Vurdering af SuperOffice CRM og GDPR foretaget af DLA Piper
Alle vores produkter har været igennem en ekstern gennemgang for at få bekræftet, at vores produkter fungerer i overensstemmelse med og understøtter GDPR kravene. Nedenstående finder du resultaterne at en revision, som det globale advokatfirma DLA Piper har foretaget på vegne af SuperOffice. Rapporten ser på de krav, der er udstukket i GDPR lovgivningen, og evaluerer, hvordan SuperOffice produkterne understøtter de forskellige krav fra et praktisk og et juridisk perspektiv. Hovedkonklusionen bekræfter, at SuperOffice er klar til GDPR og har foretaget alle nødvendige foranstaltninger for at leve op til GDPR kravene.
Du kan læse hele rapporten her: DLA Piper gennemgang af SuperOffice CRM
Som du sikkert ved, står R'et i CRM for "Relationer", og relationer findes kun mellem mennesker.
For at bibeholde relationerne indeholder et CRM-system typisk oplysninger om kunder og personer, som på forskellige måder er relateret til en virksomhed, samt en historik over markedsførings-, salgs- og servicefunktionernes aktiviteter. I et CRM-system er der desuden registreret ganske mange data om personer på forskellige måder og i en række forskellige sammenhænge.
SuperOffice CRM er designet til at hjælpe dig med fortsat at overholde GDPR-lovgivningen gennem den måde, du lagrer og behandler (bruger) private data i dit CRM-system. Ved hjælp af de indbyggede persondata-funktioner i SuperOffice vil du blive guidet til at behandle personlige oplysninger om dine kunder og kundeemner på en lovlig måde.
Mange virksomheder ser i dag på personlige oplysninger som det "nye guld". Sikker lagring, lovlig indsamling af personoplysninger og livscyklusstyring for personlige oplysninger er afgørende for at kunne drive en virksomhed på en produktiv og moderne måde, både i dag og i fremtiden.
Adgang til personlige oplysninger om relationer, transaktioner, digitale fodspor m.m. er grundlaget for intelligent og personligt tilpasset automatisering. Ved at analysere personlige oplysninger og omsætte resultaterne til handlinger vil man kunne automatisere mange af sine markedsførings-, salgs- og serviceprocesser. Derfor er det ingen overraskelse, at de fleste virksomheder i dag anser på procesautomatisering som en nødvendig forudsætning for at kunne drive en succesfuld og konkurrencedygtig virksomhed i fremtiden.
Dette afsnit giver et overblik over, hvilke nye funktioner der er implementeret i SuperOffice CRM til at støtte brugere og administratorer af systemet ved håndtering af persondata. Afsnittet beskriver også, hvordan SuperOffice-produktudviklingsteamet har indført princippet Privacy by Design i alle faser af produktudviklingen.
1. Privacy by Design
Det er et krav i GDPR, at produkter, som indeholder (lagrer og bruger) personlige oplysninger, skal tage persondata i betragtning, når produktet designes. Det betyder, at produktets design skal sikre, at lagring og brug af personlige oplysninger er i overensstemmelse med GDPR-lovgivningen.
Desuden må produktet ikke på nogen måde forhindre virksomheden, dens kunder eller enkeltpersoner i at udøve deres pligter og rettigheder ifølge GDPR. Vi fremhæver dette krav, fordi systemer, som ikke er designet til persondata, meget ofte vil forhindre den krævede adgang til og indsigt i personlige oplysninger.
Vores mål i SuperOffice er ikke kun at "overholde GDPR", men også at gøre det så let som muligt for vores kunder at indsamle og bruge personlige oplysninger.
SuperOffice har altid haft et stærkt fokus på brugbarhed, og vi kan tydeligt se, at vores eksisterende kernefunktionalitet gør det let for os at implementere nye funktioner til håndtering af persondata i vores produkter.
Brugere af SuperOffice, der arbejder i salg, markedsføring, kundeservice eller andre roller, har andre ting i tankerne i forbindelse med deres arbejde. Lad os bare indrømme, at det at "overholde GDPR" ikke er en prioritet for folk, der i hverdagen forsøger at udføre et godt salgs- eller markedsføringsarbejde. Sådan er det bare. Og det forstår vi godt.
