📋 Tips
Av · · 5 min lesing

GDPR for små bedrifter: minimumskravene du faktisk må følge

GDPR høres komplisert ut, men for de fleste små norske bedrifter er kravene overkommelige. Her er det du faktisk må ha på plass, uten konsulent-skremsler.

Hva GDPR faktisk krever av deg

Hånd som skriver notater i notatbok med GDPR-sjekkliste på skrivebord

Personvernforordningen (GDPR) gjelder alle bedrifter som behandler personopplysninger. Det inkluderer deg hvis du har ansatte, kunder, eller et kontaktskjema på nettsiden. Men kravsettene varierer enormt basert på hva du faktisk gjør.

Datatilsynet skiller mellom tre nivåer: grunnleggende krav (alle), utvidede krav (større virksomheter eller særlige risikoer), og ekstra dokumentasjon (offentlige organer og spesialiserte behandlinger). De aller fleste norske SMB-er havner i første kategori.

De fire grunnleggende dokumentene

Hvis du driver en vanlig liten bedrift uten spesielt sensitive data, trenger du fire ting:

1. Personvernerklæring. En offentlig tekst på nettsiden din som forklarer hvilke opplysninger du samler inn, hvorfor, og hvor lenge du lagrer dem. Mal finnes gratis på datatilsynet.no. Skriv den selv, tilpass til din faktiske databruk, publiser den synlig.

2. Oversikt over behandlingsaktiviteter. Et internt dokument (Excel holder fint) som lister opp alle steder du behandler persondata. Navn på ansatte, kunderegistre, faktureringssystem, e-postlister, rekrutteringsprosesser. Én linje pr. aktivitet, inkludert formål og lagringstid. Dette er ikke en juridisk avhandling, det er et arbeidsark.

3. Databehandleravtaler. Hvis du bruker eksterne leverandører som får tilgang til persondata på dine vegne (regnskapsfører, CRM-system, e-postleverandør), må du ha en skriftlig avtale med dem om hvordan de skal håndtere dataene. De fleste seriøse leverandører har standard DPA-er klare til signering. Be om dem.

4. Rutine for bruddmelding. Et A4-ark som beskriver hva dere gjør hvis noe går galt. Hvem varsler Datatilsynet? Innen hvilken frist? (Svaret er 72 timer etter at dere oppdaget bruddet.) Hvem varsler berørte personer hvis det er høy risiko? Lag dette før det skjer, ikke underveis.

Hva du IKKE trenger (med mindre du faktisk gjør det)

Konsulenter selger ofte løsninger på problemer du ikke har. Her er ting som ikke gjelder de fleste små bedrifter:

Personvernombud (DPO). Kun påkrevd for offentlige myndigheter, eller hvis du systematisk overvåker folk i stor skala, eller behandler store mengder sensitive opplysninger (helse, religion, straffesaker). En rørleggerbedrift med 8 ansatte trenger ikke DPO.

Konsekvensutredning (DPIA). Kun påkrevd hvis behandlingen medfører høy risiko for folks rettigheter, typisk ny teknologi, automatiserte avgjørelser med stor påvirkning, eller storskalasystematisk overvåking. Vanlig kundebehandling kvalifiserer ikke.

Sertifiseringer og ekstern revisjon. Ingenting i GDPR krever at du ansetter konsulenter eller får stempel fra tredjeparter. Datatilsynet sjekker dokumentasjonen din hvis de kommer på inspeksjon, men det skjer sjelden uten konkret grunn.

De vanligste feilene (og hvordan du unngår dem)

Datatilsynet publiserer årlige oversikter over hva de faktisk slår ned på. Her er SMB-fallgruvene:

Manglende sletting. Du samler inn CV-er fra jobbsøkere, men sletter dem aldri. Du beholder kundedata i ti år «i tilfelle». GDPR krever at du sletter personopplysninger når du ikke lenger trenger dem til det opprinnelige formålet. Sett konkrete frister i behandlingsoversikten din.

Usikre systemer uten databehandleravtale. Du bruker et CRM-system du fant på nettet, men har aldri sjekket hvor serverne står eller om leverandøren har sikkerhet på plass. Eller du har gitt regnskapsføreren tilgang til alt uten skriftlig avtale. Fiks dette nå, be om DPA, og hvis de ikke kan levere, bytt leverandør.

Ingen respons på innsyn. En kunde ber om kopi av alle opplysninger du har om dem. Du ignorerer henvendelsen, eller sender et ufullstendig svar tre måneder senere. Fristen er én måned. Lag en prosedyre for dette, hvem svarer, hvor finner dere dataene, hvilken sjekkliste bruker dere?

Hva Sentinel faktisk hjelper med (og hva vi ikke gjør)

Vi er ikke et konsulentfirma, og vi skriver ikke personvernerklæringer for deg. Men vi hjelper deg med én spesifikk GDPR-risiko: eksponerte e-postadresser i datalekkasjer.

Hvis en ansatt eller kundes e-post dukker opp i en ny lekkasje, kan det utløse meldeplikt til Datatilsynet, særlig hvis passordet også er kompromittert og kan brukes til å aksessere bedriftssystemer. Med Sentinel PLUSS får du daglig e-postovervåkning mot Have I Been Pwned, slik at du får beskjed innen timer etter at en ny lekkasje publiseres.

Det løser ikke hele GDPR, men det dekker ett viktig hakkpunkt: tidlig varsling. Sjekk e-postene dine på mustvedt.net/sentinel/#/tools/mailscan, eller sett opp kontinuerlig overvåkning hvis du vil ha automatisk alarm.

Hvor du lærer mer (offisielle kilder)

Datatilsynet har overraskende gode ressurser for små bedrifter. Gå til datatilsynet.no og søk etter «veileder for små virksomheter». Der finner du maler, sjekklister og vanlige spørsmål skrevet i klartekst.

NSM (Nasjonal sikkerhetsmyndighet) har også gode grunnleggende sikkerhetstips på nsm.no, inkludert råd om passordrutiner og tofaktorautentisering, ting som indirekte styrker GDPR-etterlevelsen din.

Hvis du trenger juridisk veiledning om en spesifikk situasjon, ta kontakt med Datatilsynet direkte. De svarer faktisk, og de skremmer ikke SMB-er unødig.

Relaterte artikler

📊
Analyse
Bare 8 % av ledere ser cyberangrep som en samfunnsrisiko
🎣
Phishing
Phishing omgår SMS-koden din: slik fungerer AiTM-angrep
🕵️
Tips
Stealer-logger: angrepet du sannsynligvis ikke har hørt om
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn