GDPR og HMS i små bedrifter
Allerede idag har Norge klare regler for personvern og HMS. Problemet er at det ikke har vært så strenge krav for bedrifter med under 5 personer ansatt tidligere. Siden GDPR forutsetter et interkontrollsystem i bedriften, så må også små bedrifter nå lage slike systemer.
Av: Ragnvald Holst-Larsen, Romerike Internett
Er det komplisert å følge reglene?
Dette spørsmålet vil ha ulike svar utifra hva du driver med. Hvis du forsøker å følge god forretningsskikk allerede, så har du ikke så mye problemer.
Hvis du allikevel kjenner disse problemstillingene MÅ du gjøre endringer umiddelbart. Punktene under er ULOVLIGE fra 20.juli 2018
- Du lagrer alt mulig i ditt datasystem om kunder, ansatte - og de ikke kan få innsyn.
- Du forsøker å sende ut eposter til alle mulige personer og firmaer du ikke har et kundeforhold til
- Du oppbevarer eposter og åpne dokumenter med sensitivt innhold
- Du har ikke har noen sikkerhet på ditt nettverk
– Du vet ikke noe om hvordan dine underleverandører tar vare på data for deg ( Web, epost og regnskaps/kundeoppfølgingsystem).
For å unngå bot MÅ du sette igang med GDPR prosessen. Sålenge du kan dokumentere at du er igang med en digital logg så vil datatilsynet kunne godta din somling litt til.
Vi har laget et årshjul slik at du gjør litt hver måned: http://gdpr.pvern.no/arshjul-gdpr-arbeidet-23307s.html
GDPR krever et internkontrollsystem, og vi har laget et for deg på https://gdpr.pvern.no
Med dette får du en egen nettside hvor du samler alt knyttet til internkontrollsystemet.
Du må starte med å finne ut om de ulike delene av HMS i bedriften din har et godt system for å bli fulgt opp. Hvis du allerede nå har personalmøter, medarbeidersamtaler, årlig gjennomgang av elektrisk system og annet teknisk utstyr - OG i tillegg tar brann og helseutfordringer på alvor i bedriften - ja da er det mer spørsmål om å skrive dette ned i dokumenter.
Husk at alle ledere i bedrifter må ha HMS-kurs. Eneste unntak nå er om du er eneste person i ditt enkeltmannsforetak.
Det som er viktig, er at avvik håndteres på en god måte. Når en av dine ansatte gir beskjed om at en røkvarsler ikke virker, så er det et avvik. Dette avviket bør ikke bare inn i handlingsplanen, men det bør følges opp omgående med å bestille elektriker. Avik må registreres i et system og et slikt system får du med i årsabbonementet til 950 kr pr år.
På samme måte kan et avvik være at du ser at flere ansatte sliter med rygg og nakkeproblemer etter å ha brukt mye tid foran pc'n. Dette er et avvik som også skal inn i en handlingsplan, men du har da mer tid til å analysere problemet - finne løsninger - diskutere med de tillitsvalgte - og så iverksette løsningne.
Noen ganger kan en løsning på et avvik være å lage en rutine i bedriften. Alt dette blir et godt internkontrollsystem - og hele systemet skal gjennomgås hvert år.
Det som er det nye nå, er at også all info om personopplysninger og oppbevaring av disse - samt alt av databehandling - skal dokumenteres i internkontrollsystemet. Det skal lages rutiner for å hjelpe kunder til å få se sin informasjon - og for å kunne slette informasjon. Du er også pliktig til å ha avtaler med alle de som oppbevarer data for deg.
Romerike Internett ønsker å gi enkel og grei informasjon til vanlige bedrifter om det nye regelverket for GDPR. Vi tror det er viktig å begynne med det mest grunnleggende for så å gå videre på de større utfordringene etter hvert. Du kan abonnere på vår GDPR-tjeneste som gir deg informasjon og tips, se lenke lenger ned.
GDPR bygger på HMS-arbeidet i bedriften din. Vi tror at dere som er i vanlige bedrifter kan begynne med å gå igjennom HMS systemet - og at dere på den måten kan komme langt i arbeidet med å forberede bedriften på det nye regelverket.
Alle bedrifter bør gjennomføre disse grepene ved HMS og GDPR
1: Få oversikt over alle personopplysninger som ditt firma har. Har du notert ting i personalmapper eller i kundeoppfølgingssystemet som du ikke kan gi innsyn i? Stort sett så dreier reglene seg om vanlig sunn fornuft, men noen krav er strenge: Det er ikke lov å oppbevare sensitive opplysninger om f.eks. helse, religion eller legning. Mer info fra Datatilsynet.
2: Lag en risikoanalyse og handlingsplan for oppbevaring av data og andre opplysninger i bedriften. Mer info fra Datatilsynet.
3: Finn ut hvem som er behandlingsansvarlig, og eventuelle databehandlere og
underleverandører. Det må inngås databehandleravtaler, og underleverandører skal
godkjennes av behandlingsansvarlig. Mer info fra Datatilsynet.
Her er det grunnleggende du allerede skulle hatt på plass
1: En perm med internkontrollsystem, GDPR dokumenter og HMS
2: En handlingsplan for HMS/ sikkerhetsarbeidet i bedriften din
3: Risikoanalyser og gjennomgang av HMS systemet hvert år
4: Bedrifter med mange ansatte skal også ha verneombud, AMU utvalg og flere andre krav - men vi antar at disse større bedriftene også allerede har kommet langt i GDPR arbeidet.
Bestill et abbonement hvis du trenger hjelp !
Få mer GDPR-hjelp
Ta kontakt med Ragnvald Holst-Larsen på info@romerike.com for mer informasjon eller for å avtale et telefonmøte. Se vår GDPR-tjeneste her.