SuperOffice har som ambition at guide og hjælpe brugerne af SuperOffice CRM med at indsamle og bruge data på en måde, der automatisk beskytter personinfo. Derfor har vi indbygget automatisering og kontrol i vores produkt for at hjælpe brugerne.
De nye regler er delvist GDPR-relaterede og delvist definerede af virksomheden selv. Disse kaldes "Indstillinger for beskyttelse af personlige oplysninger". På den måde kan brugere af SuperOffice CRM fortsætte med at arbejde på deres normale og effektive måde uden at skulle håndtere tidskrævende og komplekse problemstillinger omkring persondata. Vi ønsker ikke kun at indbygge overholdelse af lovgivningen, men også at tilbyde en god brugeroplevelse.
Det første skridt ved opbygningen af en applikation, der understøtter vigtige GDPR-krav er at skabe en særlig indstilling omkring det trin i softwareudviklingen, der sikrer, at man tager sig af alle aspekterne omkring håndtering af persondata.
Den grundlæggende tanke er her, at persondata ikke er noget, der føjes til en eksisterende applikation, men noget, der er naturligt indbygget i kernearkitekturen og funktionaliteten. På samme måde som vi designer teknisk sikkerhed, ydelse, stabilitet og brugervenlighed fokuserer vi nu også på, hvordan personlige oplysninger rent faktisk lagres og håndteres i SuperOffice CRM.
Vi er meget stolte af, at dette fokus på Privacy by Design er indbygget i alle faser og processer i vores softwareudvikling og er blevet en integreret del af vores udviklingskultur.
2. Håndtering af privatlivets fred
Helt inde i kernen af den nye forordning (GDPR) finder man en række grundlæggende personlige rettigheder, som skal beskytte individers privatliv og kontrollere brugen af de digitale spor, de efterlader, når de bruger internetbaserede applikationer og tjenester.
Hensigten med disse rettigheder er at skabe åbenhed, tilbyde kontrol og opbygge tillid mellem personer, som overdrager deres data, og virksomheden, der bruger dem til et bestemt formål.
SuperOffice CRM tilbyder dedikeret funktionalitet til at understøtte opfyldelsen af disse rettigheder. Nogle gange kaldes dette også "Livscyklusstyring for personinfo" Det betyder, at SuperOffice vil beskytte og håndtere personinfo fra det øjeblik, de oprettes i SuperOffice, indtil de slettes eller fjernes.
Alle personlige oplysninger skal lagres på en sikker måde. De bør også være tilgængelige på anmodning fra enkeltpersoner, og de skal håndteres og anvendes i overensstemmelse med virksomhedens politik for persondata. Hvis der ikke længere er begrundet behov for lagring og/eller brug af de personlige oplysninger, skal de automatisk slettes eller anonymiseres. Hvordan SuperOffice understøtter disse rettigheder er beskrevet mere detaljeret senere.
3. Samtykkehåndtering
Ifølge GDPR skal der altid foreligge et veldefineret formål i forbindelse med indsamling af oplysninger om personer. Et formål skal være understøttet af et retsgrundlag. For hver person, man lagrer i sit CRM-system, skal man kunne dokumentere formålet og retsgrundlaget for at gøre det.
Retsgrundlaget findes i GDPR artikel 6, som opfører 6 forskellige juridiske begrundelser (a-f). I nogle tilfælde er man også nødt til at indsamle og dokumentere samtykke fra hver enkelt person til konkrete behandlings- og kommunikationsformål. Her er nogle få eksempler på sådanne formål: sende e-mails med markedsføring, dele personlige oplysninger med andre virksomheder, indsamle data fra andre kilder, spore en persons adfærd på webstedet, profilering m.m.
SuperOffice tilbyder datafelter på kontaktkortet til dokumentation af formål, retsgrundlag, kilde samt hvornår dataene blev indsamlet og af hvem. SuperOffice CRM vil selvfølgelig hjælpe dig med at indstille disse felter automatisk, når det er muligt.
For hver person kan du angive, hvilket retsgrundlag du har for alle dine formål:
- Formål (f.eks. direkte salg, markedsføring, kontraktlige forpligtelser, profilering osv.)
