Digital transformation er med til at forme kundeoplevelsen

Læs mere

Hvad er GDPR, og hvad betyder det for din virksomhed?

Internettet har betydet en dramatisk ændring af både den måde, vi kommunikerer på, og den måde, hvorpå vi håndterer opgaver i hverdagen. Vi sender emails, deler dokumenter, betaler regninger og køber varer ved at indtaste vores personlige oplysninger - alt sammen online og uden at tænke nærmere over det.

Er du nogensinde stoppet op og har tænkt over, hvor mange personlige data, du har liggende online? Eller hvad der sker med denne information?

Der er tale om bankoplysninger, kontakter, adresser, opslag på sociale medier og endda din IP-adresse og de hjemmesider, du har besøgt. Alt registreres og gemmes digitalt.

Virksomhederne fortæller dig, at de indsamler denne type information for bedre at kunne hjælpe dig og tilbyde dig en mere målrettet og relevant kommunikation, alt sammen for at give dig en bedre kundeoplevelse.

Men er det virkelig dét, de bruger disse data til?

Det er det spørgsmål, der er blevet stillet og efterfølgende besvaret af EU, og det er baggrunden for, at der i maj 2018 træder en ny europæisk persondataforordning i kraft, som hedder GDPR. Den skal værne om privatlivet og vil for altid ændre den måde, vi indsamler, gemmer og bruger kundedata på.

I denne artikel vil vi hjælpe dig med at forstå, hvad GDPR er, og hvad det vil betyde for din virksomhed. Og til sidst kan du læse nogle nyttige tips til, hvordan du kan begynde at forberede dig på GDPR allerede i dag.

Hvad er GDPR?

Den 25. maj 2018 træder en ny europæisk persondataforordning i kraft; The General Data Protection Regulation (GDPR). Denne forordning vil blive implementeret i samtlige lokale persondata-love i hele EU- og EØS-området. Den vil gælde for alle virksomheder og organisationer, som sælger varer og ydelser og opbevarer personlige data om borgere i Europa, inklusiv virksomheder fra andre kontinenter. Den giver borgere i EU og EØS større kontrol over deres personlige data og sikkerhed for, at deres information beskyttes i hele Europa.

Ifølge GDPR defineres personlige data som enhver form for information relateret til en person såsom navn, billede, en emailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.

Der skelnes ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle - personen er personen. Også i en B2B situation er der tale om personer, som interagerer og deler information om og med hinanden. Kunder i B2B markeder er selvfølgelig virksomheder, men relationerne, som håndterer forretningsmæssige opgaver, er mennesker – eller personer.

Under GDPR har en person:

1. Der skal gives samtykke

Virksomheder må ikke behandle de personlige data om en enkeltperson, medmindre personen frivilligt har givet specifikt, informeret og entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

2. Retten til adgang

Dette betyder, at personer har ret til at få adgang til deres personlige data og efterfølgende til at få at vide, hvordan virksomheden bruger deres data. Virksomheden skal udlevere en kopi af de personlige data, gratis og i elektronisk form, hvis en person beder om det.

3. Retten til at blive glemt

Hvis en person ikke længere er kunde, eller hvis han/hun tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige data, har personen ret til at få sine data slettet.

4. Retten til dataoverførsel

En person har ret til at få overført sine data fra en serviceudbyder til en anden. Og det skal ske i et almindeligt brugt og maskinlæsbart format.

5. Retten til at blive informeret

Dette gælder enhver form for indsamling af data, som foretages af virksomheder, og personerne skal informeres, før indsamling af data sker. Personerne skal aktivt tilvælge (opt-in), at deres data må indsamles, og samtykke skal gives frivilligt og må ikke være underforstået.

6. Retten til at få oplysninger tilrettet

Dette sikrer, at personer kan få deres data opdateret, hvis den er forældet, utilstrækkelig eller forkert.

7. Retten til at begrænse behandling

Personer kan frabede sig, at deres data anvendes til databehandling. Data må fortsat gerne opbevares, men ikke anvendes.

