Dataskyddsförordningen och CRM i praktiken

Datainspektionen: ”Dataskyddsförordningen (GDPR) gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Förordningen kommer att innebära en hel del förändringar för de som behandlar personuppgifter och stärkta rättigheter för den enskilde när det gäller personlig integritet.”

Några viktiga hörnstenar i GDPR

Det har nog inte undgått någon att det snart kommer ett helt nytt regelverk kring personuppgifter. Många vet att det också kommer ställa stora krav på organisationen och systemen men få vet hur man i praktiken kommer att påverkas.

Den nya Dataskyddsförordningen (GDPR) syftar till ett enhetligt regelverk inom hela EU, det är en av de fundamentala anledningarna till att den tillkommit. Regelverket i sig ska skydda individens rättigheter vad gäller företags rätt att behandla personuppgifter, öka transparensen och ge individen bättre insyn i vilka personuppgifter som företag lagrar.

Vem vet bäst?

Idag är det många som funderar över GDPR. Många försöker hitta nya möjligheter att sälja tjänster eller produkter och ser GDPR som ett helt nytt affärsområde. Men vem vet bäst? 

Jag läste nyligen en artikel på IDG, skriven av en advokat med personuppgifter som specialistområde. Artikeln ger en kortfattad introduktion till vad man måste tänka på kring personuppgiftsbehandling för att följa den nya dataskyddsförordningen. Läs hela artikeln på IDG:s webbplats: https://cio.idg.se/2.1782/1.671787/eu-dataskydd-gdpr 

För vår del handlar GDPR om säkerhet i system, organisatoriska frågor och hur vi på bästa sätt kan hjälpa våra kunder att uppfylla kraven eller att hjälpa våra kunder att få rätt information om GDPR. Vi har inte svaren på alla frågor. Vissa svar kan vi läsa oss till, andra kan våra samarbetspartners hjälpa oss med. 

Precis som det skrivs i artikeln så är det många som idag utger sig för att vara experter på GDPR. För oss handlar det inte om att försöka tolka förordningen juridiskt, vi försöker inte heller se oss som experter inom GDPR men vi måste förstå vilka krav som ställs på de system vi bygger, anpassar eller administrerar. Vi är också experter inom IT-säkerhet och vet vilka åtgärder som krävs för att ha ett fullgott skydd för att personuppgifter inte ska komma i fel händer.

Personuppgifter i Microsoft Dynamics

När det kommer till mitt specialistområde, Microsoft Dynamics och främst modulerna för CRM så är GDPR högaktuellt. Ett kundvårdssystem är baserat på relationer med fysiska personer, kunder och potentiella kunder som privatpersoner eller som företrädare för företag och organisationer. Därför kommer GDPR och hur man rent praktiskt hanterar personuppgifter vara en extremt viktig del i mitt arbete framöver.

Om man tittar på var personuppgifter kan förekomma i Microsoft Dynamics så kommer man snart se att det förutom tekniska lösningar även kommer krävas en del rutiner. I systemet hanteras personuppgifter mer eller mindre i varje funktion. Bland annat följande områden kan beröra personuppgifter, allt från rena kontaktuppgifter till personlig information rörande försäljning och supportärenden:

- Kund- och kontaktuppgifter
- Marknadsföring, kampanjer, kampanjsvar
- Försäljning, offerter, orders, fakturor
- Ärendehantering, aktiviteter som mail med mera
- Resurser, användare och i eventuella egna entiteter

Vad innebär det i praktiken för CRM

När vi har en bild av var i systemet det kan förekomma personuppgifter kan vi analysera för vilket syfte uppgifterna används, vilka som ska ha behörighet och vad vi behöver för säkerhet kring den typ av uppgifter som behandlas och lagras. Vi behöver rutiner för att följa regelverket samt analysera vilka systemanpassningar vi kan göra för att underlätta hanteringen. Vi behöver också dokumentera vilken typ av uppgifter som lagras och var, för att i ett senare skede ha möjlighet att sammanställa ett registerutdrag vid förfrågan från en registrerad.

