B2B og GDPR-compliance
B2B virksomheder er også omfattet af GDPR fx behandler du personoplysninger af egne medarbejdere.
Hvad skal en B2B-virksomhed gøre for at blive GDPR-compliant? Det vil vi komme ind på i denne artikel.
Indhold
Kortlægning
Det første skridt mod GDPR-compliance er at kortlægge virksomhedens behandling af persondata, også kaldet behandlingsaktiviteter.
Når du har kortlagt behandlingsaktiviteterne, så skal du sikre at personoplysningerne behandles sikkert fx i IT-systemerne. Dette kræver, at du også kortlægger og dykker ned i de IT-systemer og redskaber, som du anvender til at behandle disse persondata (disse redskaber kaldes også ‘informationsaktiver’).
Fortegnelsen for en B2B-virksomhed
En B2B-virksomhed behandler personoplysninger ligesom alle andre virksomheder. Den eneste forskel på B2C- og B2B-virksomheder er virksomhedernes kundegruppe.
Når du skal lave fortegnelsen i en B2B-virksomhed, så vil du typisk have nedenstående behandlingsaktiviteter, som skal dokumenteres i en fortegnelse.
Medarbejdere
Du behandler oplysninger om dine medarbejdere fx i forbindelse med personaleadministration og denne behandling skal derfor dokumenteres i fortegnelsen. Du kan læse mere om GDPR og HR i denne artikel.
Partnere
Når du sender en mail til dine forretningspartnere, så foregår en kommunikation, hvor du behandler oplysninger fx mail, navn, telefonnummer, mv. Dette er personoplysninger, og derfor en behandlingsaktivitet, som skal kortlægges i fortegnelsen.
Nyhedsbrev
Et nyhedsbrev er en særskilt behandlingsaktivitet, som du (typisk) skal have samtykke til at udsende til dine kunder og partnere. Mails og navne, som behandles ved administrationen af nyhedsbrevet, er en behandling af personoplysninger, som skal dokumenteres i fortegnelsen.
Hjemmesidebesøgende
En registrering af besøgende på en hjemmesides IP-adresse er en behandling af personoplysninger. De fleste administratorer af hjemmesider foretager denne behandling, og derfor skal den kortlægges i virksomhedens fortegnelse.
Sociale medier
Har virksomheden en LinkedIn eller Facebook profil? Jamen, så behandles der også personoplysninger her. Derfor skal brugen af sociale medier også kortlægges i fortegnelsen.
Behandling af personoplysninger på dine kunders vegne
Mange B2B-virksomheder behandler desuden personoplysninger på sine kunders vegne eksempelvis marketingbureauer, IT-virksomheder, håndværkere, entreprenører, transportvirksomheder, mv. Dette er også en behandling af personoplysninger, som skal kortlægges, samt efterleve GDPR-reglerne.
Din virksomhed kan sagtens have andre og flere behandlingsaktiviteter, og de skal alle kortlægges i fortegnelsen.
Informationsaktiver
Virksomhedens behandlingsaktiviteter behandles ved brug af både hardware og software, som du bør kortlægge, så det kan sikres, at al behandling er sikker.
Hardware – eksempler
Du bør kortlægge alle virksomhedens enheder, samt hvorledes, at persondata bør behandles på disse:
- Stationære og bærbare computere
- Smartphones
- Lagringsenheder fx USB, SD-kort,..
Mister du en enhed, så risikerer du at uvedkommende kan få adgang til personoplysningerne herpå, og dette er et sikkerhedsbrud.
Software – eksempler
Du bør kortlægge alle systemer, hvor der behandles personoplysninger, samt hvorledes, at persondata behandles ved brugen af software:
- Microsoft Office
- Google Workspace
- Dropbox
- Regnskabssystem
- Fildrev, mapper, filer.
- Mailklient
- CRM-system
Anvend kortlægningen i praksis
Når du har kortlagt alle dine processer, samt alle dine informationsaktiver, så har du fundamentet til at efterleve GDPR i praksis i din B2B-virksomhed, da du nu ved hvor, at dine persondata behandles, samt hvordan at de behandles.
Tag et kig i denne tjekliste til implementering af GDPR-reglerne, som også gælder B2B-virksomheder.
GDPR compliance
Når du har implementeret GDPR i din virksomhed jf. tjeklisten, så skal du igang med at vedligeholde alt dit arbejde, da GDPR-compliance er en konstant opgave.
Du kan se kravene til løbende GDPR-compliance i denne tjekliste.
Opsummering
B2B-virksomheder skal også efterleve GDPR-reglerne, da de også behandler personoplysninger om medarbejdere, samt om kunder og samarbejdspartnere.
En B2B-virksomhed skal følge de samme trin til GDPR-compliance, som enhver anden virksomhed.