En god del af de danske virksomheder er ved at være parate til at imødekomme de skrappere persondataregler, der har en deadline allerede den 25. maj 2018.

Men mange er det ikke endnu. Faktisk helt op i mod hver fjerde virksomhed, vurderer Dansk Industri, ifølge Børsen

Er I nogensinde stoppet op og har tænkt over, hvor mange personlige data, I har liggende online? Eller hvad der sker med denne information?

Der er tale om bankoplysninger, kontakter, adresser, opslag på sociale medier og endda Jeres IP-adresse og de hjemmesider, I har besøgt. Alt registreres og gemmes digitalt.

Virksomhederne fortæller Jer, at de indsamler denne type information for bedre at kunne hjælpe I og tilbyde dig en mere målrettet og relevant kommunikation, alt sammen for at give Jer  en bedre kundeoplevelse.

Men er det virkelig dét, de bruger disse data til?

Det er det spørgsmål, der er blevet stillet og efterfølgende besvaret af EU, og det er baggrunden for, at der i maj 2018 træder en ny europæisk persondataforordning i kraft, som hedder GDPR. Den skal værne om privatlivet og vil for altid ændre den måde, vi indsamler, gemmer og bruger kundedata på.

I denne artikel vil vi hjælpe Jer med at forstå, hvad GDPR er, og hvad det vil betyde for Jeres virksomhed. Og til sidst kan I læse nogle nyttige tips til, hvordan I kan begynde at forberede dig på GDPR allerede i dag.

Hvad er GDPR?

Den 25. maj 2018 træder en ny europæisk persondataforordning i kraft; The General Data Protection Regulation (GDPR). Denne forordning vil blive implementeret i samtlige lokale persondata-love i hele EU- og EØS-området. Den vil gælde for alle virksomheder og organisationer, som sælger varer og ydelser og opbevarer personlige data om borgere i Europa, inklusiv virksomheder fra andre kontinenter. Den giver borgere i EU og EØS større kontrol over deres personlige data og sikkerhed for, at deres information beskyttes i hele Europa.

Ifølge GDPR defineres personlige data som enhver form for information relateret til en person såsom navn, billede, en emailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.

Der skelnes ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle – personen er personen. Også i en B2B situation er der tale om personer, som interagerer og deler information om og med hinanden. Kunder i B2B markeder er selvfølgelig virksomheder, men relationerne, som håndterer forretningsmæssige opgaver, er mennesker – eller personer.

Under GDPR har en person:

1. Der skal gives samtykke

Virksomheder må ikke behandle de personlige data om en enkeltperson, medmindre personen frivilligt har givet specifikt, informeret og entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

2. Retten til adgang

Dette betyder, at personer har ret til at få adgang til deres personlige data og efterfølgende til at få at vide, hvordan virksomheden bruger deres data. Virksomheden skal udlevere en kopi af de personlige data, gratis og i elektronisk form, hvis en person beder om det.

3. Retten til at blive glemt

Hvis en person ikke længere er kunde, eller hvis han/hun tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige data, har personen ret til at få sine data slettet.

4. Retten til dataoverførsel

En person har ret til at få overført sine data fra en serviceudbyder til en anden. Og det skal ske i et almindeligt brugt og maskinlæsbart format.

5. Retten til at blive informeret

Dette gælder enhver form for indsamling af data, som foretages af virksomheder, og personerne skal informeres, før indsamling af data sker. Personerne skal aktivt tilvælge (opt-in), at deres data må indsamles, og samtykke skal gives frivilligt og må ikke være underforstået.

6. Retten til at få oplysninger tilrettet

Dette sikrer, at personer kan få deres data opdateret, hvis den er forældet, utilstrækkelig eller forkert.

7. Retten til at begrænse behandling

Personer kan frabede sig, at deres data anvendes til databehandling. Data må fortsat gerne opbevares, men ikke anvendes.