8. Retten til at gøre indsigelse

Dette inkluderer retten til at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel, og al brug af personens data skal stoppe, så snart en indsigelse modtages. Der skal informeres tydeligt om denne rettighed, når kommunikationen med en person indledes.

9. Retten til at blive underrettet

Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige data, har personen ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.

GDPR er EU’s måde at give enkeltpersoner, kundeemner, kunder, leverandører og ansatte mere kontrol over deres personlige data, og mindre magt til de organisationer, som indsamler og bruger denne type data kommercielt. Dette er ikke et forsøg på stoppe eller besværliggøre handel, men har til hensigt at gøre det mere transparent, hvordan personlige data opbevares og anvendes. 

Forretningsmæssige konsekvenser af GDPR

Denne nye databeskyttelseslov sætter forbrugeren i førersædet, og det er virksomhedernes og organisationernes opgave at leve op til denne nye lov.

Kort sagt: GDPR gælder for alle virksomheder og organisationer, som er etableret i EU, uanset om databehandlingen sker i EU eller ej. Også organisationer, som ikke er etableret i EU er underlagt GDPR. Hvis en virksomhed udbyder varer og/eller serviceydelser til borgere i EU, er den underlagt GDPR.

Alle organisationer og virksomheder, som håndterer personlige data, skal også udpege en ansvarlig for databeskyttelse eller en data controller, som har ansvaret for, at GDPR bliver overholdt.

Der er strenge straffe for de virksomheder og organisationer, som ikke overholder GDPR, med bøde på op til 4% af den årlige globale omsætning eller 20 millioner EUR, afhængigt af hvilket af de to beløb, der er højest.

Mange tror måske, at GDPR bare er en IT udfordring, men det er meget langt fra sandheden. Det har omfattende konsekvenser for hele virksomheden, herunder den måde virksomheder håndterer marketing- og salgsaktiviteter på.

Konsekvenser af GDPR for kundeengagement

Betingelserne for at indhente samtykke er strengere under GDPR, da den enkelte person skal have ret til at tilbagetrække sit samtykke når som helst, og det er en forudsætning, at samtykke ikke er gyldigt, med mindre der er indhentet separat samtykke for forskellige håndteringsaktiviteter.

Det betyder, at du skal kunne bevise, at personen har accepteret en bestemt handling f.eks at modtage nyhedsbreve. Det er ikke tilladt bare at antage eller at tilføje en ansvarsfraskrivelse, og det er ikke nok at give mulighed for at afmelde/fravælge (opt-out).

Dette ændrer en række forhold for virksomheder, såsom håndtering af marketing- og salgsaktiviteter. Virksomhederne er nødt til at gennemgå deres forretningsprocesser, applikationer og formularer for at sikre, at de lever op til regler om dobbelt opt-in funktioner og generelt email marketing best practices. For at registrere sig som modtager af kommunikation, skal kundeemner først udfylde en formular eller afkrydse en boks og derefter bekræfte deres handling i en email.

Organisationer skal kunne bevise, at der er givet samtykke, i tilfælde hvor en person afviser at modtage kommunikationen. Det betyder, at al data, som opbevares, skal have et revideret spor med tidsstempel og detaljeret information om, hvad personen har givet samtykke til og hvordan.

Hvis du køber marketinglister, er du stadig ansvarlig for at skaffe den korrekte samtykke information, også selv om en leverandør eller en outsourcet partner var ansvarlig for at indsamle disse data.

I B2B verdenen møder sælgere potentielle kunder på messer, de udveksler visitkort, og når de kommer tilbage til kontoret, tilføjer de kontakterne til virksomhedens mailingliste. I 2018 er dette ikke længere muligt. Virksomhederne må finde nye måder at indsamle kundeinformation på.

Indledende forberedelser til maj 2018

Et vigtigt element i GDPR lovgivningen er indbygget persondata-sikkerhed.

Indbygget persondata-sikkerhed kræver, at alle afdelinger i virksomheden grundigt gennemgår deres data og håndteringen af disse. Der er mange ting, som virksomhederne må gøre, for at leve op til GDPR. Her er bare nogle få første trin til at hjælpe dig i gang:

1. Kortlæg din virksomheds data

Sørg for at kortlægge, hvor alle personlige data i din virksomhed kommer fra, og for at dokumentere, hvordan virksomheden anvender disse data. Identificer, hvor al data findes, hvem der har adgang, og om alle data er tilstrækkeligt beskyttet.

