Del via


GDPR forenklet: En veiledning for små bedrifter

Ta en titt på alt innholdet vårt for små bedrifter i Hjelp og læring for små bedrifter.

Bruke Microsoft 365 for bedrifter til å hjelpe deg med å redusere og administrere GDPR-samsvar

GdpR (General Data Protection Regulation) er en eu-forskrift som mandater hvordan en organisasjon skal håndtere personopplysninger. Hvis bedriften selger til, leverer tjenester til eller ansetter borgere av EU, vil GDPR påvirke deg.

Som administrator for små bedrifter spør du deg sannsynligvis om «hvordan kommer jeg i gang»? Dette kan være spesielt tilfelle hvis bedriften din ikke håndterer personopplysninger som en viktig forretningsaktivitet, eller hvis GDPR er helt ny for deg.

Du kan komme i gang ved å se gjennom denne artikkelen, som er rettet mot å hjelpe deg med å forstå hva GDPR er, hvorfor den ble levert, og hvordan Microsoft 365 for bedrifter kan hjelpe organisasjonen med å overholde GDPR.

Den inneholder også svar på vanlige spørsmål om GDPR som små bedrifter kan ha, og fremhever tiltak en liten bedrift kan ta for å forberede seg på GDPR.

Viktig

Microsoft 365-løsningene og -anbefalingene i denne artikkelen er verktøy og ressurser som kan hjelpe deg med å administrere og beskytte dataene dine, men som ikke er en garanti for gdpr-samsvar. Det er opp til deg å vurdere din egen samsvarsstatus. Kontakt dine egne juridiske og/eller profesjonelle rådgivere når det er nødvendig.

En rask oversikt over GDPR

GDPR er en EU-forskrift som oppdaterer og utvider det tidligere databeskyttelsesdirektivet (DPD) som først ble vedtatt i 1995. GDPR er opptatt av personvernet til en persons data, enten det er en klient, kunde, ansatt eller forretningspartner. GDPR sin mål er å styrke beskyttelsen av personopplysninger for EU-borgere, enten de bor i EU eller andre steder. Forskriften fastsetter forventninger og gir råd om hvordan du oppnår dem. Organisasjoner må ha på plass tiltak som oppfyller kravene i GDPR.

GDPR handler om data og hvordan de brukes. Tenk på data som å ha en livssyklus. Syklusen starter når du samler inn data, fortsetter mens du lagrer den og bruker den (behandler), og slutter når du sletter den fullstendig fra systemene dine.

GDPR handler om følgende typer data:

  • Personopplysninger: Hvis du kan koble data til en enkeltperson og identifisere dem, anses disse dataene som personlige med hensyn til GDPR. Eksempler på personopplysninger inkluderer navn, adresse, fødselsdato og IP-adresse. GDPR anser selv kodet informasjon (også kjent som "pseudonym" informasjon) for å være personlige data, uavhengig av hvor obskure eller tekniske dataene er, hvis dataene kan kobles til en person.

  • Sensitive personlige data Dette er data som legger til flere detaljer i personopplysninger. Eksempler er religion, medlemskap i fagforeninger, etnisk opprinnelse og så videre. Sensitive personopplysninger inkluderer også biometriske data og DNA. I henhold til GDPR har sensitive data strengere beskyttelsesregler enn personopplysninger.

GDPR-vilkår

Du vil se noen termer som ofte refereres til i GDPR. Det er viktig å forstå disse vilkårene.

Samtykke:

GDPR sier: "Behandlingen av personopplysninger bør utformes for å tjene menneskeheten." GDPR håper å oppnå dette målet ved å bruke samtykke ved behandling av personopplysninger. Det kan være den enkle handlingen å spørre kundene om de ønsker å motta e-postmeldinger fra firmaet ditt. Det betyr også at du ikke lenger velger bort avmerkingsbokser på nettstedet når du vil bruke data til markedsføring. Du må ta eksplisitt samtykke ved hjelp av en «klar bekreftende handling». Og du må også holde oversikt over når et samtykke blir tatt eller tilbakekalt.

