort.
Nyhetsbrev
Mitt nyhetsbrev i april handlar om GDPR. I mailet ställer jag frågan om mottagaren vill ha mina mail eller ej och jag frågar också om jag kan få behålla personen i min kontaktlista även om de inte vill ha fler mail. Det blir en bra utrensning av kontaktlistan. Kanske hinner jag med 2 st mail till innan 25 maj när lagen träder i kraft i så fall har jag ytterligare 2 tillfällen till att rensa listan. Mottagare som inte har öppnat mina mail på de 3 tillfällen och därmed inte har kunnat svara på om de vill stå på listan eller ej tar jag bort. På hemsidan finns det möjlighet att anmäla sig till nyhetsbrevet och då med funktionen dubbelt medgivande, dvs svara positivt ja på att de verkligen vill ha nyhetsbrevet.
Det ska vara enkelt
Om rutiner är för krångliga så görs de inte och uppgiften läggs bara på högen med allt som inte hinns med eller i värsta fall förorsakar den dåligt samvete. Tid är alltid en knapp resurs så därför strävar jag efter att göra alla rutiner så enkla som möjligt. Jag skall bara ha en kontaktlista och den skall uppdateras innan varje nyhetsbrev, dvs ca en gång per månad.
Tydlighet
Också tydlighet gör dina rutiner mindre krångliga. Vi gör så många uppgifter hela tiden i olika system, än är det momsredovisning på skatteverkets hemsida och än är det nyhetsbrev som skall skrivas och skickas med program för nyhetsbrev. Mitt bidrag till alla företagare, nystartade som etablerade, är att tydliggöra alla rutiner i ord och bild.
Vad jag hittills har gjort
Jag har läst många artiklar om GDPR och Datainspektionens sida om Förberedelser för personuppgiftsansvariga Vägledning till personuppgiftsansvariga inför den nya dataskyddsförordningen 2018 och tagit ställning till deras 13 frågor.
Deltagit i workshop om GDPR i praktiken den 26 mars. Workshopen arrangeras av ROImarketing och med Henrik Nermar från Silenta informationssäkerhet AB som föredragshållare.
Jag har skrivit mitt företags integritets policy och lagt de på hemsidan, sätt över min kundlista (mitt CRM-system) och riskanalyserad mina rutiner.