Kommer du ihåg var du var den 25 maj 2018? Nej? Det var dagen då den allmänna dataskyddsförordningen (GDPR) trädde i kraft. Det var en vanlig arbetsdag och himlen föll inte, som många förutspått att den skulle kunna. Verkligen fortsatte arbetet som vanligt och alla företag gick in i eran efter GDPR. Vissa var förberedda, andra inte, och många var, och är fortfarande, mycket omedvetna om vad GDPR är eller hur man följer dem.
Fundera på om du vill riskera att inte följa GDPR och/eller ta fram en plan för anpassning. För att hjälpa dig att bestämma ditt tillvägagångssätt framåt, överväg följande:
Att bli GDPR-kompatibelt behöver inte vara en skrämmande uppgift. Men om du är ett litet företag kan det ta en hel del tid. Mitt råd är att skapa en plan för att bli kompatibel och arbeta efter det över tid. Här är vad du bör inkludera:
Du måste förstå att personuppgifter enligt GDPR betyder namn, adress, e-postadress, bank- eller kreditkortsuppgifter, foton och till och med IP-adresser. Om du samlar in information om besökare på din webbplats som pekar direkt tillbaka till en specifik användare (t.ex. hälsoinformation, religiösa åsikter, medlemskap i fackförening eller till och med civilstånd för försäkringsrelaterade ändamål) anses det vara känsliga uppgifter. Känsliga uppgifter kräver en annan och mer betydelsefull hantering än bara personuppgifter.
GDPR hindrar dig inte från att samla in eller behålla personuppgifter. Det kräver att du har ett legitimt skäl för att göra det eller att du får samtycke från användaren innan du hämtar det. Berättigade skäl kan vara att upprätthålla ett avtalsförhållande eller skapa förmågan att serva eller marknadsföra relaterade produkter till kunden i framtiden. Om du inte kan göra den länken, se efter att få samtycke från användaren för mycket specifika syften och dokumentera det samtycket.
Även som ett litet företag måste du tänka på dina prospekt- och kunddata. Hur ska du skydda den? Kommer du att kunna meddela individer och myndigheter inom 72 timmar om deras data bryts?
GDPR säger specifikt att användaren äger data som handlar om dem. Fundera på om du kan ge användare tillgång till deras information inom en månads tidsram? Användare har rätt att få tillgång till sina uppgifter, korrigera om de är felaktiga och få dig att radera den om de inte längre vill att du ska behålla den. I vissa fall kan du ha rätt till förlängning på enmånadsklockan. En förlängning är endast upp till 90 dagar och måste falla under en speciell och motiverad omständighet.
En dataskyddsombud är ett dataskyddsombud. De flesta småföretag behöver inte en, men GDPR kräver att du har en om dina kärnaktiviteter kräver regelbunden och systematisk övervakning av individer i stor skala; din kärnverksamhet består av att behandla särskilda uppgifter, eller information om brottsdomar. Om du är ett mycket litet företag och inte bearbetar stora mängder data behöver du inte ha en DPO.
Ta en tillbakablick över din integritetspolicy och användarvillkor för dina digitala produkter och tjänster (inklusive din webbplats.) Förhoppningsvis har du redan dessa på plats; om inte är det dags att få ordning på dem. Med GDPR vill du ändra meddelandena för att på ett enkelt språk förklara hur användarinformation samlas in, hanteras och används.
För att bli GDPR-kompatibel måste du se till att dina partners också är GDPR-kompatibla. För småföretag kan detta vara en tidsinvestering. Om du använder programvara eller tjänster baserade i molnet, är chansen stor att de redan har tagit ställning till GDPR och kanske till och med har ändrat ditt avtal för att återspegla den tillhandahållande organisationens efterlevnad. Kontakta först för att kontrollera detta, och om dina partners inte är det, överväg att skriva ett nytt avtal inklusive en begäran om efterlevnad av GDPR.
För ett litet företag som gör affärer med dem i EU kommer den största frågan upp kring överföringen av data till USA. Tyvärr anser inte EU att USA har tillräckliga säkerhetskontroller för att skydda en enskild användares onlinerättigheter. Den goda nyheten är att om du är ett litet företag använder du sannolikt tjänster i molnet, och många av dem har blivit GDPR-kompatibla. För de som inte har det kan det vara vettigt att flytta ditt värd eller lagring till en EU-baserad molnlösning. Annars måste du vidta åtgärder för att säkerställa att EU-användardata krypteras, överförs och lagras till en högre grad av säkerhet och att du har validerat den nivån av efterlevnad.
GDPR kan verkligen verka skrämmande och skrämmande för ett litet företag (inklusive mig!). Med de nya dataskyddsreglerna på plats kan ditt företag få böter på upp till 2 % av din årliga inkomst eller 10 miljoner euro (ungefär 11,6 miljoner USD) beroende på vilket som är högst. För persondataintrång stiger det till 4 % av intäkterna eller 20 miljoner euro (23 miljoner USD.) Men det finns också en konkurrensfördel med att anpassa sig till GDPR!
Även om det är lätt för oss alla att se GDPR som en börda, är det något som kan användas till din fördel och tillföra värde till ditt företag. När du ger potentiella kunder/kunder en GDPR-kompatibel verksamhet bygger du förtroende. Och i verkligheten gillar ingen att få sina data förlorade, stulna, skadade, missbrukade eller delade utan korrekt samtycke. Att veta att du är GDPR-kompatibel betyder att du respekterar och skyddar dina kunders data och visar ett högre värde för dina kunder. Detta kommer att uppskattas och lönar sig nu, såväl som på vägen.