Rettigheter for den registrerte:

GDPR etablerer registrerte rettigheter, noe som betyr at kunder, ansatte, forretningspartnere, kunder, leverandører, studenter, leverandører og så videre har rett til å:

  • Bli informert om dataene deres: Du må informere enkeltpersoner om din bruk av dataene.

  • Ha tilgang til dataene: Du må gi enkeltpersoner tilgang til alle dataene du oppbevarer (for eksempel ved å bruke kontotilgang eller på en manuell måte).

  • Be om datarektifisering: Enkeltpersoner kan be deg om å korrigere unøyaktige data.

  • Be om at data slettes: Også kjent som "retten til sletting", gjør denne rettigheten at en person kan be om at noen av deres personlige data et selskap har samlet inn, slettes på tvers av alle systemer som bruker dem eller deler dem.

  • Be om begrenset behandling: En person kan be om at du undertrykker eller begrenser dataene. Det gjelder imidlertid bare under visse omstendigheter.

  • Ha dataportabilitet: En person kan be om at dataene overføres til et annet selskap.

  • Objekt: En enkeltperson kan protestere mot dataene som brukes til ulike bruksområder, inkludert direkte markedsføring.

  • Be om ikke å bli gjenstand for automatisert beslutningstaking, inkludert profilering: GDPR har strenge regler om bruk av data til å profilere personer og automatisere beslutninger basert på denne profileringen.

Fremgangsmåte for å forberede seg på GDPR

Denne delen beskriver trinnene en liten bedrift kan ta for å hjelpe den med å gjøre seg klar for GDPR. Mye av informasjonen for disse trinnene ble gitt gjennom syv trinn for bedrifter å gjøre seg klar for General Data Protection Regulation, en publikasjon gitt gjennom Publikasjoner Office of the European Union.

En god måte for en liten bedrift å komme i gang med GDPR på, er å sørge for å bruke følgende viktige prinsipper når du samler inn personopplysninger:

  • Samle inn personopplysninger med klart definerte formål for det du bruker dem til, og ikke bruk dem til noe annet. Hvis du for eksempel ber kundene om å gi deg e-postadressene sine, slik at de kan få de nye tilbudene eller kampanjene dine, kan du bare bruke e-postadressene deres til dette bestemte formålet.
  • Ikke samle inn mer data enn du trenger. Hvis bedriften for eksempel krever en postadresse for levering av varer, trenger du kundens adresse og et navn, men du trenger ikke å vite personens sivilstatus.

Trinn 1: Kjenn personopplysningene du samler inn og bruker i bedriften, og årsakene til at du trenger dem

Som en liten bedrift er et av de første trinnene du bør utføre, å lage en oversikt over de personlige dataene du samler inn og bruker i bedriften, og hvorfor det er nødvendig. Dette omfatter data om både ansatte og kundene dine.

Du kan for eksempel trenge den ansattes personopplysninger basert på ansettelseskontrakten og av juridiske årsaker (for eksempel rapportere avgifter til Internal Revenue Service).

Som et annet eksempel kan du administrere lister over individuelle kunder for å sende dem meldinger om spesialtilbud, hvis de har samtykket til dette.

Microsoft 365-funksjoner som kan hjelpe i trinn 1

Microsoft Purview Information Protection kan hjelpe deg med å oppdage, klassifisere og beskytte sensitiv informasjon i firmaet. Du kan bruke kalibrerbare klassifierere til å hjelpe deg med å identifisere og merke dokumenttyper som inneholder personopplysninger.

Trinn 2: Informer kunder, ansatte og andre personer når du trenger å samle inn personopplysningene deres

Enkeltpersoner må vite at du behandler personopplysningene deres og til hvilket formål. Hvis en kunde for eksempel trenger å opprette en kundeprofil for å få tilgang til bedriftens nettsted, må du sørge for at du oppgir spesifikt hva du har tenkt å gjøre med informasjonen deres.

