5 tegn på at bedriften IKKE er GDPR compliant

5 tegn på at bedriften IKKE er GDPR compliant
Tror du at din bedrift er GDPR godkjent? Det er ikke sikkert.

Vi er snart ferdig med første måned av 2019 allerede. Tiden går fort og bedriftene burde allerede være godt i gang med å tilpasse seg det ny GDPR lovverket. Har ikke bedriften iverksatt noen tiltak enda, er nok sannsynligheten stor at for du ikke er GDPR compliant. Forhåpentligvis har de fleste bedrifter allerede startet på arbeidet. Vi vet av erfaring at mange likevel ikke er GDPR compliant selv om de tror det selv. Her er 5 tegn på at tiltakene ikke er tilstrekkelige og det trengs ytterligere iverksetting for å møte kravene.

1. Bedriften benytter en Cookie-robot tjeneste.

Å ha en informasjonskapsel-erklæring på nettsiden er obligatorisk fra 2019. Det enkleste er å bruke en Cookie-robot som genererer all nødvendig informasjon kontinuerlig og innhenter nødvendig godkjenning fra forbrukeren. Mange benytter det nettopp fordi man slipper å sette seg særlig inn i det – og det fungerer effektivt. Likevel kan slike automatiske oppsett gjøre at bedriften ikke er compliant. Problemet dukker opp dersom man bruker en robot som ikke gir forbrukeren et valg. Kun en «OK» knapp eller informasjonskapelser tilknyttet markedsføring er forhåndssamtykket er ikke helt ryddig.

Slik bør det se ut, hvor punktene egenskaper og statistikk kan være avhuket på forhånd mens markedsføring manuelt må godkjennes av forbruker.

2. Bedriften har skrevet «Vi bruker informasjonskapsler» på nettsiden

And that’s it. Dette er langt fra tilstrekkelig. Det hjelper ikke forbrukeren at bedriften vedkjenner bruk. Man skal forklare hvilke eksakte cookies som brukes og til hvilket formål. Vår GDPR konsulent ser alt for ofte tilfeller hvor bedrifter ikke har en egen side for cookies, men enkelt nok bare skriver at de benytter cookies. En tommelfinger-regel er at man bør ha en egen side for dette – og sider som har mindre enn 10 beskrivende setninger er sjeldent tilstrekkelig.

3. GDPR tiltakene dere har iverksatt er personvernerklæring og en Cookies side.

Vet bedriften egentlig hva som står i personvernerklæringen? Den (burde ihvertfall) inneholde en strategi for hvordan personlig data blir behandlet og systematisk slettet fra interne systemer. Husk at det ikke holder å bare ha en personvern- og cookies side på nettsiden om det som står der hverken er sant eller blir systematisk fulgt opp. Dere bør iverksette en strukturert og oversiktlig rutineplan for hvordan all data behandles, innhentet fra kontaktskjemaer, e-post og informasjon fra Google Analytics etc. Det må også dokumenteres over tid at dette blir fulgt og at all personlig data som ikke er under behandling skal være borte fra databasen etter en viss tid.

cookies gdpr personvern hjelp

4. Ingen i bedriften har fått hovedansvar for GDPR. 

Vet du og de andre ansatte hvem som har ansvar for GDPR i din bedrift? Er det noen som har fått offisielt tildelt ansvarsområdet? Visst ikke er det et tegn på at bedriften ikke er GDPR compliant og at rutinene knyttet til GDPR ikke blir fulgt systematisk og dokumentert godt nok. Kommer datatilsynet på besøk, er det en stor fordel at man har en ansatt som har fått nødvendig innføring og besitter full oversikt og kontroll.

5. Bedriften har ikke gjennomgått GDPR med alle ansatte. 

Har dere hatt kurs eller offisielt møte angående bedriftens GDPR strategi? Selv om en person har fått ansvaret for dokumentering, kan det oppstå problemer. Sitter hver enkelt ansatt med e-posten full av personlig informasjon? Har ansatte full tilgang til sensitiv data gjennom tredjeparts programmer uten å være klar over reglene? Mange ansatte vet ikke en gang hva GDPR innebærer og det er derfor sterkt anbefalt å holde et 2t kurs så alle ansatte er med på dansen.

Ring oss gjerne gratis i dag for å få veiledning og en oppfølgingsplan til din bedrift – så kan dere være trygg på at GDPR er ivaretatt.

Lukk meny