Bomben som detonerer 25. mai 2018

Publisert: Mandag 19. februar 2018

For en stund tilbake var jeg invitert til et seminar om noe du muligens ikke har hørt om før:

GDPR.

«Hva?», sier du?

GDPR.

Du kan like greit lære deg den firebokstavers forkortelsen med en gang, for fra og med nå kommer du til å bruke mye mer tid på det enn du har lyst til.

Så hva er denne bomben som detonerer 25. mai 2018?

GDPR trer i kraft.

Og hva er GDPR?

Det er EUs såkalte «forordning» for personvern, også kalt «The General Data Protection Regulation».

Og hva har GDPR med salongen eller klinikken din å gjøre?

Ganske mye, faktisk. Enten du vil eller ikke, eller du er uenig, syns dette er teit eller unødvendig, så blir det en del av norsk lov ganske snart. Og det betyr at alle norske virksomheter, inkludert salongen eller klinikken din, får nye plikter. Eller sagt med Datatilsynets ord:

  1. Alle norske virksomheter får nye plikter
  2. Alle skal gi god informasjon om hvordan de behandler personopplysninger
  3. Alle skal vurdere risiko og personvernkonsekvenser
  4. Alle skal bygge personvern inn i nye løsninger
  5. Mange virksomheter må opprette personvernombud
  6. Reglene gjelder også virksomheter utenfor Europa
  7. Alle databehandlere får nye plikter
  8. Alle bør samarbeide i egne nettverk og følge bransjenormer
  9. Alle får nye krav til avvikshåndtering
  10. Alle må kunne oppfylle borgernes nye rettigheter

Personvern er viktig, og mange av disse tingene er på mange måter bra fordi de gir borgerne større kontroll over hvilke data som lagres og brukes om dem.

Men for deg som salongeier, eller rettere sagt, alle som driver firma, er dette noe du  forholde deg til. Og dette «noe» er på godt norsk «a huge pain in the ass» å forholde seg til. For det er et gigantisk beist av forvirrende krav og regler. Forholder du deg ikke til det, derimot, og tenker at det ikke er så viktig, kan du bli straffet med 4% av omsetningen din i bøter.

Den gode nyheten er at om du følger dagens regelverk så er det ikke så veldig stor jobb å bli «compliant», som det heter. Den dårlige nyheten er at dersom du ikke vet om du følger dagens lov, eller nesten ikke vet hva personvern er… så har du antakeligvis litt av en jobb foran deg.

Kort sagt må du lage oversikt over hva du håndterer av personopplysninger (all info er personopplysninger i denne sammenhengen), hvem som har tilgang til dem, hvordan du lagrer dem, lage avviksrutiner, og så videre.

Det var ikke meningen å være så kjedelig på en mandag formiddag, men noen ganger kommer det kjedelige ting som bare må håndteres.

Noe som ikke er fullt så kjedelig, er «Boost salongen!»-boka jeg har skrevet for salong- og klinikkeiere.

Den finner du her.

Varm hilsen,

Vegard

P.S. Jeg tror og håper at dette ikke blir så ille som det hørtes ut da karen fra Datatilsynet presenterte, men her er bare ett av mange eksempler han brukte:

Dersom du har gjort et salg og kunden har gjort opp for seg, har du «egentlig» ikke bruk for dataene lenger. Da skal de fjernes. Men i og med at du er pålagt å oppbevare dem for regnskapsføring, og at du må oppbevare dem i 10 år, skal de da i prinsippet gjøres «usynlig» for alt annet enn regnskapsføring (f.eks. alt som har med salg og markedsføring å gjøre) og kun være tilgjengelig for de som driver med regnskap (og i en liten organisasjon er dette gjerne samme person eller personer).

Han ga et par andre slitsomme eksempler og, men for å ikke ødelegge uka helt for deg skal jeg la dem ligge. 😉

I mellomtiden kan du bestille «Boost salongen!»: Skaff den her.

About Vegard Svanberg