Men det er ikke nødvendig å informere enkeltpersoner når de allerede vet hvordan du vil bruke dataene. Når de for eksempel gir deg en hjemmeadresse for en levering de bestilte.

Du må også kunne informere enkeltpersoner på forespørsel om de personlige dataene du har på dem, og gi dem tilgang til dataene. Hvis du organiserer dataene dine, blir det enklere å gi dem om nødvendig.

Trinn 3: Behold personopplysninger så lenge det er nødvendig

For ansattes data bør du beholde den så lenge ansettelsesforholdet forblir og for relaterte juridiske forpliktelser. For kundedata bør du beholde det så lenge kunderelasjonen varer og for relaterte juridiske forpliktelser (for eksempel skattemessige formål). Slett dataene når de ikke lenger er nødvendige for de formålene du samlet dem inn for.

Microsoft 365-funksjoner som kan hjelpe i trinn 3

Oppbevaringspolicyer og etiketter kan brukes til å holde personopplysninger i en viss tid og slette dem når det ikke lenger er nødvendig.

Trinn 4: Sikre personopplysningene du behandler

Hvis du lagrer personopplysninger på et IT-system, kan du begrense tilgangen til filene som inneholder dataene, for eksempel med et sterkt passord. Oppdater sikkerhetsinnstillingene for systemet regelmessig.

Obs!

GDPR foreskriver ikke bruken av et bestemt IT-system, men gjør at systemet har riktig sikkerhetsnivå. Se GDRP-artikkel 32: Behandlingssikkerhet hvis du vil ha mer informasjon.

Hvis du lagrer fysiske dokumenter med personlige data, må du kontrollere at de ikke er tilgjengelige for uautoriserte personer.

Hvis du velger å lagre personopplysninger i skyen, for eksempel via Microsoft 365, har du sikkerhetsfunksjoner som muligheten til å hjelpe deg med å administrere tillatelser til filer og mapper, sentraliserte sikre plasseringer for lagring av filer (OneDrive- eller SharePoint-dokumentbiblioteker) og datakryptering når du sender eller henter filene.

Microsoft 365-funksjoner som kan hjelpe i trinn 4

Du kan bruke Konfigurer samsvarsfunksjoner for å beskytte bedriftens sensitive informasjon. Samsvarsbehandling kan hjelpe deg med å komme i gang umiddelbart! Du kan for eksempel opprette og distribuere policyer for hindring av datatap som bruker GDPR-malen.

Trinn 5: Behold dokumentasjonen om databehandlingsaktivitetene dine

Klargjør et kort dokument som forklarer hvilke personlige data du oppbevarer, og av hvilke grunner. Du kan bli pålagt å gjøre dokumentasjonen tilgjengelig for din nasjonale databeskyttelsesmyndighet om nødvendig.

Slike dokumenter bør inneholde informasjonen som er oppført nedenfor.

Informasjon Eksempler
Formålet med databehandling Varsler kunder om spesialtilbud som å tilby hjemlevering; betalende leverandører; lønns- og trygdedekning for ansatte
Typene personopplysninger Kontaktdetaljer for kunder, kontaktdetaljer for leverandører; ansattdata
Kategoriene av de berørte dataemnene Ansatte; Kunder; Leverandører
Mottakerkategoriene Arbeidsmyndigheter; Skattemyndighetene
Lagringsperiodene Ansattes personopplysninger frem til slutten av arbeidskontrakten (og relaterte juridiske forpliktelser); kundenes personlige data frem til slutten av kunde-/kontraktrelasjonen
De tekniske og organisatoriske sikkerhetstiltakene for å beskytte personopplysningene IT-systemløsninger oppdateres jevnlig. sikret plassering; tilgangskontroll; datakryptering; sikkerhetskopiering av data
Om personopplysninger overføres til mottakere utenfor EU Bruk av en prosessor utenfor EU (for eksempel lagring i skyen), dataplassering for prosessoren; kontraktsmessige forpliktelser

Du kan finne Microsofts kontraktsforpliktelser med hensyn til GDPR i Microsoft Online Services Data Protection Addendum, som gir Microsofts personvern- og sikkerhetsforpliktelser, vilkår for databehandling og GDPR-vilkår for Microsoft-vertstjenester som kunder abonnerer på i henhold til en volumlisensavtale.

