GDPR för skiltmakare: Vad du behöver veta innan brevet kommer.

GDPR låter som ett storföretagsproblem. Det är det inte. Dataskyddsförordningen gäller för alla företag som behandlar personuppgifter — och det gör du. Kundnamn, adresser, e-post, telefonnummer, foton av fasader (ibland med personer synliga), fakturauppgifter. Allt är personuppgifter.

Vad GDPR kräver

1. Register över behandlingsaktiviteter

Du måste dokumentera vilka uppgifter du behandlar, varför, hur länge och vem som har tillgång. En enkel tabell räcker: "Kunduppgifter — Orderhantering — 10 år (arkiveringsskyldighet) — Ägare + Kontor".

2. Personuppgiftsbiträdesavtal (PUB)

Med varje molnleverantör som behandlar dina uppgifter behöver du ett PUB. Din redovisningsprogramvara, e-postverktyg, webbhosting och branschprogramvara. PlotonIQ tillhandahåller ett PUB — fråga dina andra leverantörer.

3. Serverplats

Här blir det kritiskt. Om du använder shopVOX (US-servrar), Trello (US-servrar) eller Google Drive (globalt distribuerat), ligger dina kunduppgifter i USA. Sedan Schrems II-domen är dataöverföringar till USA juridiskt problematiska.

Säkraste lösningen: Europeiska servrar. PlotonIQ körs på Hetzner i Falkenstein, Tyskland. ISO 27001-certifierat. Ingen dataöverföring till tredjeland.

4. Kryptering

Uppgifter måste krypteras under överföring (TLS) och i vila (AES-256). Lösenord måste hashas (bcrypt, inte MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT med refresh token rotation.

5. Lagringstider

Du får inte lagra uppgifter för evigt. Skattelagen: 10 år för fakturor, 6 år för affärskorrespondens. Därefter: radera. Platsfoton: radera efter projektavslut om inte klienten samtycker till längre lagring.

6. Registrerades rättigheter

Din kund har rätt till tillgång, rättelse, radering och dataportabilitet. Du måste svara inom 30 dagar.

Vanliga misstag i skiltbutiker

WhatsApp för företag: WhatsApp delar metadata med Meta. Kundtelefonnummer överförs till US-servrar. Inte GDPR-kompatibelt utan Business API och PUB. Alternativ: PlotonIQ kundportal med digital godkännande och tidsstämpel.

Foton på privata telefoner: Om din montör tar platsfoton på sin privata telefon ligger kunduppgifter på en ohanterad enhet. Lösning: ta foton direkt i PlotonIQ-appen — krypterad uppladdning, aldrig lagrad på enheten.

Ingen spårningsdokumentation: Google Analytics, Facebook Pixel — varje spårningsverktyg behöver samtycke och dokumentation. PlotonIQ: ingen Google Analytics, inga spårningspixlar, inga icke-nödvändiga cookies.

10-punkts checklista

1. Skapa register över behandlingsaktiviteter. 2. Skriv under PUB med alla molnleverantörer. 3. Integritetspolicy på webbplats. 4. EU-servrar. 5. Definiera lagringstider. 6. Kontrollera kryptering. 7. Åtkomstkontroller (vem ser vad). 8. Foton endast i hanterade appar. 9. Ersätt WhatsApp med professionella verktyg. 10. Konsekvensbedömning för GPS-spårning/geofencing.

Slutsats

GDPR är ingen raketforskning. Med rätt programvara är det mesta automatiskt: kryptering, serverplats, lagringstider, åtkomstkontroller. Den största hävstången: bort från US-verktyg och WhatsApp, mot en europeisk branschlösning där GDPR inte är en funktion — det är standarden.