GDPR for mellomstore selskaper: Hvorfor det ikke holder å “krysse av boksen” i 2018

‍

‍De fleste mellomstore selskaper gjorde noe med GDPR i 2018.

‍
De utpekte en personvernkontakt, oppdaterte personvernerklæringen, sendte en samtykke-epost — og anså det som ferdig.

‍

Seks år senere viser håndhevingsdata et annet bilde. Bøter er ikke lenger forbeholdt store selskaper. Datatilsynet og tilsvarende europeiske tilsyn undersøker nå i økende grad mellomstore selskaper.

‍

Det vanligste funnet er ikke at selskaper ignorerer GDPR — men at de gjennomførte et engangsprosjekt uten å bygge den løpende styringen regelverket faktisk krever.

‍

Her er hva mellomstore selskaper må revurdere.  

Hvorfor GDPR nå er et problem for mellomstore selskaper

‍

Tre ting har endret seg siden 2018:

Håndhevingen har modnet

‍

Tilsynsmyndigheter brukte de første årene på å bygge kapasitet og fokusere på store saker.
Nå gjennomfører de også kontroller av selskaper i alle størrelser, inkludert proaktive revisjoner og bøter tilpasset selskapets størrelse.

Databehandling har blitt mer kompleks

‍

I 2018 handlet det mest om kundedata og e-postlister.
I dag bruker selskaper:

• AI-verktøy  

• Skyplattformer  

• Marketing automation  

• Tredjepartsintegrasjoner  

Datakartet fra 2018 gjenspeiler ikke virkeligheten i dag.

Kravene til compliance har økt

‍

Tidlige GDPR-tolkninger var enkle. Nå har myndigheter presisert krav til:

• Rettigheter for registrerte  

• Interesseavveininger (LIA)  

• Internasjonale dataoverføringer  

• Leverandørkontroll  

De fleste mellomstore selskaper har ikke oppdatert seg.

Hva GDPR faktisk krever — kontinuerlig, ikke én gang

‍

GDPR er ikke et prosjekt — det er en kontinuerlig forpliktelse.

Styringslaget består av tre hovedområder:

Godkjenninger (sign-offs)

• Behandlingsgrunnlag for hver aktivitet  

• Interesseavveininger (LIA)  

• DPIA for høyrisiko behandling  

• Databehandleravtaler  

Alt må være dokumentert — ikke bare gjort én gang.

Dokumentasjon (disclosures)

• Oppdaterte personvernerklæringer  

• Varsling om brudd innen 72 timer  

• Oppdatert behandlingsprotokoll (ROPA)  

Må være versjonsstyrt og tilgjengelig.

Informasjonsforespørsler

• Innsynsbegjæringer innen én måned  

• Sletting, begrensning og dataportabilitet  

• Forespørsler fra tilsyn  

Rask respons avgjør utfallet.

De fem største risikoene for mellomstore selskaper

1. Utdatert behandlingsprotokoll (ROPA)

De fleste laget en i 2018 — og oppdaterte den aldri.
Nye verktøy og prosesser gjør den utdatert.

2. Manglende databehandleravtaler

Mange verktøy mangler gyldige avtaler.
Internasjonale overføringer krever oppdaterte SCC-er.

3. Manglende dokumentasjon av interesseavveining (LIA)

Krever dokumentert vurdering og godkjenning.
De fleste har ikke dette.

4. Dårlig håndtering av innsynsbegjæringer

Håndteres ofte ad hoc.
En dårlig håndtert sak kan føre til tilsyn.

5. Manglende beredskap for databrudd

72 timer er kort tid.
Uforberedte selskaper feiler ofte her.

Hva bøtene kan bli

‍

Alvorlige brudd inkluderer:

• Manglende behandlingsgrunnlag  

• Brudd på rettigheter  

• Ulovlig dataoverføring  

Datatilsynet har allerede gitt bøter til norske aktører som Grindr, Disqus og Bergen kommune.

Hvor lang tid GDPR-compliance tar

‍

Hva det koster

‍

• Med automatiseringsverktøy: €5 000–12 000  

• Konsulentmodell: €15 000–50 000  

• Årlig oppfølging: €4 000–8 000  

GDPR er kontinuerlig — ikke et engangsprosjekt.

‍

For selskaper som også jobber med ISO 27001, NIS2 eller Åpenhetsloven, overlapper styringsarbeidet betydelig.

Vil du ha GDPR-sjekklisten, ROPA-mal og rammeverk for håndtering av forespørsler?

Last ned: GDPR for mellomstore selskaper — hva ledelsen må vite →

‍