EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR, som träder i kraft den 25.e maj 2018 innebär bland annat hårdare krav på hantering av personuppgifter.

Det är ytterst viktigt att vi som företag har ordning i vilka personuppgifter som sparas, varför och hur länge.
Det är vår skyldighet! Men hur ska vi göra för att få till det?

I korta drag handlar det om att först få en uppfattning om situationen, sätta en prioritering kring vilka åtgärder som måste göras och slutligen följa upp att de görs.

Få en uppfattning om situationen – vilken information och våra kunder har vi och var?

Använder ni ett CRM-system har ni ju redan en plats där all information finns (eller kan finnas) om kunderna, vilket underlättar för er att hålla ordning på informationen.

Har ni inget CRM system, måste ni börja med att identifiera var information om kunderna finns. Ofta finns det mycket i de anställdas mejlboxar. Där finns ofta oändligt mycket data, och det är inte så lätt att identifiera vad som eventuellt är personlig information.

Det gäller också att med hjälp av systemet, begränsa möjligheterna att spara mer information än ni bestämt ska sparas. Ett exempel på detta kan vara att inte använda sig av fritext-fält, eftersom det kan missbrukas. Vill man ändå ha fritextfält, finns det sätt på vilket det går att söka ut eller varna för olämpligt innehåll. Sätt i så fall upp regler och processer för denna typ av översyn.

Det bästa tipset är det enklaste: bestäm vilket data ni måste ha och spara bara det. För ju mindre ni har sparat, ju enklare att hantera. Less is less!

Få upp en bruttolista på saker som behöver åtgärdas för att uppfylla GDPR och prioritera!

De krav GDPR ställer på vår hantering av personuppgifter kan sammanfattas nedan:

  1. Kommunikation – För att du överhuvudtaget ska kunna spara någon personlig information måste företaget få ett otvetydigt samtycke av kunden. Det ska vara tydligt i vilket syfte informationen ska användas och hur länge den ska sparas. Informationen får sedan enbart användas för just det angivna syftet.
  2. Radera uppgifter – när som helst kan en kund be dig radera all personlig information du har om kunden, en önskan du helst ska uppfylla inom en månad
  3. Ta del av – Kunden måste kunna få ta del av det insamlade data du har om den, be att få det uppdaterat och kunna välja att flytta data till en ny leverantör om den så önskar
  4. Marknadsföring – ger kunderna/prospekten rätten att välja bort marknadsföring där deras uppgifter används. Kunden ska alltså göra opt-in på er marknadsföring och inte tvärt om – dvs tacka ja och inte nej.

Automatisera uppdatering och borttagning av data

Säkerställ att du innan GDPR träder i kraft har ett enkelt sätt att radera personlig information om er kund. Det kanske låter enkelt, men det kan finnas sparade mejl med personlig information i CRM-systemet, eller telefonsamtalsnoteringar med känslig information. Detta kan göras mer eller mindre manuellt, till exempel genom att i mejl plocka ur den personliga informationen och spara den i formulär istället och sedan radera mejlet. Lägg nivån av automatisering på en lämplig nivå för ert företag.

Hur länge ni sparar informationen innan den eventuellt raderas ska tidsbestämmas. Detta kopplar till hur er kundlivscykel ser ut. Bestäm er för hur länge man är kund hos er, om man tex. inte handlat hos er på två år, då kanske man inte anses som kund längre? Och när en kund inte längre anses var kund, ska den personliga informationen tas bort.

Hitta sätt att låta kunden uppdatera sina uppgifter, då får du nämligen ett godkännande samtidigt som du få rätt information. Det finns sätt att automatisera denna typ av aktivitet också, via portallösningar eller mejlkontakt.

Se över säkerheten

Tänk på att använda er av behörigheter och roller i ert CRM-system. Bara de som ska få se personlig information ska ha rättigheten att göra det. När någon slutar, måste det vara enkelt att även ta bort personens accesser till både mobila och stationära enheter.

Ett sätt att öka säkerhetsnivån kan vara att börja använda tvåfaktors autentisering.

Om ni råkar ut för ett intrång, måste det rapporteras till Datainspektionen inom 72 timmar. Så ni måste ha rutiner på plats för att kunna se om ni fått ett intrång. Har ni en drift partner, eller ni köper CRM som tjänst, gäller det att ni har avtal med era leverantörer som kan hjälpa er att uppfylla dessa krav.

Dokumentera era processer

Dokumentera processerna som hanterar era kunder, allt från leasd genereringen tills man inte längre är kund – vilken data hanteras och till vilket syfte. Ta bort det som inte ska och får lagras.

Arbeta med ständig förbättring – det är ett pågående arbete

Processerna för hur ert företag hanterar personuppgifter, ska regelbundet ses över för att uppfylla GDPR.

Dels har man inte tänkt på allt från början, och det kan hända att era affärer har ändrats med tiden och det är andra premisser som gäller. Men ni hinner antagligen inte heller med allt initialt. Så arbeta utifrån en prioriterad lista, och hantera dem en i taget.

Det finns något som kallas intresseavvägning som vissa företag använder sig av för att kunna spara personuppgifter som sedan används vid marknadsföring. Företaget måste då kunna visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till sin information. Vill du använda denna pragraf, är det oerhört viktigt att ha det dokumenterat varför.

Summering

Förutsättning till att spara kundens data är att kunden godkänner och accepterar det, förstår anledningen till varför och detta är del av era dokumenterade processer.
Vi hjälper gärna till att analysera ert CRM-system och identifiera vad ni har för utmaningar – Se vårt GDPR erbjudande och kontakta oss så berättar vi mer!