Hva er GDPR og hvordan kan du sikre at virksomheten din er i samsvar?
Implementeringen av General Data Protection Regulation (GDPR) i mai 2018 revolusjonerte hvordan selskaper i EU og ethvert selskap som selger til EU beskytter og håndterer brukerdata. GDPR -samsvar er ikke valgfritt, og selskaper som ikke håndterer personlig informasjon på riktig måte, kan forvente alvorlige bøter.
Samtidig ble GDPR også en modell for nyutviklede taushetsplikter over hele verden.
Som navnet antyder, er GDPR et sett med databeskyttelsesregler. GDPR erstattet det forrige EUs databeskyttelse-direktiv, som hadde vært i kraft siden 1995.
GDPR fokuserer på selskapenes forpliktelser til å beskytte personopplysninger og personvern og regulerer også dataeksport utenfor EU.
Selv om GDPR er et viktig skritt for å forbedre databeskyttelse og forbrukerrettigheter rundt personvern, har forskriften flere ulemper. Mest bemerkelsesverdig er bruken av vage terminologier, for eksempel "rimelig beskyttelse", som ikke gir selskaper spesifikk veiledning om hva de skal gjøre.
Etter lanseringen av GDPR sa imidlertid EU og myndighetene i EU -landene at de ville hjelpe selskaper til å arbeide for GDPR -overholdelse i stedet for umiddelbart å finne de som ennå ikke var kompatible.
Til dags dato har det nesten ikke vært noen vesentlige tilfeller av GDPR -brudd som har kommet for europeiske domstoler. Det er usannsynlig at noen fullt ut vil sette pris på omfanget av GDPR før dette skjer.
Kort sagt, EU utviklet GDPR fordi databeskyttelsesdirektivet fra 1995 ikke lenger var egnet for dette formålet. Den forrige forskriften ble vedtatt og implementert før e-handelsboomen og veksten av internettbruk generelt. Mengden data som selskaper samlet inn for 25 år er ingenting i forhold til hva selskaper administrerer i dag.
I tillegg var bekymring for lagring og overføring av data også en ledende faktor i utviklingen av GDPR, og var først og fremst rettet mot å beskytte forbrukerdata og personvern.
GDPR dekker de fleste personopplysningene bedriften din samler inn om kundene dine. Spesielt alt som potensielt er unikt og kan identifisere et individ. GDPR -samsvar gjelder uavhengig av plattformen som samler inn dataene, noe som betyr at du må sikre data du samler inn fra et håndskrevet skjema på samme måte som du sikrer dataene du samler inn fra nettstedet ditt.
Dersom din virksomhet gjør noe av følgende, så må GDPR overholdes:
Kort oppsummert er persondata all data som kan knyttes til en enkeltperson, i følge GDPR.
Les også: Fire gode grunner til hvorfor du MÅ investere i en kundeportal
GDPR har 8 rettigheter som gjelder for alle brukere med hensyn til dataene deres. Hvis GDPR gjelder din virksomhet, basert på scenariene som tidligere er beskrevet, må du respektere og oppfylle disse rettighetene som en del av å være GDPR -kompatibel.
De åtte rettighetene og hva de innebærer er:
Retten til innsyn gir enkeltpersoner rett til å be om tilgang til dataene du har om dem. Enkeltpersoner kan også spørre hvordan du bruker, lagrer og behandler data og om du overfører disse dataene til andre selskaper. Du må gi enhver person som ber om disse dataene en elektronisk kopi av dataene du har og eventuell tilleggsinformasjon som kreves gratis.
Retten til å bli informert betyr at du må fortelle enkeltpersoner at du samler inn og behandler dataene deres før du gjør det. Denne retten betyr også at du må ha uttrykkelig samtykke før du gjør det. Dette er en særlig betydelig endring fra databeskyttelsesdirektivet, der underforstått samtykke ble ansett som tilstrekkelig. Enkeltpersoner måtte velge bort databehandling, i stedet for å måtte spørre dem om de var glade for å registrere seg.
Retten til dataportabilitet gir brukerne rett til å overføre data fra et sted til et annet når de vil.
Retten til å bli glemt gir brukerne rett til å trekke tilbake samtykket, lagre og bruke dataene sine og be deg om å slette dataene du har om dem.
Retten til å protestere gir brukerne rett til å protestere mot hvordan du bruker dataene deres og be deg om å stoppe umiddelbart. Vær oppmerksom på at det ikke er noen unntak fra denne retten. Denne typen forespørsler er ikke et alternativ for deg å fortsette å bruke dataene eller indikere at det fortsatt er samtykke. Du må derfor gjøre rettelser umiddelbart etter en slik forespørsel.
Retten til å begrense behandlingen tillater brukere å be deg om å stoppe hele eller en bestemt type databehandling, samtidig som du kan fortsette å lagre dataene sine hvis de er fornøyd med den.
Retten til å bli varslet ved brudd på dataene som kompromitterer dataene deres. I tilfelle et databrudd må du informere brukerne innen 72 timer etter at du har oppdaget det selv.
Retten til rettelse lar brukerne be deg om å oppdatere eller korrigere dataene du har om dem, eller å fylle ut hull i dataposter.
Selv om rettighetene tillater brukere å nøye kontrollere hvordan du bruker dataene sine, trenger disse rettighetene ikke å utgjøre betydelige utfordringer for virksomheten din.
Mange tenker ikke på det daglig, men som oftest har de fleste CRM -systemer med mye sensitive personopplysninger. Det vil si data som kan hjelpe til med å identifisere en persons rase, politiske oppfatninger, helsetilstand eller noe annet. Dette gjelder også CRM -systemer for B2B -selskaper.
Det mest viktige er at din virksomhet har støtte for GDPR-tilpasninger i deres systemer og at gode rutiner er på plass. Eksempler på dette kan være sletterutiner, kryptering, tilgangsstyring, samtykke m.m.
Er du usikker på om deres rutiner er i tråd med GDPR eller om deres CRM system har støtte for nødvendig funksjonalitet?
Trenger du hjelp til å navigere i denne jungelen av informasjon? Da hjelper Andreas deg gjerne!
Andreas
Daglig leder / Partner