Siden 2018 har GDPR fået små og mellemstore virksomheder til at skælve. Der cirkulerer historier om bøder på 20 millioner euro, og disse paralyserer små virksomhedsledere, som siger "jeg er færdig, jeg er ikke i overensstemmelse".
Virkeligheden er enklere. CNIL har aldrig sanktioneret en lille virksomhed, der gør en rimelig indsats for at overholde reglerne. Den går efter tech-giganter, virksomheder, der sælger personlige data, og tilbagefaldende overtrædere. Ikke efter rørmesteren, der har en Excel-fil med kundelister.
Det fritager dig ikke for at gøre din del. Men indsatsomfanget er fuldstændig håndterbart.
De 5 handlinger, der dækker 80% af dine forpligtelser
Handling 1: behandlingsregistret (grundlaget)
Det er GDPR's centrale dokument. Det viser listen over personlige data, du indsamler, hvorfor, og hvor længe du gemmer dem.
For en typisk lille virksomhed fylder det en side:
| Behandling | Indsamlede data | Formål | Opbevaringsvarighed |
|---|---|---|---|
| Kundeliste | Navn, e-mail, telefon, adresse | Kommerciel ledelse | 3 år efter sidste kontakt |
| Regnskab | Navn, adresse, fakturanummer | Juridisk forpligtelse | 10 år |
| Løn (hvis medarbejdere) | Personlige oplysninger, CPR-nr., bankkontonummer | Lønhåndtering | 5 år efter afgang |
| Websted | Cookies, IP, kontaktformular | Marketing, analytics | 13 måneder (cookies), 3 år (formular) |
| Nyhedsbrev | Kommunikation | Indtil afmelding |
CNIL tilbyder en gratis skabelon på sit websted. Udfyld det på 30 minutter og opdater det en gang om året.
Handling 2: information til personer
Du skal informere de personer, hvis data du indsamler. I praksis:
-
På dit websted: en side "Privatlivspolitik" (eller "Databeskyttelse"), der er tilgængelig fra sidefoden. Beskriv på simpelt sprog, hvilke data du indsamler, hvorfor, hvor længe du gemmer dem, og hvordan man kan udøve sine rettigheder.
-
I dine formularer: en sætning under hver kontaktformular: "De indsamlede data bruges til at besvare dit spørgsmål. Du kan udøve dine rettigheder ved at kontakte os på [e-mail]. Se vores privatlivspolitik."
-
For dine medarbejdere: et dokument, der overleveres ved ansættelsen, som viser de data, der indsamles i forbindelse med arbejdsforholdet.
Handling 3: cookiestyring
Hvis dit websted bruger audience-målings-cookies (Google Analytics, Matomo) eller reklame-cookies, skal du få eksplicit samtykke fra besøgende FØR disse cookies placeres.
Handlingen: installer et cookiebanner, der er i overensstemmelse. Gratis løsninger som Tarteaucitron.js eller Cookiebot (gratis op til 100 sider) klarer jobbet.
Undtagelse: cookies, der er strengt nødvendige for webstedets funktion (godkendelse, indkøbsvogn), kræver ikke samtykke.
Alternativ: brug Matomo i "samtykkefritaget"-konfiguration (CNIL-erklæring). Du bevarer dine analytics uden cookiebanner.
Handling 4: datasikkerhed
GDPR kræver, at personlige data beskyttes med "passende tekniske og organisatoriske foranstaltninger". For en lille virksomhed betyder det:
- Stærke og unikke adgangskoder (se cybersikkerhedsartiklen)
- Sikkerhedsopdateringer anvendt
- Regelmæssige sikkerhedskopier
- Begrænset adgang til data (ikke alle har adgang til alt)
- Kryptering af bærbare computere
Det er ikke mere og ikke mindre end de gode cybersikkerhedspraksis, som du burde anvende alligevel.
Handling 5: styring af personers rettigheder
GDPR giver personer rettigheder over deres data: adgang, berigtigelse, sletning, portabilitet. I praksis modtager små virksomheder meget få anmodninger af denne type.
Handlingen: udpeg en kontaktperson (dig selv eller en kollega) og en e-mailadresse (fx data@ditfirmanavn.dk). Når en anmodning kommer, svar inden for en måned. Det er alt.
Det som kan vente
DPO'en (databeskyttelsesansvarlig) — obligatorisk kun for virksomheder, der behandler data i stor skala eller følsomme data. En lille virksomhed med 5 personer har ikke brug for en DPO.
Konsekvensanalyse (DPIA) — obligatorisk kun for behandlinger med høj risiko (videovejning i stor skala, systematisk profilering, sundhedsdata). Din tømrers kundeliste er ikke en behandling med høj risiko.
GDPR-certificering — ingen certificering er obligatorisk. Virksomheder, der sælger dig "GDPR-certifikationer", udnytter frygten. Overholdelse er en kontinuerlig proces, ikke et label.
I tilfælde af databrud
Hvis personlige data læker (hackerangreb, tabt USB-nøgle, e-mail sendt til forkert modtager), har du 72 timer til at anmelde det til CNIL, hvis bruddet udgør en risiko for personer.
Anmeldelsesformularen er tilgængelig på CNIL's websted. Udfyld det ærligt: hvad der skete, hvor mange personer der er berørt, hvilke foranstaltninger du har truffet.
CNIL er mere imødekommende over for en virksomhed, der anmelder hurtigt, end over for en virksomhed, der skjuler hændelsen.
GDPR er ikke et bureaucratisk monstrum for små virksomheder. Det er en ramme med sund fornuft: beskyt dine kunders data, som du gerne ville have dine egne beskyttet.