GDPR og kundedata

Hvor stor indflydelse har GDPR på den måde, man behandler kundedata på? Svaret vil afhænge af jeres virksomhed, og hvordan I bruger kundens data. Nogle virksomheder bliver nødt til at investere meget i datasikkerhed og GDPR juridisk rådgivning, mens andre ikke har problemer har med at være på den rigtige side af loven, når det gælder kundedata.

Hvis man indsamler eller deler kundedata uden tilladelse eller uden at beskytte dem, skal man passe på. I så fald bør man ændre sin databehandling – og gerne hurtigt. Hvis man derimod er forsigtig i den måde, man behandler kundedata på, kan man nøjes med at lave små – eller slet ingen – justeringer i forhold til at overholde GDPR.

For en lille virksomhed, der indsamler en minimal mængde kundedata og kun bruger dem til at levere tjenester, kan GDPR faktisk være en mulighed for at udmærke sig. Med blot nogle få justeringer kan man nemt blive GDPR-compliant og signalere til kunderne, at deres data er sikre. På denne måde vil man adskille sig selv fra nogle af de større aktører, som udstilles for at mishandle kundedata.

Bloggen her omhandler hvor jeres kunder er beskyttet af GDPR, hvordan jeres virksomhed bruger kundedata, og endelig vil du blive præsneteret for en liste af de bedste praksisser for overholde GDPR, når det kommer til kundedata.

GDPR beskytter persondata for personer, der befinder sig inden for Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Dette inkluderer:

• EU-borgere, der bor i EU
• EU-borgere, der bor i udlandet
• Udenlandske bosiddende i EU
• Besøgende i EU

Dette giver GDPR et bredt anvendelsesområde. Hvis jeres produkter, service eller markedsføring er målrettet  nogen af grupperne ovenfor skal I overholde GDPR. Derudover er det vigtigt at huske, at mange andre lande efterhånden har lavet deres egne databeskyttelseslove – i Danmark har vi Persondataloven. Mange af disse nationale love bygger på GDPR. Derfor kan visse regler og bedste praksis for håndtering af kundedata i GDPR siges at gælde verden over.

Man bør overveje, hvordan ens virksomhed anvender kundedata. Hvilke data beder man folk om, og hvordan bruger man dem? Her er nogle af de måder, I muligvis bruger kundedata på lige nu:

At levere varer og tjenesteydelser
Gennem historien har folk udvekslet varer eller tjenesteydelser med hinanden. Dette er princippet inden for handel. Men idag er det ikke altid så enkelt. Normalt har man brug for nogle oplysninger om kunderne for at levere en service eller et produkt. Dette inkluderer data, man indsamler for at opfylde ordrer, behandle betalinger og levere varer. Alle disse personlige data er underlagt GDPR-reglerne, uanset om man indsamler dem online, over telefonen eller personligt.

Til personalisering og tilpasning
Afhængigt af ens produkt eller service kan man indsamle yderligere personlige data fra folk. Man kan bruge denne type personlige data til at personliggøre og skræddersy kundeoplevelsen. At vide noget om personen kan hjælpe én med at anbefale relevante produkter eller tjenester. Indsamling af oplysninger om deres tidligere køb eller browserhistorik giver én mulighed for at forbedre personens oplevelse på éns hjemmeside. For eksempel ved at give dem tilpasset indhold og anbefalinger.

Til kundesupport og kommunikation
Man har også brug for kundedata for at levere effektiv kundesupport og kommunikation. Dette inkluderer kundekontaktoplysninger for at svare på forespørgsler, give opdateringer om ordrer eller løse problemer. Kunder kan også dele yderligere data og endda følsomme data med éns kundesupport-afdeling.

Til markedsføring og reklame
Kundedata spiller en væsentlig rolle i marketing- og reklameaktiviteter. Det kan hjælpe én med at udføre markedsundersøgelser, forstå folks præferencer og segmentere kunder i målgrupper. Dette lader én oprette målrettede marketingkampagner og indhold. For eksempel salgsfremmende e-mails, der er relevante for forskellige kunder og leads.

For at forbedre éns virksomhed
Kundedata kan give én indsigt i kundeadfærd, præferencer og tendenser. Dette kan hjælpe med at identificere mønstre og forstå markedsdynamikken. Det kan hjælpe én til at vide, hvordan man forbedrer éns produkter eller tjenester og træffer informerede forretningsbeslutninger. Dataanalyse kan også bruges til at optimere éns prissætning, lagerstyring og overordnede forretningsdrift.

For overholdelse og lovkrav
Man skal muligvis gemme kundedata for at opfylde juridiske forpligtelser og lovkrav. Dette omfatter vedligehold af optegnelser til skattemæssige formål, verifikation af kundeidentiteter for at forhindre svig eller hvidvaskning af penge eller besvarelse af juridiske anmodninger eller forespørgsler fra regeringen. Visse sektorer, såsom sundhedssektoren, kan være forpligtet til at opbevare data i en bestemt periode.

Deling eller salg af kundedata
Ovenstående er nogle af de mest almindelige måder, man kan bruge kundedata på i en virksomhed. Og de er alle underlagt GDPR-reglerne. Men man bør også overveje, om man deler data uden for éns virksomhed til andre formål. For eksempel kan man dele data med forretningspartnere, såsom leverandører, leverandører eller tjenesteudbydere. Dette kan hjælpe én med at levere produkter og service, forbedre kundeoplevelsen og strømline éns virksomhed. Men deling af kundedata med tredjepart er underlagt strenge GDPR-regler.

