BlogLov & regler

GDPR for håndværkere: hvad skal du have styr på?

Persondata, samtykke, opbevaring og rettigheder. Sådan håndterer håndværkere GDPR uden at blive lammet af bureaukrati.

9 min læsning
Byggers redaktion

GDPR er ikke kun for store IT-virksomheder. Hver håndværker der gemmer kundens navn, telefonnummer eller adresse, behandler personoplysninger og er omfattet af reglerne. Den gode nyhed er at det ikke kræver advokat-bistand at få det basale på plads. Den dårlige er at hvis du ignorerer reglerne, kan det blive dyrt hvis Datatilsynet kommer på besøg eller en kunde klager.

Denne artikel går igennem hvad GDPR betyder konkret for en håndværker-virksomhed, hvad du som minimum skal have styr på, og hvor du kan slappe af.

Indhold
  • Hvad er GDPR (kort)
  • Hvilke data har du i hverdagen
  • Det grundlæggende: lovligt grundlag
  • Opbevaringstid
  • Sikkerhed
  • Kunders rettigheder
  • Databehandleraftaler
  • Ved en datakrænkelse
  • FAQ

Hvad er GDPR (kort)

GDPR (General Data Protection Regulation) er EU's databeskyttelses-forordning fra 2018. I Danmark suppleres den af databeskyttelsesloven. Sammen udgør de rammen for hvordan virksomheder må behandle personoplysninger.

For en håndværker er det vigtigt at vide:

  • Personoplysninger er alt der direkte eller indirekte kan identificere en levende person. Navn, adresse, telefon, email, CPR, billeder med ansigter, m.v.
  • Behandling er enhver håndtering af data. Indsamling, opbevaring, ændring, sletning, deling.
  • Den dataansvarlige er typisk virksomheden der bestemmer formålet med behandlingen.
  • Datatilsynet er den danske myndighed der fører tilsyn og kan udstede bøder.

Bøderne kan være store. Op til 4 procent af årsomsætningen eller 20 millioner euro for grove overtrædelser. I praksis er bøderne for små virksomheder typisk i størrelsesordenen 10.000-200.000 kroner, men det kan stadig svide.

Hvilke data har du i hverdagen

For en typisk håndværker-virksomhed er det disse typer data der typisk håndteres.

Kundedata

  • Navn, adresse, telefon, email
  • CVR-nummer for erhvervskunder
  • Bankoplysninger ved fakturering
  • Kommunikationshistorik (mails, SMS, opkaldsnoter)
  • Projektnoter med kundens specifikke ønsker

Medarbejderdata

  • Personlige oplysninger om ansatte
  • Lønninger, ATP, skat
  • CV'er og dokumentation fra ansøgningsforløb
  • Tidsregistrering og fravær

Leverandøroplysninger

  • Kontaktpersoner hos byggecentre og leverandører
  • Faktura- og betalingshistorik

Billeder og fotos

  • Før/efter-billeder af projekter (kan indeholde kundens hjem)
  • Eventuelle billeder af medarbejdere på arbejdspladsen
  • Marketing-materiale med kunde-feedback

Det er især kunde- og medarbejderdata der oftest fylder mest og har størst risiko hvis det håndteres dårligt.

Det grundlæggende: lovligt grundlag

GDPR kræver at du har et "lovligt grundlag" for at behandle personoplysninger. Der er seks grundlag, men for en håndværker er primært tre relevante.

Kontraktopfyldelse

Hvis kunden har bestilt et arbejde af dig, har du brug for deres oplysninger for at kunne udføre opgaven. Det er et automatisk lovligt grundlag, og du behøver ikke spørge om samtykke.

Det dækker:

  • Kundens kontaktoplysninger
  • Adressen hvor arbejdet skal udføres
  • Specifikationer for opgaven
  • Faktura- og betalingsoplysninger

Retlig forpligtelse

Visse data skal du gemme fordi loven kræver det. Det dækker bl.a.:

  • Bogføringsmateriale (5 års opbevaringspligt efter bogføringsloven)
  • Skatteoplysninger
  • Arbejdsmiljørelaterede dokumenter

Berettiget interesse

Hvis du har en saglig grund til at behandle data, og det ikke krænker den registrerede uforholdsmæssigt, kan du bruge "berettiget interesse" som grundlag. Det dækker fx:

  • Almindelig kundeopfølgning efter et projekt
  • Marketing til eksisterende kunder (med opt-out mulighed)
  • Sikkerhed (fx adgangskontrol)

Når du har brug for samtykke

Samtykke er nødvendigt hvis du:

  • Sender markedsføring til personer der ikke er kunder eller har taget kontakt
  • Bruger billeder af kunders hjem i marketing
  • Behandler følsomme data (helbred, religion, politiske holdninger)

Samtykket skal være frivilligt, specifikt, informeret og dokumenterbart. Det betyder typisk skriftligt eller via en tjekboks.

