Deltag på SuperOffice CRM-Tour: CHANGE 2024 på Islands Brygge i København! 
📅 Dato: 12. september

Hvad er GDPR, og hvad betyder det for din virksomhed?

Sammendrag af artiklen:

  • Hvad er GDPR, og hvad står det for? Den nye EU lovgivning har påvirket virsomheder over hele verden. I denne artikel vil vi forklare det, du bør vide om den nye EU Persondataforordning.
  • Hvordan påvirker GDPR virksomhederne? Hvordan skal din virksomhed, uanset om den ligger i EU eller ej, leve op til en lang række "artikler" under GDPR?
  • GDPR vil påvirke kundeengagement, men hvordan? Den måde, du håndterer persondata på, har nu ændret sig, og dette gælder både for eksisterende og potentielle kunder.

Internettet har betydet en dramatisk ændring af både den måde, vi kommunikerer på, og den måde, hvorpå vi håndterer opgaver i hverdagen. Vi sender emails, deler dokumenter, betaler regninger og køber varer ved at indtaste vores personlige oplysninger - alt sammen online og uden at tænke nærmere over det.

Er du nogensinde stoppet op og har tænkt over, hvor mange personlige data, du har liggende online? Eller hvad der sker med denne information?

Der er tale om bankoplysninger, kontakter, adresser, opslag på sociale medier og endda din IP-adresse og de hjemmesider, du har besøgt. Alt registreres og gemmes digitalt.

Virksomhederne fortæller dig, at de indsamler denne type information for bedre at kunne hjælpe dig og tilbyde dig en mere målrettet og relevant kommunikation, alt sammen for at give dig en bedre kundeoplevelse.

Men er det virkelig dét, de bruger disse data til?

Det er det spørgsmål, der er blevet stillet og efterfølgende besvaret af EU, og det er baggrunden for, at en ny europæisk persondataforordning, som hedder GDPR, er trådt i kraft i maj 2018. Den skal værne om privatlivet og har for altid ændre den måde, vi indsamler, gemmer og bruger kundedata på.

I en undersøgelse, som omfatter mere end 800 IT- og forretningsfolk med ansvar for persondatabeskyttelse hos virksomheder med europæiske kunder, har Dell an Dimension Research konstareret, at 80% af virksomhederne kun har lidt eller slet ingen viden om GDPR.

TrustArc har for nyligt konstateret, at kun 20% af virksomhederne mener, at de nu lever op til GDPR.

Og det værste?

Mere end 1 ud af 4 virksomheder (27%) er endnu ikke er begyndt at gøre deres organisation klar til GDPR - her flere måneder efter at tidsfristen den 25. maj. er overskredet!

I denne artikel vil vi hjælpe dig med at forstå, hvad GDPR er, og hvad det betyder for din virksomhed. Og til sidst kan du læse nogle nyttige tips til, hvad du gøre for at overholde GDPR.

Hvad er GDPR?

Den 25. maj 2018 trådte en ny europæisk persondataforordning i kraft; The General Data Protection Regulation (GDPR). Denne forordning vil blive implementeret i samtlige lokale persondata-love i hele EU- og EØS-området. Den vil gælde for alle virksomheder og organisationer, som sælger varer og ydelser og opbevarer personlige data om borgere i Europa, inklusiv virksomheder fra andre kontinenter. Den giver borgere i EU og EØS større kontrol over deres personlige data og sikkerhed for, at deres information beskyttes i hele Europa.

Ifølge GDPR defineres personlige data som enhver form for information relateret til en person såsom navn, billede, en emailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.

Der skelnes ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle - personen er personen. Også i en B2B situation er der tale om personer, som interagerer og deler information om og med hinanden. Kunder i B2B markeder er selvfølgelig virksomheder, men relationerne, som håndterer forretningsmæssige opgaver, er mennesker – eller personer.

Under GDPR har en person:

1. Der skal gives samtykke

Virksomheder må ikke behandle de personlige data om en enkeltperson, medmindre personen frivilligt har givet specifikt, informeret og entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

2. Retten til adgang

Dette betyder, at personer har ret til at få adgang til deres personlige data og efterfølgende til at få at vide, hvordan virksomheden bruger deres data. Virksomheden skal udlevere en kopi af de personlige data, gratis og i elektronisk form, hvis en person beder om det.

3. Retten til at blive glemt

Hvis en person ikke længere er kunde, eller hvis han/hun tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige data, har personen ret til at få sine data slettet.

4. Retten til dataoverførsel

En person har ret til at få overført sine data fra en serviceudbyder til en anden. Og det skal ske i et almindeligt brugt og maskinlæsbart format.

