Disse GDPR-krav skal du leve op til inden maj 2018

Alle virksomheder har en opgave i at leve op til GDPR. Kravene er så omfattende, at der næppe er nogen almindelige virksomheder i Danmark, der er klar – uden at tage nye tiltag.

I maj 2018 træder EU’s nye lovgivning om beskyttelse af persondata i kraft. Det hedder General Data Protection Regulation og forkortes som regel GDPR.

GDPR stiller nye krav til din virksomheds indsamling og håndtering af data om EU-borgere. GDPR gælder, uanset hvor din virksomhed hører hjemme, hvis du håndterer data om EU-borgere.

Hvad betyder GDPR så for din virksomhed? Hvad skal du gøre?

GDPR stiller højere krav til at din virksomhed skal beskytte kundernes data, end du har været vant til tidligere. Det stiller grundlæggende 3 krav til din virksomhed:

  1. Du skal have skarp kontrol med, hvor persondata gemmes og hvor de anvendes.
  2. Du skal have ’data governance’-værktøjer, der skaber transparens i data, logger ændringer og kan rapportere på håndteringen af data.
  3. Du skal have data-politikker og -processer, der kan give personerne (som du gemmer data om) kontrol over deres data.

Sidst i artiklen kan du selv teste, om du er klar til at leve op til GDPR.

Hvad er persondata præcist?

Persondata er information, som kan relateres til en specific person. Der skelnes ikke mellem personens private, offentlige eller arbejdsmæssige rolle, så det er ikke nogen undskyldning, at: ”Jamen, de er jo bare kunde hos os”.

Persondata kan f.eks. være:

  • Navn
  • Email-adresse
  • Data fra socale medier
  • Fysisk, psykologisk eller genetisk information
  • Medicinske data
  • Kulturel identitet
  • Lokation
  • Bank-informationer
  • IP-adresse
  • Cookies

Som du kan se, så fortolkes ”persondata” meget bredt.

Det rækker langt ud over ERP-systemet. Der er også masser af persondata i CRM-systemet eller kundeservice-systemet. Der er måske cookies og IP-logging i dit CMS, og email-adresser og adfærdsdata i Marketingsystemet. Dit Business Intelligence-system har sikkert også persondata. Og din webshop/ecommerce har masser. Og dertil kommer alle de lokale øer af data i Excel-lister, emails, gamle Word-dokumenter osv.

Både IT og processer skal i spil til GDPR

Det stiller store krav til både dit ERP-system og andre IT-systemer – men bestemt også til din virksomheds interne politikker om, hvordan data håndteres.

Du trækker lige en liste fra debitormodulet over i Excel og gemmer listen på fællesdrevet.

Nej, når GDPR træder i kraft, så gør du bestemt ikke.

I hvert fald ikke uden at have en proces for, hvordan data overføres, gemmes sikkert, slettes på et bestemt tidspunkt, og hvordan hver enkelt person kan få indsigt i sine data, hvor de gemmes, og få adgang til at slette sine data.

Og det er nok svært at styre i praksis med en Excel-liste på et fællesdrev. Så det er helt andre processer og værktøjer, du skal have i spil.

Microsofts ERP-systemer kan allerede rigtig meget af det, der skal til – men det skal kombineres med solide processer internt i din virksomhed.

GDPRs krav til ERP-systemet

Hvis vi skal tegne et overordnet billede, så stiller GDPR krav inden for 3 områder:

1. Personligt privatliv (Privacy)

Personer har ret til følgende vedrørende de data, som du gemmer om dem:

  • At have adgang til data
  • At rette fejl i de persondata
  • At slette deres data
  • At gøre indsigelse mod behandling af deres persondata
  • At eksportere deres persondata

Det er ikke nødvendigvis simpelt. Det er en udvidet og selvbetjent aktindsigt. Hvis det skal foregå 100% selvbetjent, så har du behov for en ”kundeportal”, hvor alle kan logge ind for at se, ændre, slette og eksportere data, eller klage.

2. Kontrol og advisering

Virksomheder skal:

  • Beskytte persondata med passende sikkerhedsforanstaltninger
  • Advisere myndighederne ved brud på sikkerheden
  • Indhente passende samtykke til at behandle data
  • Have sporbarhed i databehandlingen

Her bringer ERP-systemerne dig et godt stykke vej. Microsoft gør meget ud af sikkerheden i deres systemer, og Microsoft forpligter sig kontraktligt til at leve op til lovgivningen.

Men det stiller også krav til dine processer. Du skal kunne dokumentere, hvordan og hvornår du har modtaget eksplicit samtykke til at behandle data, og du skal have styr på, om (eller hvordan) ERP-data flyder ud af ERP-systemet.

Det er heller ikke nok at have processer på plads. Du er nødt til at overvåge processerne. Ellers kan du ikke advisere myndighederne om brud på sikkerheden. Man kan jo kun opdage noget, man holder øje med.

3. Politikker for transparens

Virksomheder skal:

  • Give personen en eksplicit notifikation om indsamling af data
  • Beskrive formål med databehandlingen inkl. use cases
  • Kommunikere en politik for hvornår data gemmes og slettes

Du skal grundlæggende sige til alle personer PRÆCIS hvad du har tænkt dig at gøre med deres data. Alt skal være helt transparent.

Dette er udelukkende et procedure-spørgsmål, men det er ikke simpelt. Alle ad-hoc opgaver i din virksomhed, hvor du lige har brug for at inkludere kundedata – det er grundlæggende slut nu.

Det bedste du kan gøre er at samle data i et Business Intelligence-værktøj, som kan opfylde de ad-hoc behov der kommer hen ad vejen, og så kan du bygge dine politikker for transparens op om, at data inkluderes i Business Intelligence-platformen.

Dine opgaver med GDPR

Når du skal i gang med GDPR, så har du overordnet følgende opgaver:

  • Formulere en overordnet datapolitik og definere arbejdsprocesser
  • Sikre at IT-systemer lever op til sikkerhed og processer
  • Etablere adgang for personer til egne data
  • Uddanne medarbejdere der har adgang til persondata
  • Ansætte en Data Protection Officer hvis påkrævet
  • Udarbejde politikker for transparens, kontrakter og betingelser for samtykke
  • Overvåge overholdelse af datapolitikker og advisere myndigheder om brud
  • Revidere og opdatere datapolitikker

Hvor begynder du?

Hvad er så dit næste skridt? Der er mange virksomheder, der synes at det er en stor mundfuld.

Det vigtigste er at begynde at forholde sig til emnet og undersøge hvor stor udfordringen er i din virksomhed.

  1. Microsoft har en udmærket ”Get started”-guide, som du kan benytte dig af.
  2. Og de har et helt ressource-center, som har masser af god information.
  3. Vi vil også anbefale, at du ser præsentationerne på Microsofts Databreach-website. De er meget informative og nemme at tilgå. De er meget Microsoft’ish, men det kan du nok bære over med, hvis du i forvejen bruger deres software.
  4. Og så kan du til sidst teste her, om du er klar til GDPR. Det er et gratis selv-evalueringsværktøj, som Microsoft har produceret.