Vi kommer troligtvis behöva anpassa våra säkerhetsroller i systemet för att begränsa åtkomst till personuppgifter. I vissa fall kan vi behöva införa behörighetskontroll på fältnivå för känsliga uppgifter och i andra fall automatisera eventuell pseudonymisering eller radering av personuppgifter. 

Ytterligare en aspekt att ta hänsyn till är syftet. Registrerar vi kontaktuppgifter endast för orderhantering och fakturering får vi inte använda dessa uppgifter för andra ändamål som vi inte uttryckligt angett. Med andra ord får vi inte använda de uppgifterna vi registrerat för marknadsföring och med en strikt tolkning kanske inte ens för att ge personen information kring en köpt produkt utan att registrera kontaktuppgifterna på nytt för ett separat ändamål, om vi inte uttryckligen angett dessa övriga ändamål vid registreringstillfället och fått den registrerades samtycke. 

Kapitel II – Principer, artikel 5, 1b:
”De ska samlas in för särskilda, uttryckligt angivna
och berättigade ändamål och inte senare behandlas
på ett sätt som är oförenligt med dessa ändamål”

Nu blev det lite juridiskt. Syftet med det är att påvisa att vi kanske måste komplettera vårt system med information om för vilka ändamål som de aktuella personuppgifterna får användas. Denna information kan sedan användas för att avgöra hur länge personuppgifterna ska sparas i systemet.

Det finns mer att tänka på! 

En annan sak som krävs är att informera den registrerade i enlighet med kraven i GDPR. På vilka sätt detta kan göras för att uppfylla kraven kommer nog vara föremål för diskussion. Det är lättare att informera och be om ett samtycke när personuppgifter hämtas direkt från en person men kraven på information kvarstår även om uppgifter hämtas från tredje part.

Vi kommer också ha kravet på oss att hålla personuppgifter i våra system uppdaterade. Dessutom ska vi inte registrera mer uppgifter än vi behöver för de ändamål som personuppgifterna skall användas till. 

Förordningen reglerar även villkor för samtycke till registrering samt återkallelse av detta. Om samtycke ges som en del via avtal så kan vi behöva ändra dokumentmallar. Det kommer även krävas rutiner som säkerställer att även ett samtycke sparas på ett korrekt sätt och att endast personuppgifter som är relevanta lagras i systemet samt för vilket syfte. 

Det kan också ställas krav på en personuppgiftsansvarig och i vissa fall ett ombud. Vad som gäller kring detta överlåter jag till andra experter att reda ut men det är viktigt att ha med då det ytterst är denna person som ska ha kontroll på vilka personuppgifter som sparas i CRM-systemet och för vilka syften. 

Sist men inte mins måste vi ha rutiner för att ge registrerade ”rätten att glömmas bort”, glöm inte det.

En vacker dag i maj…

Närmare bestämt den 25 maj 2018 börjar den nya Dataskyddsförordningen att gälla. Det jag skrivit ovan ska vara på plats då annars kan det bli dyrt. Det kommer säkerligen dröja en tid innan det finns någon rättspraxis för brott mot GDPR och man ska inte skrämmas av de hot om enorma böter som nämns i vissa fall. 

Innan man kommer till ett läge som kan ge böter så föregås det av andra steg så som varning, reprimand och ”indragen rätt till behandling av uppgifter”. Först när det gått så långt kan böter bli aktuellt enligt Datainspektionens infograf:  https://www.datainspektionen.se/Documents/Dataskydd%20-%20B%c3%a4ttre%20regler%20f%c3%b6r%20sm%c3%a5%20f%c3%b6retag.pdf

Vill ni veta mer?

Dataskyddsförordningen finns i sin helhet på Datainspektionens webbsida: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten
Ni är alltid välkomna att kontakta oss, så ska vi berätta mer. Läs mer om våra tjänster på vår webbsida: http://langate.se

© Langate Systems AB · Design by Creative Army