2018 blir individens år

Den nya dataskyddsförordningen GDPR sätter individen i förarsätet medan det åligger företagen och organisationerna att säkerställa efterlevnaden. Samtidigt tror många att GDPR bara är en IT-fråga, men det långt ifrån fallet. Förordningen medför genomgripande konsekvenser för hela företaget, inklusive sättet man hanterar sina marknadsförings- och försäljningsaktiviteter på.

Hur påverkas ditt kundengagemang

Villkoren för att erhålla samtycke är strängare och individen har rätten att återkalla samtycke när som helst och det måste ges separata samtycken för olika bearbetningsaktiviteter. Detta innebär att du måste kunna bevisa att individen har samtyckt till en viss åtgärd, till exempel att få ett nyhetsbrev. Det är inte tillåtet att förutsätta eller lägga till en ansvarsfriskrivning och det räcker inte att erbjuda möjligheten att tacka nej (opt-out).

Detta innebär förändringar i hur företag hanterar sina marknadsförings- och försäljningsaktiviteter. Företagen måste se över sina interna processer, lösningar och olika formulär för att följa reglerna för lagring och hantering av persondata, samt att efterleva bästa praxis för e-postmarknadsföring. För att kunna registrera att man önskar mottaga kommunikation behöver den potentiella kunden fylla i ett formulär eller markera en kryssruta och därefter i ett ytterligare e-postmeddelande bekräfta att åtgärden är korrekt.

Samtycke

Organisationer måste kunna bevisa att samtycke har erhållits i de fall där en individ motsätter sig mottagandet av kommunikation. Detta betyder att all data som samlas in måste ha en verifikationsspårning som är tidstämplad samt rapportinformation som specificerar vad kontakten samtyckte till och hur.

Detta gäller även inköp av e-postlistor. Det är fortfarande du som är ansvarig för erhållandet av att få rätt samtyckesinformation, även om det är en leverantör eller outsourcad partner som har varit ansvarig för insamlingen av data.

I B2B-världen möter säljare potentiella kunder på mässor, de utbyter visitkort och när de kommer tillbaka till kontoret lägger de till kontakterna till företagets utskickslista. Under 2018 kommer det att ställas högre krav på företaget för att kunna registrera informationen. Företag bör även se över sättet att samla in information om kunder.

Förberedelser inför maj 2018

En nyckelkomponent i GDPR-lagstiftningen är inbyggt dataskydd (”privacy by design”). Det inbyggda dataskyddet kräver att alla avdelningar på ett företag grundligt går igenom sina personupplysningar och hur de hanterar dessa. Det finns flera saker ett företag måste göra för att efterleva GDPR. Nedan är de första inledande stegen för att komma igång:

1. Kartlägg företagets data

Kartlägg var alla personuppgifter inom hela företaget kommer ifrån och dokumentera vad ni gör med uppgifterna. Identifiera var uppgifterna lagras, vilka som har tillgång till dem och om det föreligger några risker för uppgifterna.

2. Fastställ vilken data ni behöver spara

Spara inte mer information än nödvändigt och radera uppgifter som inte används. Om ditt företag samlar in för mycket uppgifter utan ett riktigt relevant ändamål, kan du inte spara dessa personuppgifter. GDPR innebär en mer disciplinerad hantering av personuppgifter.

Ställ dig själv följande frågor under upprensningsprocessen:

  • Av vilken anledning arkiverar vi dessa uppgifter istället för att radera dem?
  • Varför sparar vi alla dessa uppgifter?
  • Vad försöker vi uppnå genom att samla in alla dessa kategorier av personlig information?
  • Är det mer lönsamt att radera än att kryptera denna information?

3. Inför säkerhetsåtgärder

Utveckla och implementera åtgärder för att skydda infrastrukturen och för att förhindra dataintrång. Detta innebär införande av säkerhetsrutiner för att snabbt kunna agera och meddela individer och myndigheter om ett intrång sker.

Kontrollera även detta hos dina leverantörer. Outsourcing fritar dig inte från ansvar. Du måste kontrollera att även de har de rätta säkerhetsrutinerna på plats.

4. Granska er dokumentation

Du måste granska samtliga företags policys och information samt säkerställa att de uppdateras eller skrivs om. Nya handlingar med information till registrerade behöver tas fram och nya biträdesavtal.

Vi på IT Gården har förberett ett antal biträdesavtal. Ett standardavtal och ett lite mer avancerat som juristgranskas till självkostnadspris. Ni hittar dessa under Kundtjänst och ikonen för GDPR alternativ direkt här »

5. Etablera rutiner för hantering av personuppgifter

Som tidigare nämnts har individer fler grundläggande rättigheter i enlighet med GDPR. Du måste etablera riktlinjer och rutiner för hur du hanterar var och en av dessa situationer.

Exempelvis:

  • Hur ser processen ut om en individ önskar och har rätt att få sina uppgifter raderade?
  • Hur säkerställer du att detta görs på alla plattformar och att uppgifterna verkligen raderas?
  • Om en individ önskar överföra sina uppgifter enligt reglerna om dataportabilitet, hur gör du detta?
  • Hur bekräftar du att personen som begärde att få sina uppgifter överförda verkligen är den person som han eller hon utger sig för att vara?
  • Hur ser kommunikationsplanen ut om ni skulle utsättas för ett dataintrång?

Vi behöver få in avtal med er, våra kunder, så vänligen besök vår sida med avtal för GDPR här »