8. Retten til at gøre indsigelse

Dette inkluderer retten til at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel, og al brug af personens data skal stoppe, så snart en indsigelse modtages. Der skal informeres tydeligt om denne rettighed, når kommunikationen med en person indledes.

9. Retten til at blive underrettet

Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige data, har personen ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.

GDPR er EU’s måde at give enkeltpersoner, kundeemner, kunder, leverandører og ansatte mere kontrol over deres personlige data, og mindre magt til de organisationer, som indsamler og bruger denne type data kommercielt. Dette er ikke et forsøg på stoppe eller besværliggøre handel, men har til hensigt at gøre det mere transparent, hvordan personlige data opbevares og anvendes.

Forretningsmæssige konsekvenser af GDPR

Denne nye databeskyttelseslov sætter forbrugeren i førersædet, og det er virksomhedernes og organisationernes opgave at leve op til denne nye lov.

Kort sagt: GDPR gælder for alle virksomheder og organisationer, som er etableret i EU, uanset om databehandlingen sker i EU eller ej. Også organisationer, som ikke er etableret i EU er underlagt GDPR. Hvis en virksomhed udbyder varer og/eller serviceydelser til borgere i EU, er den underlagt GDPR.

Alle organisationer og virksomheder, som håndterer personlige data, skal også udpege en ansvarlig for databeskyttelse eller en data controller, som har ansvaret for, at GDPR bliver overholdt.

Der er strenge straffe for de virksomheder og organisationer, som ikke overholder GDPR, med bøde på op til 4% af den årlige globale omsætning eller 20 millioner EUR, afhængigt af hvilket af de to beløb, der er højest.

Mange tror måske, at GDPR bare er en IT udfordring, men det er meget langt fra sandheden. Det har omfattende konsekvenser for hele virksomheden, herunder den måde virksomheder håndterer marketing- og salgsaktiviteter på.

Konsekvenser af GDPR for kundeengagement

Betingelserne for at indhente samtykke er strengere under GDPR, da den enkelte person skal have ret til at tilbagetrække sit samtykke når som helst, og det er en forudsætning, at samtykke ikke er gyldigt, med mindre der er indhentet separat samtykke for forskellige håndteringsaktiviteter.

Det betyder, at I skal kunne bevise, at personen har accepteret en bestemt handling f.eks at modtage nyhedsbreve. Det er ikke tilladt bare at antage eller at tilføje en ansvarsfraskrivelse, og det er ikke nok at give mulighed for at afmelde/fravælge (opt-out).

Dette ændrer en række forhold for virksomheder, såsom håndtering af marketing- og salgsaktiviteter. Virksomhederne er nødt til at gennemgå deres forretningsprocesser, applikationer og formularer for at sikre, at de lever op til regler om dobbelt opt-in funktioner og generelt email marketing best practices. For at registrere sig som modtager af kommunikation, skal kundeemner først udfylde en formular eller afkrydse en boks og derefter bekræfte deres handling i en email.

Organisationer skal kunne bevise, at der er givet samtykke, i tilfælde hvor en person afviser at modtage kommunikationen. Det betyder, at al data, som opbevares, skal have et revideret spor med tidsstempel og detaljeret information om, hvad personen har givet samtykke til og hvordan.

Hvis I køber marketinglister, er I stadig ansvarlig for at skaffe den korrekte samtykke information, også selv om en leverandør eller en outsourcet partner var ansvarlig for at indsamle disse data.

I B2B verdenen møder sælgere potentielle kunder på messer, de udveksler visitkort, og når de kommer tilbage til kontoret, tilføjer de kontakterne til virksomhedens mailingliste. I 2018 er dette ikke længere muligt. Virksomhederne må finde nye måder at indsamle kundeinformation på.

Indledende forberedelser til den 25. maj 2018

Et vigtigt element i GDPR lovgivningen er indbygget persondata-sikkerhed.

