Daniel Andersen
04.05.2018
1. Få oversikt over all persondata
For å få oversikt over selskapets utgangspunkt i forhold til GDPR – er det viktig å vite hvor selskapet har persondata. En nettbutikk har kanskje kundedata i nettbutikken, kundeservicesystemet, markedsføringslister og lignende. Husk at en viktig del av GDPR gir forbruker rett til å få vite hvordan deres persondata blir brukt og hvor den ligger – da må man være klar til å svare.
- Lag en oversikt over bedriftens systemer og databaser
- Finn ut hvilke av disse som holder på kundedata
2. Oppdater personvernerklæringen
“I don’t think the average user read full terms of service” sa Mark Zuckerberg i kongresshøringen i lys av persondata skandalen til Facebook.
Mange personvernerklæringer og “terms of service” er kamuflert i tungt avansert språk med vanskelige ord. Dette er en av tingene den nye reguleringen vil få en slutt på. Oppdater personvernerklæringen med riktig informasjon om hvordan dere bruker persondata – på et forståelig språk.
3. Utnevn personvernombud og sett regler
Dersom du behandler persondata i stor grad burde man utnevne et personvernombud.
Et personvernombud er en dedikert person som skal sørge for sikker behandling av persondata og at bedriften følger loven i forhold til dette. Noen av ombudets første oppgaver kan være:
- Få oversikt over bedriftens persondata
- Etabler sikre rutiner og lære opp bedriften – Eksempel: En ansatt sender en Excel-fil med hele kundedatabasen på e-post, dette vil være et eksempel på veldig risikabel og usikker behandling av persondata.
- Varsle eventuelle databrudd – Dersom noen i bedriften lekker persondata, skal de rammede personene varsles av ombudet.
4. Legg til rette for aktivt samtykke
En av tingene som er krystallklart i GDPR er at kunden skal kunne gi aktivt samtykke til markedsføring. Dette vil si at kunden skal kunne si ja eller nei til markedsføring. Det holder ikke lenger å “bake” aksepten til kunden inn i vilkårene og automatisk legge de til i e-postlista når de trykker på “registrer”-knappen. Her er et eksempel på god praksis:
En god tommelfingerregel er at det burde være “et trykk” mot samtykke for å være et aktivt samtykke. Her gjelder det å være kreativ og prøve seg frem, for å få så mange som mulig til å akseptere at du kan sende dem markedsføring.
5. La kunden melde seg ut av markedsføring
En annen sentral del av GDPR er retten til å bli glemt. Sender du ut nyhetsbrev og annet innhold til kundene dine? Sørg for at man enkelt kan melde seg ut, og få stoppet dette til enhver tid. Her er noen eksempler på det:
Nederst i markedsførings-e-poster
“Vil du ikke motta SMS? send STOPP til 2031”
I slutten av markedsførings-SMS
6. Informer kundene om GDPR og dine endringer
Sannsynligheten er stor for at du har gjort store endringer på hvordan bedriften behandler persondata. Informere kundene om tiltakene – da vil man vinne tillit hos sine kunder og vise dem at man tar personvern på alvor.
Oppsummering
I skrivende stund er det 15 dager til GDPR. Hvis du gjør disse 6 tiltakene er din bedrift godt på vei til å være GDPR-kompatibel. Synes du GDPR er vanskelig og vet ikke helt hvordan du skal gå frem? Kontakt oss i dag, vi har satt oss inn i regelverket og har hjulpet flere kunder med å bli klare.
Lykke til!