GDPR for skilteproducenter: Det du skal vide, før brevet kommer.

GDPR lyder som et problem for store virksomheder. Det er det ikke. Den Generelle Databeskyttelsesforordning gælder for alle virksomheder, der behandler personoplysninger — og det gør du. Kundenavne, adresser, e-mails, telefonnumre, billeder af facader (nogle gange med synlige personer), fakturaoplysninger. Alt sammen personoplysninger.

Hvad GDPR kræver

1. Fortegnelse over behandlingsaktiviteter

Du skal dokumentere, hvilke data du behandler, hvorfor, hvor længe og hvem der har adgang. En simpel tabel er tilstrækkelig: "Kundedata — Ordrebehandling — 10 år (opbevaringspligt) — Ejer + Kontor".

2. Databehandleraftale (DBA)

Med enhver cloud-udbyder, der behandler dine data, skal du have en DBA. Dit regnskabssoftware, e-mail værktøj, websitehosting og branchesoftware. PlotonIQ leverer en DBA — spørg dine andre udbydere.

3. Serverplacering

Her bliver det kritisk. Hvis du bruger shopVOX (US-servere), Trello (US-servere) eller Google Drive (globalt distribueret), befinder dine kundedata sig i USA. Siden Schrems II-afgørelsen er dataoverførsler til USA juridisk problematiske.

Sikreste løsning: Europæiske servere. PlotonIQ kører på Hetzner i Falkenstein, Tyskland. ISO 27001-certificeret. Ingen dataoverførsel til tredjelande.

4. Kryptering

Data skal krypteres under transport (TLS) og i hvile (AES-256). Adgangskoder skal hashes (bcrypt, ikke MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT med refresh token rotation.

5. Opbevaringsfrister

Du må ikke opbevare data for evigt. Skattelovgivning: 10 år for fakturaer, 6 år for forretningskorrespondance. Derefter: slet. Stedsbilleder: slet efter projektafslutning, medmindre klienten samtykker til længere opbevaring.

6. Registreredes rettigheder

Din kunde har ret til indsigt, berigtigelse, sletning og dataportabilitet. Du skal svare inden 30 dage.

Almindelige fejl i skiltevirksomheder

WhatsApp til erhverv: WhatsApp deler metadata med Meta. Kunders telefonnumre overføres til US-servere. Ikke GDPR-compliant uden Business API og DBA. Alternativ: PlotonIQ kundeportal med digital godkendelse og tidsstempel.

Billeder på private telefoner: Hvis din montør tager stedsbilleder på deres private telefon, befinder kundedata sig på en ikke-administreret enhed. Løsning: tag billeder direkte i PlotonIQ-appen — krypteret upload, aldrig gemt på enheden.

Ingen sporingsdokumentation: Google Analytics, Facebook Pixel — hvert sporingsværktøj kræver samtykke og dokumentation. PlotonIQ: ingen Google Analytics, ingen sporingspixels, ingen ikke-nødvendige cookies.

10-punkts tjekliste

1. Opret fortegnelse over behandlingsaktiviteter. 2. Underskriv DBA'er med alle cloud-udbydere. 3. Privatlivspolitik på website. 4. EU-servere. 5. Definer opbevaringsfrister. 6. Kontroller kryptering. 7. Adgangskontrol (hvem ser hvad). 8. Billeder kun i administrerede apps. 9. Erstat WhatsApp med professionelle værktøjer. 10. Konsekvensanalyse for GPS-sporing/geofencing.

Konklusion

GDPR er ikke raketvidenskab. Med det rigtige software er det meste automatisk: kryptering, serverplacering, opbevaringsfrister, adgangskontrol. Den største løftestang: væk fra US-værktøjer og WhatsApp, hen imod en europæisk brancheløsning, hvor GDPR ikke er en funktion — det er standarden.