2. Beslut hvilken data du har behov for at gemme

Gem ikke mere information end nødvendigt og fjern data, som ikke bliver brugt. Hvis din virksomhed indsamler en masse data uden noget bestemt formål, kan det ikke fortsætte, når GDPR træder i kraft. GDPR opfordrer til en mere disciplineret behandling af personlige data.

I oprydningsprocessen bør du spørge dig selv:

  • Præcis hvorfor gemmer vi denne data, i stedet for at slette den?
  • Hvorfor gemmer vi alle disse data?
  • Hvad prøver vi at opnå ved at indsamle alle disse kategorier af personlige oplysninger? 
  • Er den økonomiske gevinst ved at slette denne information større end at kryptere den?

3. Få sikkerhedsforanstaltninger på plads

Sørg for at udvikle og implementere sikkerhedsforanstaltninger i hele din infrastruktur for at hjælpe med at forhindre datasikkerhedsbrud. Det gælder om at få nogle sikkerhedsværn på plads, som kan beskytte mod databrud, og om at handle hurtigt og informere enkeltpersoner og myndigheder, hvis der skulle opstå et brud.

Sørg også for at tjekke dine leverandører. Outsourcing fritager dig ikke for at være ansvarlig. Du skal sikre dig, at de også har de rigtige sikkerhedsforanstaltninger på plads.

4. Gennemgå din dokumentation

Under GDPR skal enkeltpersoner aktivt give samtykke til både indsamling og behandling af deres data. Allerede afkrydsede bokse og underforstået samtykke vil måske ikke længere være acceptabelt. Du bliver derfor nødt til at gennemgå alle dine fortrolighedserklæringer og oplysninger og tilpasse dem, hvor der er behov for det.

5. Sørg for at etablere procedurer for håndtering af personlige data

Som tidligere nævnt har enkeltpersoner 8 grundlæggende rettigheder under GDPR.

Du bør etablere retningslinjer og procedurer for, hvordan du vil håndtere hver af disse situationer.

For eksempel:

  1. Hvordan kan personer give samtykke på lovlig vis?
  2. Hvad er processen, hvis en person ønsker at få sine data slettet?
  3. Hvordan vil du sikre, at det sker på tværs af alle platforme, og at data virkelig bliver slettet?
  4. Hvordan vil du håndtere det, hvis en person ønsker at få overført sine data?
  5. Hvordan vil du få bekræftet, at den person, som beder om at få overført sine data, er den person, han giver sig ud for at være?
  6. Hvad er kommunikationsplanen i tilfælde af et databrud?

Konklusion

Data er en værdifuld valuta i det moderne samfund.

Og selvom GDPR skaber store udfordringer og bekymringer for os som virksomheder, skaber det også muligheder.

Virksomheder, som viser, at de værner om persondatabeskyttelse (udover almindelig overholdelse af reglerne), som er åbne omkring, hvordan de anvender data, og som løbende udarbejder og implementerer nye og forbedrede måder at håndtere kundedata på, skaber større tillid og mere loyale kunder.

Deadline i maj 2018 kan virke som noget, der ligger langt ude i fremtiden, men før du ved det, er der gået et år. Hvis du ikke allerede har påbegyndt din rejse, opfordrer vi dig til at gøre det nu. Afsæt tid til at forstå, hvad du skal gøre for at leve op til GDPR og brug de nyttige tips i denne artikel til at komme i gang.

Herefter bør du udarbejde en handlingsplan for din vej til GDPR, så når maj 2018 nærmer sig, er du rolig og afslappet, og du kan besvare alle spørgsmål fra dine kunder omkring de nye persondataregler.

Download vores nye white paper og lær mere om GDPR og hvordan det ændrer kunderelationer.

Hvis du gerne vil vide mere om, hvordan GDPR påvirker dine kundedata, er du velkommen til at kontakte os!