GDPR

GDPR (General Data Protection Regulation) er EU's databeskyttelsesforordning, der siden 2018 har fastsat, hvordan virksomheder må indsamle, opbevare og bruge personoplysninger om kunder, medarbejdere og leverandører. Kort sagt: alt fra en e-mailadresse til et CPR-nummer er persondata, og du skal kunne svare på, hvorfor du har det, hvor det ligger, og hvornår det slettes igen.

Bøderne er reelle — op til 4 % af den globale årsomsætning eller 20 mio. euro, alt efter hvad der er højest. Men for de fleste danske ejerledere handler GDPR mindre om frygt for Datatilsynet og mere om at have styr på en helt almindelig ting: hvilke data ligger hvor, og hvem har adgang.

Det du i praksis skal have på plads

• Overblik over dine data. Hvilke personoplysninger har du, hvor kommer de fra, og hvem deler du dem med? Det er fundamentet for alt det andet.
• Et lovligt grundlag. Du må ikke indsamle data "for en sikkerheds skyld". Der skal være en grund — en aftale, en lovpligt eller et klart samtykke.
• Sikker opbevaring. Kryptering, to-faktor-autentifikation og styr på, hvem der kan se hvad.
• Procedurer for kundernes rettigheder. Folk må bede om indsigt i, rettelse af eller sletning af deres data — og du skal kunne efterkomme det inden for en måned.

Det tunge er sjældent reglerne i sig selv. Det er, at persondata typisk ligger spredt ud over mailindbakker, regneark, et CRM og tre forskellige systemer, der ikke taler sammen. Jo færre steder dine data lever, jo nemmere er GDPR at overholde — og det er ofte her, et ryddet op i systemer og integrationer giver mest mening at starte.