Er du en oppstartsvirksomhet?

Vi skjønner du har nok annet å tenke på enn personvern. Det er likevel lurt å tenke på personvern tidlig, fordi det ofte er enklere å bygge inn fra start. Skal du ha investorer inn, er det også fint å kunne svare for seg. Ved salg av virksomheten kan manglende personvern bli sett på som en risiko, som igjen kan føre til at kjøpesummen blir redusert eller at garantier må stilles fra selgers side, om personvernet ikke er i orden.

Her er tre trinn vi anbefaler å begynne med:

1. Gi én person ansvaret for personvern (selv om flere må hjelpe til).

2. Gi den ansvarlige personen grunnopplæring (eksempelvis ekurs, webinar, lesestoff eller advokatråd).

3. Få på plass basisdokumentene:

Når du har gjort dette, kan du puste roligere. Da bør du tenke på dette:

1. Betyr behandlingen høy risiko for personvernet? Om ja, så må du vurdere personvernkonsekvenser (DPIA). 

2. Om du fant ut at du overfører persondata ut av EØS, sørg for å at overføringsgrunnlaget er på plass.

3. Begynn å planlegge et internkontrollsystem - en plan med ansvarlige, rutiner osv. 

4. Legg inn personvern som tema i årshjulet til styret. Personvernansvarlig bør avgi rapport minst to ganger i året.

Alt hva du gjør må etter personvernforordeningen (GDPR) dokumenteres. 

Når du har kommet hit, er du nesten på hvilepuls. Tiden er nå inne for å fortsette med disse punktene, gjerne lagt ut i en årsplan:

1. Klargjør og oppdater internkontrollsystemet. Ta de viktigste rutinene først. 

2. Vurdere om du må ha personvernombud. 

3. Vurdere cyberforsikring, som dekker mye risiko ifht. personvern og dataangrep.

Lurer du på noe av dette, eller vil ha hjelp, ta kontakt med oss.