Trinn 6: Kontroller at underleverandørene respekterer reglene

Hvis du underkontraktsbehandling av personopplysninger til et annet selskap, bruker du bare en tjenesteleverandør som garanterer behandlingen i samsvar med kravene i GDPR (for eksempel sikkerhetstiltak).

Trinn 7: Tilordne noen til å overvåke beskyttelse av personlige data

Organisasjoner må kanskje utnevne en databeskyttelsesansvarlig (DPO) for bedre å beskytte personopplysninger. Det kan imidlertid hende at du ikke trenger å angi en databeskyttelsesansvarlig hvis behandling av personopplysninger ikke er en viktig del av bedriften, eller hvis du er en liten bedrift. Hvis bedriften for eksempel bare samler inn data om kundene for privat levering, trenger du ikke å tilordne et DPO. Selv om du må benytte deg av et DPO, kan disse oppgavene bli tilordnet til en eksisterende ansatt i tillegg til hans/hennes andre oppgaver. Eller du kan velge å ansette en ekstern konsulent for denne plikten etter behov.

Du trenger vanligvis ikke å utføre en konsekvensvurdering for databeskyttelse. Dette er reservert for bedrifter som utgjør mer risiko for personopplysninger (for eksempel hvis de utfører en storstilt overvåking av et offentlig tilgjengelig område, for eksempel videoovervåkning).

Hvis du er en liten bedrift som administrerer ansattes lønn og en liste over kunder, trenger du vanligvis ikke å gjøre en konsekvensvurdering for databeskyttelse.

Vanlige spørsmål om EUs personvernforordning (GDPR)

Jeg er eneeier - trenger jeg virkelig å bekymre meg for GDPR?

GDPR handler om dataene du behandler, ikke antall ansatte du har. Det påvirker selskaper i alle størrelser, selv eneeiere. Firmaer med færre enn 250 ansatte har imidlertid noen unntak, for eksempel redusert journalføring, men bare hvis du er sikker på at databehandlingen ikke påvirker den enkeltes rettigheter og er sporadisk behandling.

Som et eksempel vil behandling av ikke-personlige data være unntatt eller trenge reduserte tiltak. Men hvis du behandler data som blir sett på som "spesielle kategorisensitive data", selv om det bare av og til, må du registrere denne databehandlingen. Definisjonen av "sporadisk behandling" er vag, men den er ment å gjelde for data som brukes én eller sjelden.

Du bør også kontrollere at personopplysningene du samler inn, er beskyttet. Dette betyr at du må kryptere den og sørge for at tilgangen til den styres ved hjelp av minst et passord. Å holde kundedataene på et regneark på skrivebordet uten beskyttelse oppfyller ikke GDPR-forventningene.

Hvordan vet jeg om nettstedet til firmaet vårt samsvarer med GDPR?

Det første spørsmålet du må stille deg selv, er: Samler du inn personlige data hvor som helst på nettstedet? Du kan for eksempel ha et kontaktskjema som ber om navn og e-postadresse. Hvis du vil sende markedsførings-e-postmeldinger, må du sørge for at du legger til en avmerkingsboks for «påmelding» som forklarer nøyaktig hva du skal bruke dataene til. Bare hvis mottakeren kontrollerer denne boksen, kan du bruke personopplysningene til markedsføringsformål.

Kontroller også at databasen som lagrer dataene, er beskyttet. Leverandøren av nettverten eller skylagringsleverandøren vil kunne gi råd om dette. Hvis du bruker Microsoft 365 for bedrifter, er lagring av data GDPR-kompatibel.

Firmaet mitt er utenfor Europa. Påvirker GDPR oss virkelig?

