Kommer du ihåg var du var den 25 maj 2018? Nej? Det var dagen då den allmänna dataskyddsförordningen (GDPR) trädde i kraft. Det var en vanlig arbetsdag och himlen föll inte, som många förutspått att den skulle kunna. Verkligen fortsatte arbetet som vanligt och alla företag gick in i eran efter GDPR. Vissa var förberedda, andra inte, och många var, och är fortfarande, mycket omedvetna om vad GDPR är eller hur man följer dem.

Om du har prospekt eller kunder i Europeiska Unionen (EU) måste du bekanta dig med GDPR.

Fundera på om du vill riskera att inte följa GDPR och/eller ta fram en plan för anpassning. För att hjälpa dig att bestämma ditt tillvägagångssätt framåt, överväg följande:

1. GDPR gäller för alla organisationer (även om du är enskild firma), stora, medelstora och små, oavsett sektor eller bransch. Om du har någon verksamhet eller marknadsföring i EU måste du enligt lag uppfylla kraven.
2. Om du inte har kunder i EU, men du behandlar information för ett företag som har det, gäller GDPR fortfarande för dig.
3. Föreskriften är inte avsedd att plåga företag. Faktum är att lagen ska ge medborgare och invånare mer kontroll över sina personuppgifter och förenkla reglerna för internationella företag med en enda standard i hela EU. Just nu känns det bara överväldigande för många av oss som inte historiskt har blivit ombedda att verka på det här specifika sättet.

Steg för att bli kompatibel

Att bli GDPR-kompatibelt behöver inte vara en skrämmande uppgift. Men om du är ett litet företag kan det ta en hel del tid. Mitt råd är att skapa en plan för att bli kompatibel och arbeta efter det över tid. Här är vad du bör inkludera:

1. Vilken data samlar du in?

Du måste förstå att personuppgifter enligt GDPR betyder namn, adress, e-postadress, bank- eller kreditkortsuppgifter, foton och till och med IP-adresser. Om du samlar in information om besökare på din webbplats som pekar direkt tillbaka till en specifik användare (t.ex. hälsoinformation, religiösa åsikter, medlemskap i fackförening eller till och med civilstånd för försäkringsrelaterade ändamål) anses det vara känsliga uppgifter. Känsliga uppgifter kräver en annan och mer betydelsefull hantering än bara personuppgifter.

2. Har du ett giltigt skäl eller samtycke till att samla in dessa uppgifter?

GDPR hindrar dig inte från att samla in eller behålla personuppgifter. Det kräver att du har ett legitimt skäl för att göra det eller att du får samtycke från användaren innan du hämtar det. Berättigade skäl kan vara att upprätthålla ett avtalsförhållande eller skapa förmågan att serva eller marknadsföra relaterade produkter till kunden i framtiden. Om du inte kan göra den länken, se efter att få samtycke från användaren för mycket specifika syften och dokumentera det samtycket.

3. Vilka är dina säkerhetsåtgärder eller policyer?

Även som ett litet företag måste du tänka på dina prospekt- och kunddata. Hur ska du skydda den? Kommer du att kunna meddela individer och myndigheter inom 72 timmar om deras data bryts?

4. Hur kommer du att ge potentiella kunder/kunder tillgång till deras data?

GDPR säger specifikt att användaren äger data som handlar om dem. Fundera på om du kan ge användare tillgång till deras information inom en månads tidsram? Användare har rätt att få tillgång till sina uppgifter, korrigera om de är felaktiga och få dig att radera den om de inte längre vill att du ska behålla den. I vissa fall kan du ha rätt till förlängning på enmånadsklockan. En förlängning är endast upp till 90 dagar och måste falla under en speciell och motiverad omständighet.

5. Behöver du ha en DPO?

En dataskyddsombud är ett dataskyddsombud. De flesta småföretag behöver inte en, men GDPR kräver att du har en om dina kärnaktiviteter kräver regelbunden och systematisk övervakning av individer i stor skala; din kärnverksamhet består av att behandla särskilda uppgifter, eller information om brottsdomar. Om du är ett mycket litet företag och inte bearbetar stora mängder data behöver du inte ha en DPO.

6. Vad står det i dina meddelanden?

Ta en tillbakablick över din integritetspolicy och användarvillkor för dina digitala produkter och tjänster (inklusive din webbplats.) Förhoppningsvis har du redan dessa på plats; om inte är det dags att få ordning på dem. Med GDPR vill du ändra meddelandena för att på ett enkelt språk förklara hur användarinformation samlas in, hanteras och används.

7. Vad gör dina partners?

För att bli GDPR-kompatibel måste du se till att dina partners också är GDPR-kompatibla. För småföretag kan detta vara en tidsinvestering. Om du använder programvara eller tjänster baserade i molnet, är chansen stor att de redan har tagit ställning till GDPR och kanske till och med har ändrat ditt avtal för att återspegla den tillhandahållande organisationens efterlevnad. Kontakta först för att kontrollera detta, och om dina partners inte är det, överväg att skriva ett nytt avtal inklusive en begäran om efterlevnad av GDPR.

8. Var lagrar eller behandlar du data?

För ett litet företag som gör affärer med dem i EU kommer den största frågan upp kring överföringen av data till USA. Tyvärr anser inte EU att USA har tillräckliga säkerhetskontroller för att skydda en enskild användares onlinerättigheter. Den goda nyheten är att om du är ett litet företag använder du sannolikt tjänster i molnet, och många av dem har blivit GDPR-kompatibla. För de som inte har det kan det vara vettigt att flytta ditt värd eller lagring till en EU-baserad molnlösning. Annars måste du vidta åtgärder för att säkerställa att EU-användardata krypteras, överförs och lagras till en högre grad av säkerhet och att du har validerat den nivån av efterlevnad.

Hoppa över till den goda delen av GDPR!

GDPR kan verkligen verka skrämmande och skrämmande för ett litet företag (inklusive mig!). Med de nya dataskyddsreglerna på plats kan ditt företag få böter på upp till 2 % av din årliga inkomst eller 10 miljoner euro (ungefär 11,6 miljoner USD) beroende på vilket som är högst. För persondataintrång stiger det till 4 % av intäkterna eller 20 miljoner euro (23 miljoner USD.) Men det finns också en konkurrensfördel med att anpassa sig till GDPR!

Även om det är lätt för oss alla att se GDPR som en börda, är det något som kan användas till din fördel och tillföra värde till ditt företag. När du ger potentiella kunder/kunder en GDPR-kompatibel verksamhet bygger du förtroende. Och i verkligheten gillar ingen att få sina data förlorade, stulna, skadade, missbrukade eller delade utan korrekt samtycke. Att veta att du är GDPR-kompatibel betyder att du respekterar och skyddar dina kunders data och visar ett högre värde för dina kunder. Detta kommer att uppskattas och lönar sig nu, såväl som på vägen.