5. Retten til at blive informeret

Dette gælder enhver form for indsamling af data, som foretages af virksomheder, og personerne skal informeres, før indsamling af data sker. Personerne skal aktivt tilvælge (opt-in), at deres data må indsamles, og samtykke skal gives frivilligt og må ikke være underforstået.

6. Retten til at få oplysninger tilrettet

Dette sikrer, at personer kan få deres data opdateret, hvis den er forældet, utilstrækkelig eller forkert.

7. Retten til at begrænse behandling

Personer kan frabede sig, at deres data anvendes til databehandling. Data må fortsat gerne opbevares, men ikke anvendes.

8. Retten til at gøre indsigelse

Dette inkluderer retten til at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel, og al brug af personens data skal stoppe, så snart en indsigelse modtages. Der skal informeres tydeligt om denne rettighed, når kommunikationen med en person indledes.

9. Retten til at blive underrettet

Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige data, har personen ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.

GDPR er EU’s måde at give enkeltpersoner, kundeemner, kunder, leverandører og ansatte mere kontrol over deres personlige data, og mindre magt til de organisationer, som indsamler og bruger denne type data kommercielt. Dette er ikke et forsøg på stoppe eller besværliggøre handel, men har til hensigt at gøre det mere transparent, hvordan personlige data opbevares og anvendes. 

Forretningsmæssige konsekvenser af GDPR

Denne nye databeskyttelseslov sætter forbrugeren i førersædet, og det er virksomhedernes og organisationernes opgave at leve op til denne nye lov.

Kort sagt: GDPR gælder for alle virksomheder og organisationer, som er etableret i EU, uanset om databehandlingen sker i EU eller ej. Også organisationer, som ikke er etableret i EU er underlagt GDPR. Hvis en virksomhed udbyder varer og/eller serviceydelser til borgere i EU, er den underlagt GDPR.

Alle organisationer og virksomheder, som håndterer personlige data, skal også udpege en ansvarlig for databeskyttelse eller en data controller, som har ansvaret for, at GDPR bliver overholdt.

Der er strenge straffe for de virksomheder og organisationer, som ikke overholder GDPR, med bøde på op til 4% af den årlige globale omsætning eller 20 millioner EUR, afhængigt af hvilket af de to beløb, der er højest.

Mange tror måske, at GDPR bare er en IT udfordring, men det er meget langt fra sandheden. Det har omfattende konsekvenser for hele virksomheden, herunder den måde virksomheder håndterer marketing- og salgsaktiviteter på.

Konsekvenser af GDPR for kundeengagement

Betingelserne for at indhente samtykke er strengere under GDPR, da den enkelte person skal have ret til at tilbagetrække sit samtykke når som helst, og det er en forudsætning, at samtykke ikke er gyldigt, med mindre der er indhentet separat samtykke for forskellige håndteringsaktiviteter.

Det betyder, at du skal kunne bevise, at personen har accepteret en bestemt handling f.eks at modtage nyhedsbreve. Det er ikke tilladt bare at antage eller at tilføje en ansvarsfraskrivelse, og det er ikke nok at give mulighed for at afmelde/fravælge (opt-out).

Dette ændrer en række forhold for virksomheder, såsom håndtering af marketing- og salgsaktiviteter. Virksomhederne er nødt til at gennemgå deres forretningsprocesser, applikationer og formularer for at sikre, at de lever op til regler om dobbelt opt-in funktioner og generelt email marketing best practices. For at registrere sig som modtager af kommunikation, skal kundeemner først udfylde en formular eller afkrydse en boks og derefter bekræfte deres handling i en email.

Organisationer skal kunne bevise, at der er givet samtykke, i tilfælde hvor en person afviser at modtage kommunikationen. Det betyder, at al data, som opbevares, skal have et revideret spor med tidsstempel og detaljeret information om, hvad personen har givet samtykke til og hvordan.

Hvis du køber marketinglister, er du stadig ansvarlig for at skaffe den korrekte samtykke information, også selv om en leverandør eller en outsourcet partner var ansvarlig for at indsamle disse data.

I B2B verdenen møder sælgere potentielle kunder på messer, de udveksler visitkort, og når de kommer tilbage til kontoret, tilføjer de kontakterne til virksomhedens mailingliste. I 2018 er dette ikke længere muligt. Virksomhederne må finde nye måder at indsamle kundeinformation på.

Forberedelser til overholdelse GDPR

Et vigtigt element i GDPR lovgivningen er indbygget persondata-sikkerhed.