Opbevaringstid

Du må kun opbevare data så længe der er et legitimt formål. Der er ikke en universel regel, men typiske retningslinjer.

Datatype Typisk opbevaringstid
Bogføringsmateriale 5 år (lovkrav)
Aktive kundedata Uden tidsbegrænsning så længe kunden er aktiv
Inaktive kundedata 3-5 år efter sidste kontakt
Tilbud der ikke blev accepteret 1-2 år
Marketingsdata uden samtykke Slettes ved opt-out eller efter 6-12 måneder uden engagement
Medarbejderdata 5 år efter ansættelsens ophør (typisk)
Projektsdokumentation Ofte 5+ år af garantihensyn

Det er en god idé at have en simpel opbevaringspolitik der specificerer hvor længe forskellige data gemmes. Det kan være en simpel A4-side, ikke nødvendigvis et 20-siders policy-dokument.

Sikkerhed

GDPR kræver "passende sikkerhedsforanstaltninger" baseret på risikoen. For en lille håndværker-virksomhed er det typisk mindre krav end for en stor IT-virksomhed.

Det basale du bør have på plads

Adgangskontrol: Kun de medarbejdere der har behov for at se data, skal have adgang. Kundedata bør ikke ligge på en delt mappe alle har adgang til.

Sikre adgangskoder: Brug stærke unikke koder til alle systemer. Helst en password manager.

To-faktor-autentificering: Aktiveret på email, regnskabssystem og CRM hvor det er muligt.

Krypterede forbindelser: Brug HTTPS-baserede systemer. Send ikke følsomme data via almindelig email uden kryptering.

Backup og gendannelse: Tab af data er også en GDPR-overtrædelse. Sørg for regelmæssig backup og test at den virker.

Sikre enheder: Computere og telefoner med kundedata skal være beskyttet med kode/biometri og krypteret hvis muligt.

Hvad du IKKE behøver

  • Egen krypto-infrastruktur
  • Avancerede SIEM-systemer
  • Dedikeret IT-sikkerhedsmedarbejder

For en typisk håndværker-virksomhed er det en kombination af et godt CRM-system med korrekte sikkerhedsindstillinger, gode passwords og en sund praksis der dækker det basale.

I Byggers er adgangskontrol, krypterede forbindelser og sikker datalagring indbygget i platformen. Det betyder at du som bruger ikke selv skal stå for tekniske GDPR-foranstaltninger på data der ligger i systemet.

Kunders rettigheder

GDPR giver alle personer en række rettigheder der gælder uafhængigt af dit lovlige grundlag.

Indsigtsret

Kunden kan anmode om at få indsigt i hvilke data du har om dem. Du har 30 dage til at svare og levere oplysningerne.

Ret til berigtigelse

Hvis kunden mener at deres data er forkerte, har de ret til at få dem rettet.

Ret til sletning ("retten til at blive glemt")

Hvis der ikke længere er et lovligt grundlag for behandlingen, har kunden ret til at få deres data slettet. Bemærk at hvis du har retlig pligt til opbevaring (fx bogføring), kan du ikke slette de pågældende data uanset kundens anmodning.

Ret til dataportabilitet

Kunden kan kræve at få deres data udleveret i et almindeligt anvendeligt format, så de kan tage det med til en anden leverandør.

Ret til indsigelse

Kunden kan modsætte sig visse behandlinger, særligt hvis du bruger "berettiget interesse" som grundlag.

For en håndværker betyder det at du skal have en proces for at håndtere disse anmodninger. Det er typisk simpelt: når en henvendelse kommer ind, søger du i dit CRM efter den pågældende person, samler de relevante data og sender det.

Databehandleraftaler

Hvis du bruger en tredjepart der behandler kundedata på dine vegne (et CRM-system, et regnskabsprogram, et email-marketing-værktøj), skal der være en databehandleraftale på plads.

Hvad er en databehandleraftale

En databehandleraftale specificerer hvad tredjeparten må gøre med dine kundedata, hvilken sikkerhed de garanterer, og hvordan eventuelle databrud håndteres.

Reelle håndværker-systemer har typisk en standard databehandleraftale på deres hjemmeside som du kan acceptere ved oprettelse. Det er noget af det første du bør tjekke når du vælger leverandør.

Tjekliste til leverandør-valg

  • Har de en offentligt tilgængelig databehandleraftale?
  • Hvor opbevares dine data geografisk (EU eller udenfor)?
  • Hvilke sikkerhedsforanstaltninger har de?
  • Hvad sker der med dine data hvis du opsiger abonnementet?
  • Hvordan håndterer de datasikkerhedsbrud?

Hvis leverandøren ikke kan svare klart på disse spørgsmål, vælg en anden.