GDPR er en forskrift som beskytter EU-borgere. Hvis firmaet ditt håndterer EU-borgere nå, eller du håper å i fremtiden, vil du bli påvirket. Dette gjelder for både borgere som bor i en EU-stat og de som bor andre steder.

Vurder følgende eksempler:

  • Et amerikansk selskap som leier biler til EU-borgere, må oppfylle GDPR-kravene når de samler inn og behandler kundens data. Firmaet må samtykke når de tar kundens data og sikrer at dataene lagres på en sikker måte. De må også sørge for at kunden kan bruke alle sine registrerte rettigheter.

  • Et australsk selskap selger produkter på nettet, og brukerne konfigurerer online kontoer. GdpR-rettigheter og samtykke vil bli brukt på EU-borgere som åpner en konto. Firmaet må sørge for at kunden kan bruke alle sine registrerte rettigheter.

  • En internasjonal veldedig organisasjon samler inn data om givere og bruker den til å sende ut oppdateringer og forespørsler om donasjoner. GDPR sier: '... behandling av personopplysninger for direkte markedsføringsformål kan betraktes som utført for en legitim interesse.» Organisasjonen har imidlertid ansvaret for å bevise at interessene deres overstyrer den registrerte. Selskapet (eller i dette tilfellet den veldedige organisasjonen) bør alltid bli informert, eksplisitt, innmeldingssamtykke.

GDPR gjelder også hvis kundedata beveger seg over landegrensene. Hvis du bruker databehandling i skyen for datalagring, må du kontrollere at tjenesten er fullstendig GDPR-kompatibel. Det kan bli komplisert hvis datalagring er på steder som har en dårlig registrering av databeskyttelse. Hvis du bruker Microsoft 365 for bedrifter, har vi riktig juridisk dokumentasjon på plass for å dekke GDPR-kravene.

Jada, jeg samler inn data, men noen andre i firmaet lagrer dem. Får det meg av kroken?

Hvis du samler inn data, påvirkes du til en viss grad under GDPR. GDPR har konseptet med en databehandler og en datakontrollør:

  • Datakontrollør: En enkeltperson eller organisasjon (du kan ha felles kontrollører) som bestemmer hvordan, hva og hvorfor data samles inn. De kan lagre den ved hjelp av et annet selskaps skyservere. Et nettsted som samler inn kundedata, er for eksempel en kontroller.

  • Databehandling: En person eller organisasjon som lagrer data på vegne av kontrolleren(e) og behandler disse dataene på forespørsel. Microsoft 365 Apps for business data storage fungerer for eksempel som en prosessor og er fullstendig GDPR-kompatibel.

    En organisasjon eller et system kan fungere som både en kontroller og en prosessor. Microsoft 365 for bedrifter kan fungere som begge deler og overholde GDPR.

Kan jeg fortsatt sende ut markedsførings-e-postmeldinger til gamle kunder?

Du må sørge for at kundene dine, selv de du har hatt i årevis, har samtykket i å bruke dataene sine til markedsføring. Du kan tidligere ha fanget opp samtykke, i tillegg til en post for å vise det. I så fall er du klar til å fortsette markedsføringen. Hvis ikke, må du få tillatelse fra kunden til å fortsette markedsføringen til dem. Dette innebærer vanligvis å sende en e-postmelding som ber kunder om å gå til nettstedet ditt og velge et alternativ for å samtykke til å motta fremtidige e-postmeldinger.

Må jeg bekymre meg for GDPR når jeg rekrutterer nye ansatte? Hva med nåværende ansatte?

GDPR påvirker ikke bare kundedata. den strekker seg også til ansattdata. Nye rekrutter er ofte plassert ved hjelp av sosiale medieplattformer som LinkedIn. Kontroller at du ikke lagrer potensielle rekrutteringsdata uten deres uttrykkelige tillatelse.