Indbygget persondata-sikkerhed kræver, at alle afdelinger i virksomheden grundigt gennemgår deres data og håndteringen af disse. Der er mange ting, som virksomhederne må gøre, for at leve op til GDPR. Hvis du endnu ikke er kommet i gang med sikre, at du overholder lovgivingen, er her bare nogle få måder at komme i gang på:

1. Kortlæg din virksomheds data

Sørg for at kortlægge, hvor alle personlige data i din virksomhed kommer fra, og for at dokumentere, hvordan virksomheden anvender disse data. Identificer, hvor al data findes, hvem der har adgang, og om alle data er tilstrækkeligt beskyttet.

2. Beslut hvilken data du har behov for at gemme

Gem ikke mere information end nødvendigt og fjern data, som ikke bliver brugt. Hvis din virksomhed indsamler en masse data uden noget bestemt formål, kan det ikke fortsætte, når GDPR træder i kraft. GDPR opfordrer til en mere disciplineret behandling af personlige data.

I oprydningsprocessen bør du spørge dig selv:

  • Præcis hvorfor gemmer vi denne data, i stedet for at slette den?
  • Hvorfor gemmer vi alle disse data?
  • Hvad prøver vi at opnå ved at indsamle alle disse kategorier af personlige oplysninger? 
  • Er den økonomiske gevinst ved at slette denne information større end at kryptere den?

3. Få sikkerhedsforanstaltninger på plads

Sørg for at udvikle og implementere sikkerhedsforanstaltninger i hele din infrastruktur for at hjælpe med at forhindre datasikkerhedsbrud. Det gælder om at få nogle sikkerhedsværn på plads, som kan beskytte mod databrud, og om at handle hurtigt og informere enkeltpersoner og myndigheder, hvis der skulle opstå et brud.

Sørg også for at tjekke dine leverandører. Outsourcing fritager dig ikke for at være ansvarlig. Du skal sikre dig, at de også har de rigtige sikkerhedsforanstaltninger på plads.

4. Gennemgå din dokumentation

Under GDPR skal enkeltpersoner aktivt give samtykke til både indsamling og behandling af deres data. Allerede afkrydsede bokse og underforstået samtykke vil måske ikke længere være acceptabelt. Du bliver derfor nødt til at gennemgå alle dine fortrolighedserklæringer og oplysninger og tilpasse dem, hvor der er behov for det.

5. Sørg for at etablere procedurer for håndtering af personlige data

Som tidligere nævnt har enkeltpersoner 8 grundlæggende rettigheder under GDPR.

Du bør etablere retningslinjer og procedurer for, hvordan du vil håndtere hver af disse situationer.

For eksempel:

  1. Hvordan kan personer give samtykke på lovlig vis?
  2. Hvad er processen, hvis en person ønsker at få sine data slettet?
  3. Hvordan vil du sikre, at det sker på tværs af alle platforme, og at data virkelig bliver slettet?
  4. Hvordan vil du håndtere det, hvis en person ønsker at få overført sine data?
  5. Hvordan vil du få bekræftet, at den person, som beder om at få overført sine data, er den person, han giver sig ud for at være?
  6. Hvad er kommunikationsplanen i tilfælde af et databrud?

Konklusion

Data er en værdifuld valuta i det moderne samfund.

Og selvom GDPR skaber store udfordringer og bekymringer for os som virksomheder, skaber det også muligheder.

Virksomheder, som viser, at de værner om persondatabeskyttelse (udover almindelig overholdelse af reglerne), som er åbne omkring, hvordan de anvender data, og som løbende udarbejder og implementerer nye og forbedrede måder at håndtere kundedata på, skaber større tillid og mere loyale kunder.

Da forordningen første gang blev annonceret i 2016, virkede det som om, at virksomhederne havde rigeligt tid til at foretage de nødvendige tiltag. Men tiden er gået stærkt, og mange virksomheder kæmper stadig, selvom tidsfirsten er overskredet. Hvis du ikke allerede har påbegyndt din rejse, opfordrer vi dig til at gøre det nu.

Afsæt tid til at forstå, hvad du skal gøre for at leve op til GDPR og brug de nyttige tips i denne artikel til at komme i gang. Herefter bør du udarbejde en handlingsplan for din vej til GDPR, så du kan sikre dig, at din virksomhed lever op til GDPR - jo før jo bedre.

Hvis du gerne vil vide mere om, hvordan GDPR påvirker dine kundedata, er du velkommen til at kontakte os!

Download vores nye white paper og lær mere om GDPR og hvordan det ændrer kunderelationer.

Ansvarsfraskrivelse: Indholdet i denne artikel kan ikke betragtes som juridisk rådgivning og bør kun bruges som information.

Vil du have viden, der kan hjælpe din virksomhed til at vækste?

Tilmeld dig vores nyhedsbrev og få del i den viden, vi har samlet, mens vi har hjulpet virksomheder med at omsætte relationer til god forretning.