Förbered ditt CRM-system för GDPR – några handfasta tips

Den 25:maj 2018 träder alltså EU:s nya dataskyddsförordning (GDPR) i kraft. Jag antar att du som fler av våra kunder funderat mycket på vad det egentligen betyder för ditt företag och framförallt i sättet du hanterar dina kunder.

CRM-system har ju ofta används (och används fortfarande) just för att spara ner bra personlig information, som när kunden har sin bröllopsdag eller hur många barn personen har och vad de heter. I syfte att säljaren ska kunna framstå mer som en vän än som en säljare. Det är alltid enklare att göra affärer med någon som känner en. Många företag kör bland annat golf-tävlingar med sina kunder, och vill då veta vilka av kunderna som spelar golf och kanske vilket handicap de har.
Hur ska man nu göra med den typen av information? Får man inte spara den längre?

Ja och nej. Mer om det lite senare.

Vad är GDPR?

I Sverige GDPR ersätter personuppgiftslagen, eller PUL, som togs fram samtidigt som Lewinsky-skandalen avslöjades, 1998 med andra ord. Och mycket har hänt sedan dess när det kommer till hur och var våra personliga uppgifter sparas. Lagen är till för att skydda oss, helt enkelt. Kan vi som kunder känna oss trygga, underlättar det för att göra fler affärer, båda inom Sverige men även inom EU. Datainspektionen har räknat på att genom att alla EU länder har samma regler, kommer företag både spara och tjäna en hel del pengar – upp åt 2,3 Miljarder euro. Så, i grunden är det mycket positiva effekter som kommer med GDPR, även om det kräver en hel del arbete.

Vad är personuppgifter?

Allt som kan identifiera en person. Även teknisk data som kan identifiera en person, som någons IP-adress. Vilket man måste fundera på hur man använder när man till exempel följer hur kunder tittar på ens hemsida eller läser ens mejl.
Det gäller även aggregerad eller hopslagen data, som gör att man kan identifiera en person.

Hur ska jag hantera personuppgifter?

Det är alltså företagets skyldighet att skydda de personuppgifter som sparas om kunderna. Nedan följer ett antal riktlinjer att följa vid hantering av denna typ av data:

• Kommunikation – För att du överhuvudtaget ska kunna spara någon personlig information måste företaget få ett otvetydigt samtycke av kunden. Det ska vara tydligt i vilket syfte informationen ska användas och hur länge den ska sparas. Informationen får sedan enbart användas för just det angivna syftet. Kund/leverantörsavtal är exempel på sammanhang där vissa personuppgifter också kan behöva användas.
• Portabilitet – låt kunden få tillgång till sina uppgifter för att kunna byta leverantör
• Radera uppgifter – när som helst kan en kund be dig radera all personlig information du har om kunden, en önskan du måste uppfylla
• Ta del av – Kunden måste kunna få ta del av det insamlade data du har om den
• Korrigerade uppgifter – kunden behöver kunna få sina uppgifter enkelt uppdaterade när den önskar
• Marknadsföring – ge kunderna/prospekten rätten att välja bort direkt marknadsföring där deras uppgifter används. Låt helt enkelt kunden göra opt-in på er marknadsföring och inte tvärt om. Det finns något som kallas intresseavvägning som vissa företag använder sig av för att kunna spara personuppgifter som sedan används vid marknadsföring. Företaget måste då kunna visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till sin information.

Vad kan jag göra för att säkerställa att jag uppfyller riktlinjerna?

Förstå vilken information ni har om era kunder – Less is less

Det bästa tipset är det enklaste: bestäm vilket data ni måste ha och spara bara det. För ju mindre ni har sparat, ju enklare att hantera.

Använder ni ett CRM-system har ni ju redan en plats där all information finns (eller kan finnas) om kunderna vilket underlättar för er att hålla ordning på informationen. Det gäller också att med hjälp av systemet, begränsa möjligheterna att spara mer information än ni bestämt ska sparas. Ett exempel på detta kan vara att inte använda sig av fritext-fält, eftersom det kan missbrukas. Vill man ändå ha fritextfält, finns det sätt på vilket det går att söka ut eller varna för olämpligt innehåll. Sätt i så fall upp regler och processer för denna typ av översyn.

Automatisera uppdatering och borttagning av data

Säkerställ att du har ett enkelt sätt att radera personlig information om er kund. Det kanske låter enkelt, men det kan finnas sparade mejl med personlig information i CRM-systemet, eller telefonsamtalsnoteringar med känslig information. Detta kan göras mer eller mindre manuellt, till exempel genom att i mejl plocka ur den personliga informationen och spara den i formulär istället och sedan radera mejlet. Bestäm också vilken information som måste sparas om kunden, av legala skäl, som till exempel för bokföringssyften. Lägg nivån av automatisering på en lämplig nivå för ert företag.

Det gäller också att bestämma hur länge ni sparar informationen innan den eventuellt raderas. Detta kopplar till hur er kundlivscykel ser ut. Bestäm er för hur länge man är kund hos er, om man inte handlat hos er på två år, är man då kanske inte att anse som kund längre? Dess riktlinjer behöver ni beskriva i er kundlivscykel dokumentation. Och när en kund inte längre anses var kund, ska den personliga informationen tas bort.

Se över säkerheten

Tänk på att använda er av behörigheter och roller i ert CRM-system. Bara de som ska få se personlig information ska ha rättigheten att göra det. Det system jag arbetar med, kan styra säkerhetsnivåer ner på specifika fält, så det går absolut att i detalj dela ut rättigheter. När någon slutar, måste det vara enkelt att även ta bort personens accesser till både mobila och stationära enheter.

Ett sätt att öka säkerhetsnivån kan vara att börja använda tvåfaktors autentisering.

Ofta finns också bra loggningsfunktionalitet som kan användas som del av dokumentationen.

Dokumentera era processer

Dokumentera processerna som hanterar era kunder, allt från lead genereringen tills man inte längre är kund – vilken data hanteras och till vilket syfte.

Arbeta med ständig förbättring

Med detta menar jag att ständigt se över processerna, så de håller måttet. Det är inte säkert att man tänkt på allt från början, men det kan också hända att era affärer har ändrats.

Summering

Tillbaka till frågan om man får spara ner information om kunden gillar golf eller inte.
Det får man alltså göra, under förutsättning att kunden accepterar det och förstår anledningen till varför och det är del av era dokumenterade processer.
Det kanske är lite svårare med uppgifterna om kundens barn eller bröllopsdag.

Vill du lära dig mer om hur du kan planera för att GDPR-säkrat CRM-system? Titta på denna film, där vi tillsammans med vår partner, Basalt, berättar mer om just det. Dynamics 365 som plattform och crmpaketet är GDPR-compliant, vilket gör det till ett säkert val.