Ved en datakrænkelse

Hvis der opstår et databrud (data lækkes, stjæles eller kommer til uvedkommende), gælder strenge regler.

Anmeldelse til Datatilsynet

Brud der "kan udgøre en risiko for personers rettigheder" skal anmeldes til Datatilsynet inden for 72 timer. Det er en kort frist, så det er vigtigt at have en plan klar.

Underretning af de berørte

Hvis bruddet sandsynligvis udgør en høj risiko, skal de berørte personer også informeres. Det skal ske uden unødigt ophold.

Dokumentation

Alle databrud skal dokumenteres internt, også hvis de ikke er anmeldelsespligtige. Det kan være simpel notat med dato, hvad der skete, hvem der blev påvirket og hvad der blev gjort.

For en lille virksomhed er det typisk nok at have en basal procedure beskrevet på en A4-side.

FAQ

Skal jeg have en databeskyttelsesrådgiver (DPO)?

Nej. For en typisk håndværker-virksomhed med under et par hundrede ansatte og uden behandling af særligt følsomme data, er en DPO ikke et lovkrav. Det gælder typisk større offentlige institutioner og virksomheder der behandler følsomme data i stor skala.

Skal jeg have en privatlivspolitik på min hjemmeside?

Hvis hjemmesiden indsamler data (kontakt-formular, cookies, nyhedsbrev), ja. Det kan være en simpel side der forklarer hvad du bruger data til, hvor længe du gemmer det, og kontaktoplysninger på dig som dataansvarlig. Skabeloner findes hos brancheorganisationer og advokat-firmaer.

Må jeg sende fakturaer via almindelig email?

Ja, men vær opmærksom på at almindelig email ikke er krypteret end-to-end. Hvis fakturaen indeholder følsomme data (specifikke arbejder hos en privatperson), kan det være værd at bruge en krypteret leveringsform (sikker portal, krypteret PDF). For almindelige erhvervsfakturaer er email typisk acceptabelt.

Må jeg gemme kunders billeder i mit projektsystem?

Ja, hvis det er nødvendigt for projektets dokumentation eller fremtidige garantisager. Sørg for at billeder med personer (fx kunden eller medarbejdere) ikke bruges udenfor projektets formål uden samtykke. Brug af før/efter-billeder i marketing kræver typisk samtykke.

Hvad sker der hvis Datatilsynet kommer på besøg?

Datatilsynet kan gennemføre tilsyn baseret på klager eller egne prioriteringer. Et tilsyn er typisk et formelt skriftligt forløb (anmodning om dokumentation, opfølgningsspørgsmål) snarere end et fysisk besøg. For en mindre virksomhed kræver det typisk at du kan dokumentere de basale ting: lovligt grundlag, opbevaringstid, sikkerhedsforanstaltninger, behandling af rettigheds-anmodninger.

Hvor finder jeg mere information om GDPR for danske SMV'er?

Datatilsynet har vejledninger målrettet små og mellemstore virksomheder. Brancheforeninger som Dansk Erhverv har også konkret materiale rettet mod håndværkere.

GDPR for en håndværker er ikke et stort bureaukratisk monster. Det er en samling rimelige krav om at du behandler kunders og medarbejderes data ansvarligt. Hvis du har styr på det basale (lovligt grundlag, opbevaringstid, sikkerhed, rettigheder), er du langt over middelvejen.

Hvis du vil have et system der hjælper med kundedata, dokumentation og adgangskontrol med GDPR-overholdelse indbygget, kan du se Byggers' platform eller oprette en gratis bruger og prøve det selv.

gdprpersondatadatabeskyttelselovgivning

Del indlægget

Læs videre

Andre indlæg du kan finde nyttige

Lov & regler

RUT-fradrag forklaret: sådan udfylder du som håndværker

Den første ting der skal på plads: RUT betyder noget forskelligt i Danmark og Sverige. I Sverige er RUT et skattefradrag (Rengöring, Underhåll, Tvätt) som svenske borgere kan benytte når de køber…

8 min
Lov & regler

AB18 vs ABT18: hvilken kontrakt skal du bruge?

For erhvervsbyggeri i Danmark er der to standardkontrakter der dominerer markedet. AB18 og ABT18. De ligner hinanden ved første blik, men styrer to fundamentalt forskellige typer af projekter. Hvis…

10 min
Lov & regler

Arbejdstilsynet på pladsen: hvad tjekker de?

Arbejdstilsynet kan dukke op uanmeldt på din byggeplads. Det er ikke noget at gå i panik over, men det er noget at være forberedt på. En typisk tilsynsbesøg varer 30-90 minutter, og hvis der findes…

9 min

Klar til at prøve Byggers?

Opret en gratis bruger og se selv hvordan platformen kan hjælpe dig i hverdagen.

Opret gratis brugerSe hele platformen