GDPR er en stor del av hverdagen for oss som jobber digitalt. For mange fremstår det som litt ukjent og skummelt, men her er noen tips for hva du minimum bør ha på plass for å sove bedre om natten. Følg disse rådene i starten, så blir det enklere å vokse uten bekymringer!
1. Kartlegg hvor du har kundedata
Et av kravene etter GDPR er å vite hvor du lagrer data. I større bedrifter har de en omfattende “Behandlingsprotokoll”, dette kan du lage selv i excel eller Google Docs. Start med å liste opp alle systemer og tjenester du har, så markerer du alle som får fatt på kundedata. Dette inkluderer for eksempel Leverandører som Shopify for nettbutikken, Stripe for betaling og eventuelt andre som må ha data underveis. Ikke glem regnskapssystemet eller regnskapsføreren din!
Når du har listen går du igjennom og skriver hvilken data disse har, hvilket behandlingsgrunnlag du har og lenker til Databehandleravtaler med leverandørene. Om noe mangler eller du er usikker legger du dette til listen over ting du må se på.
Et enkelt eksempel finner du her: Enkel Oversikt GDPR. (Google Sheets)
2. Ha en personvernerklæring
Personvernerklæringen skal beskrive hva og hvordan du behandler persondata. Dette er del av kravene til åpenhet og ærlighet om behandling av persondata. Husk at denne skal beskrive alt av behandling, så om du finner en du liker godt, så må du fortsatt skrive den så den passer din nettbutikk. Ofte er det enklest å skrive en fra bunnen og ikke kopiere selv om det nok er vanligst. Det viktigste er at du er ærlig om hva og hvordan du behandler persondata. Husk; hastverk er lastverk.
3. Popup og cookies
Det er dessverre slik at dersom du bruker cookies eller lignende løsninger for annonsering eller sporing, da må du også ha en popup på siden din. Kravene til disse tolkes svært ulikt da det ikke har vært noen tydelige retningslinjer ennå. Det vi vet med sikkerhet er at dersom den besøkende lukker den, så betyr ikke det at han eller hun har avgitt samtykke. Den besøkende skal kunne la være å si ja til sporing og annonsering og fortsatt kunne handle på nettbutikken din. Vi anbefaler også at løsningen du velger for popup støtter Google Consent Mode.
Selv om den besøkende sier nei og du ikke kan annonsere til de; husk at det aller viktigste er at de handler når de er på siden din!
4. Ha gode rutiner
Det er mange krav i GDPR, men mye handler om å ha gode rutiner. Som en mindre nettbutikk kan det være overveldende å få alt på plass samtidig, start derfor med å skrive rutinene minimum når situasjoner oppstår. I forkant kan du forberede dette med å skrive rutine for hva som skjer om en kunde ber om å få se sin data. I dette tilfellet skal du samle sammen alt du har av kundedata i de ulike kanalene og la kunden få tak i denne dataen på en kryptert måte.
Denne øvelsen er god å gjøre da du får sett at alle systemer er med i behandlingsprotokollen og du får oversikt over alt av data du behandler. Gjør dette en fast dag i halvåret, så har du også etablert en rutine for kontroll!
5. Be om hjelp i tide
Når nettbutikken vokser kommer du raskt til punktet hvor du trenger mer organisert gjennomgang. Ikke utsett GDPR for lenge, bøtene vokser dessverre, og det meste handler om å ha kontroll i forkant. Datatilsyn i flere land samarbeider godt, om du ikke finner gode svar på de norske sidene kan vi anbefale det Danske Datatilsynet. Danskene har en fin skablon, eller mal som vi kaller det for Databehandleravtale.
Det Norske Datatilsynet har en fin guide til samtykker også.
Sist, men ikke minst. Vårt beste tips er å starte å samle samtykker med en gang, e-post, sms og digital annonsering er de vanligste vi ser på norske nettsider, det er nok et godt sted å starte!