- Retsgrundlag (GDPR artikel 6)
- Hvornår (datoen hvor retsgrundlag blev fastsat/opdateret)
- Opdateret af (f.eks. den person, der har oprettet kontakten i CRM, en anden SuperOffice-bruger, et andet system).
- Kilden (f.eks. via en webformular, en e-mail, en service-sag, importeret fra ERP, manuelt registreret)
For at sikre, at du behandler data i overensstemmelse med GDPR vil nogle funktioner i SuperOffice CRM som standard kun blive udført, hvis der er angivet et dokumenteret retsgrundlag for et bestemt formål. For eksempel sendes udsendelser kun til personer med et registreret og gyldigt retsgrundlag, som i praksis er et samtykke til at få tilsendt markedsføringsmateriale.
I det nye Persondatacenter i modulet Indstillinger og vedligeholdelse kan du centralt definere og vedligeholde:
- Lister over formål og retsgrundlag, som virksomheden har defineret.
- Standardretsgrundlag, som skal indstilles, når en ny person føjes til systemet.
- Aktiv mulighed for automatisk at sende en e-mail og bede om markedsføringssamtykke, når en ny person tilføjes i SuperOffice CRM.
Der er også adgang til mulighed for at angive retsgrundlaget for forskellige formål via et API. Denne funktionalitet gør det muligt at dele og indsamle retsgrundlag gennem integrationer med andre systemer.
4. Abonnementsadministration
I overensstemmelse med GDPR-kravene, vil kun personer, som har givet deres udtrykkelige samtykke til at modtage e-mails fra dig, blive håndteret i udsendelsesmodulet i SuperOffice (dette kan tilsidesættes, men på eget ansvar).
Vi har udvidet mulighederne for at angive præferencer om indhold for hver person i SuperOffice Udsendelse. Det betyder, at hver enkelt kontakt i din CRM-database nu kan angive sine egne præferencer for modtagelse af materiale og enten tilvælge eller fravælge bestemte typer af kommunikation. Denne funktion er tilgængelig som links i e-mails (Linket "Vedligehold mine abonnementer") eller i vores Customer Centre.
For eksempel vil denne funktion gøre det muligt for en person at sige: Jeg ønsker ikke at modtage e-mails om "Produktnyheder", men jeg vil gerne modtage "Invitationer til arrangementer". Dette er i tillæg til muligheden for helt at fravælge alle udsendelser.
Sådan fungerer det: I modulet "SuperOffice Formularer" kan du definere og designe webformularer, der kan placeres (indlejres) på din webside eller udløses fra et link i en e-mail, som du sender til dine kontakter. Disse formularer vil hjælpe dig med at indsamle data fra besøgende på dit websted og bede dem om et samtykke til alle de formål, du har brug for. Dataene, der indsamles i disse formularer, opdaterer din SuperOffice-database direkte og automatisk.
Det er en virkelig god og nyttig funktionalitet til at indhente samtykke til markedsføringsabonnementer.
5. Adgangskontrol i SuperOffice
5.1 Fortrolighed og integritet
GDPR definerer tydeligt, hvad fortroligheden af personlige oplysninger skal betyde for softwareproducenter: at holde personlige oplysninger beskyttet mod uautoriseret adgang.
Modulet SuperOffice Access Management er udvidet til også at dække personlige data om dataemner i alle CRM-felter. Det betyder, at du nu kan konfigurere standardsystemet til datagodkendelse i SuperOffice til at beskytte private data i databasen mod uautoriseret adgang. Du kan tildele niveauer for sikkerhed og tilgængelighed ved hjælp af følgende funktioner i SuperOffice CRM: roller, rettigheder, synlig for og sikkerhedsplugins.
5.2 Privatlivsvenlige standardindstillinger og adgangsrettigheder
GDPR kræver, at princippet om "Privatlivsvenlige standardindstillinger" anvendes i al databehandlingssoftware. Det betyder, at ingen personlige oplysninger må videregives eller distribueres unødigt, og at de strengeste indstillinger for beskyttelse af personlige oplysninger automatisk skal gælde. GDPR kræver, at softwaresystemer skal blokere for uautoriseret behandling af data.