Når det gjelder eksisterende ansatte og nye ansattes kontrakter, forutsetter ikke en signatur ved slutten av en kontrakt nødvendigvis samtykke, spesielt når en ikke-bekreftende klausul brukes i en kontrakt. I dette tilfellet må du registrere samtykke på en eksplisitt måte som er knyttet til setningsdelen. Hva dette betyr avhenger av ansattes kontrakt, men du kan bruke "legitim interesse" i noen tilfeller og legge til et varsel om behandling av data for ansatte for å sikre at de ansatte er klar over hva du skal gjøre med dataene deres.

Tilfredsstille personvernhensyn ved hjelp av Microsoft 365 for bedrifter

Å bli kompatibel med GDPR handler om å sørge for at personlige data er beskyttet. GDPR har et konsept som kalles Personvern etter utforming og standard. Dette betyr at databeskyttelse bør "bakt inn" til et system og et produkt, slik at det å tilfredsstille personvernhensyn er andre natur.

I likhet med sine større kolleger, trenger en liten bedrift bekvemmelighet uten å ofre sikkerhet. Microsoft 365 for bedrifter er utformet for bedrifter med færre enn 300 ansatte. Små bedrifter kan bruke Microsoft-skybaserte verktøy for å forbedre produktiviteten i bedriften. Med Microsoft 365 for bedrifter kan en liten bedrift administrere e-post, dokumentasjon og til og med møter og arrangementer. Den har også innebygde sikkerhetstiltak og enhetsadministrasjon, som er avgjørende for GDPR-samsvar.

Microsoft 365 for bedrifter kan hjelpe deg med GDPR-prosessen på følgende måter:

  • Oppdage: Et viktig trinn i samsvar med GDPR er å vite hvilke data du har.

  • Administrere: Kontroll av tilgang til data og administrasjon av bruken er en integrert del av GDPR. Microsoft 365 for bedrifter beskytter forretningsdata basert på policyer du vil bruke på enheter. Enhetsadministrasjon er viktig i en alder der ansatte jobber eksternt. Microsoft 365 for bedrifter inkluderer funksjoner for enhetsadministrasjon som sørger for at dataene er beskyttet på tvers av alle enheter. Du kan for eksempel angi at alle Windows 10-enheter i bedriften er beskyttet via Windows Defender.

  • Beskytte: Microsoft 365 for bedrifter er utformet for sikkerhet. Enhetsbehandlings- og databeskyttelseskontrollene fungerer på tvers av bedriftsnettverket, inkludert eksterne enheter, for å bidra til å holde dataene sikre. Microsoft 365 for bedrifter tilbyr kontroller som personverninnstillinger i Microsoft 365-produktivitetsapper og kryptering av dokumenter. Med Microsoft 365 for bedrifter kan du utføre gdpr-samsvarsovervåking for å sikre at du har riktig beskyttelsesnivå angitt.

  • Rapporten: GDPR legger stor vekt på rapportering. Selv en bedrift med én enkelt ansatt, hvis denne virksomheten behandler store mengder data, er nødvendig for å dokumentere og rapportere om sine prosedyrer. Microsoft 365 for bedrifter tar hodepine ut av rapporteringskravene for mindre organisasjoner.

    Verktøy som overvåkingslogger lar deg spore og rapportere om dataflytting. Rapporter inkluderer klassifisering av dataene du samler inn og lagrer, hva du gjør med dataene og overføringer av dataene.

Kunder, ansatte og kunder blir mer oppmerksomme på viktigheten av personvern og forventer nå at et selskap eller en organisasjon respekterer personvernet. Microsoft 365 for bedrifter gir deg verktøyene du trenger for å oppnå og opprettholde GDPR-samsvar uten store omveltninger i virksomheten.

Neste trinn

Her er noen forslag til de neste trinnene for å gjøre deg klar for GDPR:

Viktig

Få juridisk rådgivning som passer for firmaet eller organisasjonen.

Flere ressurser

Oversikt over GDPR for Microsoft Trust Center

Den offisielle Microsoft-bloggen: Microsofts forpliktelse til GDPR

Europakommisjonens nettsteder: