Två år med GDPR – Datainspektionens 6 tips till småföretag

Lisa Bjerre / maj 12, 2020
Lisa Bjerre

toimisto-2

Två år efter att GDPR infördes har många företag fortfarande inte koll på den nya datalagen. Datainspektionens stabschef Karin Lönnheden ger sina sex bästa tips för småföretag som vill komma ikapp med GDPR. 

Två år efter att den nya dataskyddsförordningen infördes börjar vi se resultatet. De första sanktionerna i Sverige har delats ut, där bland annat Google har fått böta 75 miljoner kronor för att inte ha tagit bort sökresultat tillräckligt effektivt. Även mindre företag har bötfällts, som söksajten MrKoll som fick böta 365.000 kronor för att ha publicerat privatpersoners kredituppgifter.

Samtidigt har närmare 8.000 incidenter med personuppgifter rapporterats in, men det är främst offentlig sektor som står för de siffrorna. Och det beror inte på att de drabbats hårdare.

– Offentlig sektor har bättre rutiner för att upptäcka och anmäla incidenter. Vår bedömning är att rutinerna inte har satt sig riktigt än i näringslivet, framför allt inte hos småföretag, säger Karin Lönnheden, stabschef på Datainspektionen.

Det finns alltså mycket jobb kvar att göra ute i företagen. Karin Lönnheden har sex tips till småföretagare som vill komma ikapp med GDPR-arbetet:

1 GDPR gäller alla.

Det är viktigt att förstå att GDPR gäller alla företag som hanterar personuppgifter, oavsett storleken på företaget. Vad är då personuppgifter? Det kan vara till exempel namn, kontaktuppgifter eller personnummer som finns i lönebetalningar, kundregister, eller e-postadresser till personer som mottar ett nyhetsbrev. Med andra ord hanterar alla företag personuppgifter, och omfattas av lagen.

2 Ha koll på vilka personuppgifter företaget har.

En av grunderna i GDPR är att dokumentera vilka personuppgifter företaget sparar, varför de sparas – och sedan bara använda uppgifterna för just det syftet. Alla företag behöver också ha koll på vilket lagstöd som finns för att spara personuppgifter, det som kallas rättslig grund.

­– Man behöver ha en tydlig och dokumenterad bild av varför man samlar in uppgifterna, alltså vad de ska användas till och vad man har för lagstöd för att samla in uppgifterna. Och sedan behöver man hålla sig till det, säger Karin Lönnheden.

3 Mejl är också personuppgifter.

Alla företag behöver ha rutiner för hur mejl hanteras, och hur länge mejlen sparas. Enligt GDPR ska företag inte spara mer uppgifter än vad man har behov av, vilket kallas för lagringsminimering.

4 Ha rätt säkerhetsåtgärder.

Ju känsligare personuppgifter företaget sparar, desto högre behöver säkerheten vara. Exempel på känsliga personuppgifter är uppgifter om hälsa och fackföreningstillhörighet. Exempel på säkerhetsåtgärder kan vara kryptering, tvåfaktorsautentisering eller att man inte mejlar en viss typ av personuppgifter.

– Hanterar man personuppgifter på flyttbara media, som USB-stickor och bärbara datorer, behöver man ofta också tänka lite extra kring säkerheten så att ingen obehörig kan ta del av informationen, säger Karin Lönnheden.

5 Öppna inte okända länkar.

En grundläggande säkerhetsåtgärd är att inte öppna länkar eller bifogade filer från okända avsändare. Risken är annars att systemen infekteras av ett virus, som gör att någon kan ta sig in och komma åt företagets personuppgifter. Det kan bli både kostsamt och besvärligt.

6 Anmäl incidenter.

Enligt dataskyddsförordningen är företag och organisationer som drabbas av en personuppgiftsincident skyldiga att anmäla händelsen till Datainspektionen inom 72 timmar. Det finns mer information på Datainspektionens sajt och en e-tjänst där man anmäler.

Just nu: Marknadsföring och kundklubbar granskas för GDPR

Vad kan då hända om man inte följer GDPR? I värsta fall är kan företag drabbas av sanktionsavgifter på upp till fyra procent av årsomsättningen, som mest 220 miljoner kronor.

Som småföretagare är troligtvis risken liten att bolaget blir granskat. Men det finns en risk att en kund eller konkurrent klagar till Datainspektionen om företaget bryter mot lagen.

Dessutom kan företaget komma att omfattas av de generella granskningar som Datainspektionen genomför. Granskningarna riktas in på branscher och områden där Datainspektionen bedömer att de största riskerna för lagbrott finns.

Ett av de områden som just nu undersöks handlar om samtycke vid marknadsföring, något som berör de flesta företag. Datainspektionens granskning riktar in sig på kundklubbar.

Enligt GDPR ska kunden ha lämnat samtycke för att personuppgifterna ska kunna användas i marknadsföring. Men när fungerar det att hänvisa till samtycke, och hur behöver företag formulera samtycket för att det ska gälla?

– Det här är något vi får många frågor om. För småföretag blir det viktigt att lära av det vi kommer fram till, säger Karin Lönnheden.

Kolla att ditt företag uppfyller de krav som GDPR ställer. Ladda ner följande guide med komplett checklista:

Last ned

GDPR