For eksempel må CRM-brugere, som ikke har en markedsføringsfunktion, ikke kunne sende udsendelser. SuperOffice CRM gør det nemt at opsætte sådanne begrænsninger ved hjælp af roller og funktionsrettigheder.
SuperOffice CRM kan blokere deling af personfølsomme oplysninger via roller, så kun godkendte brugere kan se oplysningerne, mens ikke-godkendte brugere ikke kan. For eksempel kan din sekretær have adgang til en persons adresse og telefonnummer, mens dennes bankkontonummer bliver blokeret i visningen.
Privatlivsvenlige standardindstillinger indebærer også, at personlige oplysninger kun opbevares, så længe det er nødvendigt. Når en relation til en kunde ophører, skal alle personlige oplysninger slettes.
For at opfylde dette krav og "retten til at blive glemt" i GDPR, kan SuperOffice automatisk klassificere kunder og fjerne udløbne personlige oplysninger. Man kan definere en opbevaringspolitik for håndtering af udløbne personlige oplysninger.
6. Hændelseshåndtering (overtrædelser)
GDPR kræver, at hændelser omkring personlige oplysninger skal indberettes og behandles omgående. Derfor er det bydende nødvendigt, at en hændelseshåndteringsplan er indkodet i selve databehandlingssoftwaren.
SuperOffice Service-systemet kan fastlægge en plan for håndtering af hændelser og underrette de berørte personer. Faktisk leverer vores Service-modul brugsklar funktionalitet til hændelseshåndtering som en del af SuperOffice Service-brugerplanen.
Hændelser kan være alt fra små hændelser – en forkert adresseret e-mail med personlige oplysninger – til store hændelser – utilsigtet blotlægning af personlige oplysninger.
Selve registreringen af hændelsen ligger uden for, hvad SuperOffice kan håndtere. Personer uden for organisationen vil dog ofte rapportere hændelser. Hændelsesrapporter kan let gå tabt i en fyldt indbakke, lige indtil man ser dem på forsiden af den lokale avis.
Det kan SuperOffice hjælpe dig med: Systemet til forespørgselsstyring i SuperOffice Service kan hjælpe med at opfange og følge disse hændelsesrapporter.
Vores system til hændelseshåndtering følger, hvad der bliver gjort og hvem, der er berørt, og systemet sikrer, at du opfylder dine GDPR-forpligtelser. Hvis en overtrædelse omfatter personfølsomme oplysninger, skal du både underrette de berørte personer og myndighederne. SuperOffice Service kan hjælpe dig med at gennemføre disse trin på korrekt vis.
7. Migrering af eksisterende data til “GDPR-overholdelse”
Alle virksomheder, der påbegynder processen frem mod GDPR-overholdelse står over for det samme dilemma: Hvad skal vi gøre med vores eksisterende database, der indeholder information om kunder og kundeemner?
For at opfylde GDPR-kravene skal virksomhederne finde en måde til at migrere deres eksisterende data til en tilstand, hvor alle data lagres og håndteres i henhold til den nye forordning. Hvis der er private data i databasen i dag, må de ikke længere være der ifølge GPPR. Virksomheden er nødt til at fjerne alle de private data.
Virksomheder, der allerede bruger SuperOffice CRM, skal "migrere" deres database til den seneste version af SuperOffice, som indeholder yderligere databasefelter og funktioner for at sikre integritet, fortrolighed og tilgængelighed – i henhold til GDPR-kravene. Den seneste version af SuperOffice CRM har værktøjer til at analysere dine eksisterende data og konvertere dem til nye, GDPR-forberedte strukturer.
Der findes ikke to virksomheder, som har det samme omfang af aktiviteter, og derfor er alle virksomheders kundedatabaser unikke. Virksomheder har deres egne regler og politikker, der påvirker måden, hvorpå de driver forretning og indsamler information. Derfor tilbyder SuperOffice CRM fleksible værktøjer, som i vidt omfang kan standardiseres og automatiseres.
Desuden tilbyder SuperOffice rådgivning og arbejder ud fra en implementeringsmetode baseret på bedste praksis, som kan hjælpe vores eksisterende kunder med at opgradere deres eksisterende SuperOffice-database til en GDPR-kompatibel tilstand.