GDPR og ERP

I maj 2018 trådte EU’s lovgivning om beskyttelse af persondata i kraft. Det hedder General Data Protection Regulation og forkortes som regel GDPR.

Alle virksomheder har en opgave i at leve op til GDPR. Kravene er så omfattende, at der næppe er nogen almindelige virksomheder i Danmark, der overholder reglerne – uden at tage specifikke tiltag og hensyn.

GDPR stiller krav til din virksomheds indsamling og håndtering af data om EU-borgere. GDPR gælder, uanset hvor din virksomhed hører hjemme, hvis du håndterer data om EU-borgere.

GDPR stiller grundlæggende 3 krav til din virksomhed, hvis du fx bruger Dynamics 365 eller Dynamics NAV som ERP-system:

  1. Du skal have skarp kontrol med, hvor persondata gemmes og hvor de anvendes.
  2. Du skal have ’data governance’-værktøjer, der skaber transparens i data, logger ændringer og kan rapportere på håndteringen af data.
  3. Du skal have data-politikker og -processer, der kan give personerne (som du gemmer data om) kontrol over deres data.

Hvad er persondata præcist?

Persondata er information, som kan relateres til en specific person. Der skelnes ikke mellem personens private, offentlige eller arbejdsmæssige rolle, så det er ikke nogen undskyldning, at: ”Jamen, de er jo bare kunde hos os”.

Persondata kan f.eks. være:

  • Navn
  • Email-adresse
  • Data fra socale medier
  • Fysisk, psykologisk eller genetisk information
  • Medicinske data
  • Kulturel identitet
  • Lokation
  • Bank-informationer
  • IP-adresse
  • Cookies

Som du kan se, så fortolkes ”persondata” meget bredt.

Det rækker langt ud over ERP-systemet. Der er også masser af persondata i CRM-systemet eller kundeservice-systemet. Der er måske cookies og IP-logging i dit CMS, og email-adresser og adfærdsdata i Marketingsystemet. Dit Business Intelligence-system har sikkert også persondata. Og din webshop/ecommerce har masser. Og dertil kommer alle de lokale øer af data i Excel-lister, emails, gamle Word-dokumenter osv.

Både IT og processer skal i spil til GDPR

Det stiller store krav til både dit ERP-system og andre IT-systemer – men bestemt også til din virksomheds interne politikker om, hvordan data håndteres.

Du trækker lige en liste fra debitormodulet over i Excel og gemmer listen på fællesdrevet.

Nej, med GDPR gør du bestemt ikke.

I hvert fald ikke uden at have en proces for, hvordan data overføres, gemmes sikkert, slettes på et bestemt tidspunkt, og hvordan hver enkelt person kan få indsigt i sine data, hvor de gemmes, og få adgang til at slette sine data.

Og det er nok svært at styre i praksis med en Excel-liste på et fællesdrev. Så det er helt andre processer og værktøjer, du skal have i spil.

Microsofts ERP-systemer kan allerede rigtig meget af det, der skal til – men det skal kombineres med solide processer internt i din virksomhed.

GDPRs krav til ERP-systemet

Hvis vi skal tegne et overordnet billede, så stiller GDPR krav inden for 3 områder:

1. Personligt privatliv (Privacy)
Personer har ret til følgende vedrørende de data, som du gemmer om dem:

  • At have adgang til data
  • At rette fejl i de persondata
  • At slette deres data
  • At gøre indsigelse mod behandling af deres persondata
  • At eksportere deres persondata

Det er ikke nødvendigvis simpelt. Det er en udvidet og selvbetjent aktindsigt. Hvis det skal foregå 100% selvbetjent, så har du behov for en ”kundeportal”, hvor alle kan logge ind for at se, ændre, slette og eksportere data, eller klage.

2. Kontrol og advisering
Virksomheder skal:

  • Beskytte persondata med passende sikkerhedsforanstaltninger
  • Advisere myndighederne ved brud på sikkerheden
  • Indhente passende samtykke til at behandle data
  • Have sporbarhed i databehandlingen

Her bringer ERP-systemerne dig et godt stykke vej. Microsoft gør meget ud af sikkerheden i deres systemer, og Microsoft forpligter sig kontraktligt til at leve op til lovgivningen.

Men det stiller også krav til dine processer. Du skal kunne dokumentere, hvordan og hvornår du har modtaget eksplicit samtykke til at behandle data, og du skal have styr på, om (eller hvordan) ERP-data flyder ud af ERP-systemet.

Det er heller ikke nok at have processer på plads. Du er nødt til at overvåge processerne. Ellers kan du ikke advisere myndighederne om brud på sikkerheden. Man kan jo kun opdage noget, man holder øje med.

3. Politikker for transparens
Virksomheder skal:

  • Give personen en eksplicit notifikation om indsamling af data
  • Beskrive formål med databehandlingen inkl. use cases
  • Kommunikere en politik for hvornår data gemmes og slettes

Du skal grundlæggende sige til alle personer PRÆCIS hvad du har tænkt dig at gøre med deres data. Alt skal være helt transparent.

Dette er udelukkende et procedure-spørgsmål, men det er ikke simpelt. Alle ad-hoc opgaver i din virksomhed, hvor du lige har brug for at inkludere kundedata – det er grundlæggende slut nu.

Det bedste du kan gøre er at samle data i et Business Intelligence-værktøj, som kan opfylde de ad-hoc behov der kommer hen ad vejen, og så kan du bygge dine politikker for transparens op om, at data inkluderes i Business Intelligence-platformen.

Dine opgaver med GDPR

Når du skal i gang med GDPR, så har du overordnet følgende opgaver:

  • Formulere en overordnet datapolitik og definere arbejdsprocesser
  • Sikre at IT-systemer lever op til sikkerhed og processer
  • Etablere adgang for personer til egne data
  • Uddanne medarbejdere der har adgang til persondata
  • Ansætte en Data Protection Officer hvis påkrævet
  • Udarbejde politikker for transparens, kontrakter og betingelser for samtykke
  • Overvåge overholdelse af datapolitikker og advisere myndigheder om brud
  • Revidere og opdatere datapolitikker

Hvor begynder du?

Hvad er så dit næste skridt? Der er mange virksomheder, der synes at det er en stor mundfuld.

Det vigtigste er at begynde at forholde sig til emnet og undersøge hvor stor udfordringen er i din virksomhed.

  1. Microsoft har en udmærket ”Get started”-guide, som du kan benytte dig af. Læs især vejledningen til NAV, hvis du bruger Dynamics NAV.
  2. Og de har et helt ressource-center, som har masser af god information.

GDPR med Dynamics 365

Microsoft har i april 2018 frigivet cloud-versionen af Dynamics NAV, som hedder Dynamics 365 Business Central.

Denne løsning har et decideret GDPR-modul, som er en strukturerer dit arbejde med klassifikation af data i ERP-løsningen. Dokumentationskravet i GDPR er indbygget i Dynamics 365 Business Central, så det er meget nemmere at overholde reglerne.

Det er en funktionalitet, som er ret attraktiv for dem, der migrerer fra et gammelt system, hvor der er problemer med struktur og sikkerhed.

GDPR og Microsoft Dynamics 365 og NAV