Varför införs GDPR och vad innebär det?
För första gången på två decennier görs det ändringar i personuppgiftslagen – det är på tiden. De nya ändringar som GDPR medför går helt i linje med de nya tekniker vi använder idag som samlar data om oss, så som mobiltelefoner, sociala medier, molntjänster, sensorer och datorer. Vi använder dessa verktyg på ett helt nytt sätt jämfört med tidigare, och användardata rör sig över världens gränser. Den nya lagen möjliggör för den enskilda individen att få större koll över sina egna personuppgifter. Personuppgiftslagen, PUL, täcker stor del av den nya lagen, men regleringarna i PUL skiljer sig i större delen av Europa idag vilket är problematiskt eftersom data sällan stannar kvar i ett land.
Hur påverkas ditt CRM-system av GDPR?
Ett CRM-system innehåller alltid mycket persondata av uppenbara skäl. Så vad innebär egentligen GDPR för ert företag och den data som sparas och används i ert kundhanteringssystem? Vi går igenom några delar av GDPR nedan för att reda ut detta.
De ökade rättigheterna för privatpersoner under GDPR.
Ett CRM-system innehåller ofta många säkerhetsåtgärder för att data inte ska försvinna. Man har för spårbarhetskravens skull samt systemfunktionellt instiftat arbetssätt där man inaktiverar historiska kunder istället för att radera dem, vilket potentiellt bli ett problem under GDPR. De ökade rättigheterna betyder att privatpersoner kan ställa ökade krav som kontrar den säkrade lagringen, till exempel:
- Rätten att bli glömd – som privatperson har man rätten att bli raderad ur system då informationen inte krävs för att upprätthålla kontraktet. Skillnaden blir då att man ska kunna be sin internetleverantör om att ta bort saker som internethistorik, men så klart inte skulder och kontrakt man har till sin bank.
- Rätten till flytt – man måste kunna ge sina kunder all den data de har i ens system så de kan flytta över det till nästa företag ifall de väljer att byta tjänster.
- Tillgång till data om ens person – sist men inte minst ska man kunna be om utdrag ur sin leverantörs system om man så önskar för att se vad det är för data de besitter om ens person.
Punkterna ovan betyder att man måste kunna identifiera, extrahera och radera information om kunder och kontaktpersoner på begäran, och processerna för detta måste vara tydliga även om de inte är helt automatiserade.
Hur får man lagra personuppgifter enligt GDPR?
Att man behöver personuppgifter för vissa ändamål är en självklarhet. Trots detta krävs det säkerhetsåtgärder för att säkerställa att uppgifterna inte faller i fel händer. GDPR och datalagring har sitt ursprung i ”Privacy by design” där man från grunden implementerar integritetskyddande mekanismer. Detta förklaras som att bygga datastrukturen och åtkomsten så att initiativ för dataskydd inte krävs. Ett exempel är att man delar upp systemet i olika delar och därmed begränsar tillgång till personuppgifter i systemen enbart till dem som aktivt behöver dem för sitt arbete. Detta är någonting vi på Releye jobbar aktivt med och kommer att adressera ytterligare framöver.
Vad säger GDPR om säkerhetskraven på lagringsplatser?
Den digitala världen skiljer sig inte särskilt mycket från den fysiska världen i riskerna att bli ’rånade’. Därför behöver man ha adekvat skydd i sina system för att hålla hackare och andra informationstjuvar ute.
- Krypteringskrav – Data måste vara krypterat, både i vilande läge och i resan från och till olika lagringsenheter.
- Täta samband mellan applikation och dess lagringsenheter – Man måste lätt kunna identifiera vart en applikation lagrar sin data. Backups måste också på samma vis kunna knytas an till sin applikation.
- Audit Logs – Alla delar av systemet som innehåller persondata måste ha loggar så att man kan identifiera potentiella intrång i efterhand.
- Ta bort data från backups – När man tar bort en kund från det system man använder i dagsläget ligger denna data ofta kvar i backups av systemet från innan kunden raderades. Utmaningen här är att backups görs på olika sätt och hur man ska ta ut och radera specifika data kommer att variera från fall till fall.
Så kan du jobba med utveckling av ditt CRM-system utan personuppgifter
Vid utveckling av system har man i regel olika miljöer för olika syften. Vanligt är en utvecklingsmiljö, en testmiljö, en användartestmiljö samt en produktionsmiljö. En viktig skillnad här är att endast produktionsmiljön, alltså den företagets anställda arbetar i, får innehålla persondata. Utvecklings- samt testmiljöer får enbart innehålla anonyma data. I skatteverkets egna databas finns påhittade personuppgifter som man kan använda sig av i dessa miljöer.
Datalagring man inte tänker på som påverkas av GDPR
Vi har hittills pratat om hur man kan börja säkra sitt CRM för GDPR-kraven som kommer i maj 2018. Men vad för data är det man sällan tänker på eller glömmer bort? Har ni till exempel tänkt på att den där post-it lappen på skrivbordet med ett namn, e-post och telefonnummer är persondata ni lagrar osäkert? All persondata, oavsett lagringsmedium faller under lagstiftningen kring GDPR. Detta betyder antagligen inte att polisen kommer att konfiskera papper från era skrivbord. Däremot innebär det att pärmar och arkiv fulla med analog lagring kan vara olagliga under GDPR.
Vad kan ni göra för att förbereda er inför GDPR?
- Bygg in säkerheten i processer och system redan från början. Beakta också att ni inte får ha personuppgifter i test och utvecklingsmiljöer.
- Se över och inventera vilken information ni har och vilken som krävs – ta bort överflödiga data och motivera varför ni behöver informationen ni vill spara.
- Var noga med att informera kunden om vilken data ni sparar och vad ni ska använda den till – Det räcker inte längre att ha en text med ”Om du fortsätter surfa godkänner du att data samlas in.”
- Ta fram rutiner för att hitta och avidentifiera kunddata.
- Ha rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter.
- Sist men inte minst: ta hjälp av en expert – det finns mängder av artiklar och information om ämnet GDPR men det kommer att bli en betydligt bättre investering för er att ta hjälp av någon som vet vad som gäller.
Har ni fler funderingar på hur ditt CRM-system kommer att påverkas vid införandet av GDPR? Kontakta oss så berättar vi mer.