Indbygget persondata-sikkerhed kræver, at alle afdelinger i virksomheden grundigt gennemgår deres data og håndteringen af disse. Der er mange ting, som virksomhederne må gøre, for at leve op til GDPR. Her er bare nogle få første trin til at hjælpe dig i gang:

1. Kortlæg Jeres virksomheds data

Sørg for at kortlægge, hvor alle personlige data i Jeres virksomhed kommer fra, og for at dokumentere, hvordan virksomheden anvender disse data. Identificer, hvor al data findes, hvem der har adgang, og om alle data er tilstrækkeligt beskyttet.

2. Beslut hvilken data I har behov for at gemme

Gem ikke mere information end nødvendigt og fjern data, som ikke bliver brugt. Hvis Jeres virksomhed indsamler en masse data uden noget bestemt formål, kan det ikke fortsætte, når GDPR træder i kraft. GDPR opfordrer til en mere disciplineret behandling af personlige data.

I oprydningsprocessen bør I spørge Jer selv:

• Præcis hvorfor gemmer I denne data, i stedet for at slette den?
• Hvorfor gemmer I alle disse data?
• Hvad prøver I at opnå ved at indsamle alle disse kategorier af personlige oplysninger?
• Er den økonomiske gevinst ved at slette denne information større end at kryptere den?

3. Få sikkerhedsforanstaltninger på plads

Sørg for at udvikle og implementere sikkerhedsforanstaltninger i hele Jeres infrastruktur for at hjælpe med at forhindre datasikkerhedsbrud. Det gælder om at få nogle sikkerhedsværn på plads, som kan beskytte mod databrud, og om at handle hurtigt og informere enkeltpersoner og myndigheder, hvis der skulle opstå et brud.

Sørg også for at tjekke Jeres leverandører. Outsourcing fritager Jer ikke for at være ansvarlig. I skal sikre Jer, at de også har de rigtige sikkerhedsforanstaltninger på plads.

4. Gennemgå Jeres dokumentation

Under GDPR skal enkeltpersoner aktivt give samtykke til både indsamling og behandling af deres data. Allerede afkrydsede bokse og underforstået samtykke vil måske ikke længere være acceptabelt. I bliver derfor nødt til at gennemgå alle Jeres fortrolighedserklæringer og oplysninger og tilpasse dem, hvor der er behov for det.

5. Sørg for at etablere procedurer for håndtering af personlige data

Som tidligere nævnt har enkeltpersoner 8 grundlæggende rettigheder under GDPR.

I bør etablere retningslinjer og procedurer for, hvordan I vil håndtere hver af disse situationer.

For eksempel:

1. Hvordan kan personer give samtykke på lovlig vis?
2. Hvad er processen, hvis en person ønsker at få sine data slettet?
3. Hvordan vil I sikre, at det sker på tværs af alle platforme, og at data virkelig bliver slettet?
4. Hvordan vil I håndtere det, hvis en person ønsker at få overført sine data?
5. Hvordan vil I få bekræftet, at den person, som beder om at få overført sine data, er den person, han giver sig ud for at være?
6. Hvad er kommunikationsplanen i tilfælde af et databrud?

Konklusion

Data er en værdifuld valuta i det moderne samfund.

Og selvom GDPR skaber store udfordringer og bekymringer for os som virksomheder, skaber det også muligheder.

Virksomheder, som viser, at de værner om persondatabeskyttelse (udover almindelig overholdelse af reglerne), som er åbne omkring, hvordan de anvender data, og som løbende udarbejder og implementerer nye og forbedrede måder at håndtere kundedata på, skaber større tillid og mere loyale kunder.

Deadline i maj 2018 kan virke som noget, der ligger langt ude i fremtiden, men før I ved det, er der tiden gået. Hvis I ikke allerede har påbegyndt Jeres rejse, opfordrer vi Jer til at gøre det nu. Afsæt tid til at forstå, hvad I skal gøre for at leve op til GDPR og brug de nyttige tips i denne artikel til at komme i gang.

Ansvarsfraskrivelse: Indholdet i denne artikel kan ikke betragtes som juridisk rådgivning og bør kun bruges som information.