Som udgangspunkt kræver GDPR, at man har et juridisk grundlag for at indsamle kundedata. At få samtykke er en af de mest almindelige og direkte måder at være sikker på, at man har det juridiske grundlag på plads. Selvom man får mundtligt samtykke, bør man sørge for at dokumentere det.

Samtykkeerklæringer skal være klare og lette at forstå. De bør angive grundene til, at man beder om kundedata. De bør også nævne, hvad man bruge data til, og inkludere et link til éns privatlivspolitik. Hvis man deler eller sælger data, bør man normalt få specifikt samtykke til at gøre det.

GDPR-princippet om dataminimering omfatter mængden af data man indsamler fra kunder. Princippet indebærer, at man kun bør indsamle og behandle den mindste mængde kundedata, der er nødvendig til éns angivne formål. Dette princip har til formål at begrænse eksponeringen af folks personlige oplysninger og risici for deres privatliv. Man bør i denne forbindelse finde ud af hvilke data man har – og gøre det regelmæssigt –  for at sikre, at man ikke opbevarer data, man ikke har brug for.

GDPR giver kunder flere rettigheder over deres personlige data. Som virksomhed bør man være bekendt med disse rettigheder og oplyse dem til éns kunder i éns privatlivspolitik. Læs mere om kundernes datarettigheder her.

Folk kan fremsætte data-anmodninger baseret på disse rettigheder, og som virksomhed skal reagere på dem med det samme. Normalt skal man svare på dataanmodninger (også kaldet DSR’er eller DSAR’er) inden for 30 dage. Man bør sørge for, at man har en plan på plads for at svare på data-anmodninger til tiden.

Udover at undgå bøder er der en vigtigere grund til at reagere på disse anmodninger omgående, nemlig kundetilfredshed. At være klar og villig til at give folk information om deres data, når de beder om det, er bare god kundeservice.

GDPR requires you to implement appropriate technical and organizational measures to protect customer data. technical and organizational measures to protect customer data from unauthorized access, loss, destruction, or alteration.

Use strong passwords, encryption, and access controls. Perform regular data backups. Educate your employees about how to protect their devices and the data on them. Don’t forget to protect paper copies and notes with people’s personal information on them.

GDPR giver hvert EU-medlemsland mulighed for at etablere sin egen tilsynsmyndighed. I Danmark er dette Datatilsynet. Datatilsynet er ansvarlig for at håndhæve og føre tilsyn med GDPR i Danmark. Som sådan har de magten til at efterforske brud, udstede bøder og give vejledning om databeskyttelse. Giv Datatilsynets kontaktoplysninger til jeres kunder. Dette gør dine kunder opmærksomme på, at I tager ansvar for at beskytte deres kundedata.

Hvis jeres virksomhed skulle komme ud for en hændelse, der udgør en risiko for jeres kunders rettigheder og friheder, skal I rapportere det. Sørg for at have IT-systemer på plads, der hjælper jer med at identificere uautoriseret adgang, offentliggørelse eller tab af kundedata.

Når en af disse hændelser opstår, skal I først vurdere situationen for at se, om den udgør en risiko for folks privatliv, rettigheder og omdømme. Hvis det er tilfældet, skal I straks underrette tilsynsmyndigheden uden unødig forsinkelse. Generelt bør man rapportere et brud inden for 72 timer efter, at man er blevet opmærksom på hændelsen. Datatilsynet vil vurdere bruddet og kan give vejledning eller anmode om yderligere oplysninger.

I skal muligvis også underrette personer, der er berørte. Fortæl dem om typen af bruddet, de berørte typer data, potentielle konsekvenser og anbefalede foranstaltninger, de kan tage for at beskytte sig selv.

Til sidst skal I nedskrive alle detaljer for et databrud, herunder detaljerne om bruddet, de foranstaltninger, der er truffet, og enhver kommunikation med myndighederne og berørte personer. Disse optegnelser viser overholdelse af rapporteringsforpligtelser i tilfælde af en lovpligtig undersøgelse.

Hvis I bruger nogen tredjepartstjenesteudbydere til at behandle kundedata for jer, kræver GDPR, at I udarbejder en databehandlingsaftale (DPA). Grundlæggende er dette en kontrakt, der beskriver hver parts ansvar og forpligtelser for at sikre overholdelse af GDPR.

GDPR har særlige krav til overførsel af kundedata uden for EU (grænseoverskridende overførsler). Husk dette, når I kommunikerer med oversøiske forretningspartnere, såsom leverandører, producenter eller distributører om en kunde.

Men før I sender kundedata til oversøiske partnere, skal I først overveje, om de virkelig har brug for disse data for at udføre deres arbejde. Og som altid, hvis I ikke har brug for at dele personlige data, skal I ikke dele dem.

Et eksempel kunne være en blomsterhandler i Europa, der arbejder med leverandører i udlandet for at importere tropiske blomster. Når de kommunikerer om ordren, er blomsterhandleren omhyggelig med ikke at kopiere eller videresende kundeanmodninger/chat/ordreformularer, der kan indeholde den kunders personlige oplysninger. Blomsterhandleren tager sig tid til at tjekke alt, hvad de deler. På denne måde undgår de at sende nogen af deres kundes data til udlandet.

Det er altid den bedste politik kun at dele kundedata på et need-to-know-grundlag. Dette er især gældende, når man skal dele data med nogen i et andet land uden for EU. Hvis I har brug for at sende kundedata til et andet land, anbefaler vi, at I gør følgende for at være sikker på, at overførslen opfylder GDPR-kravene:

• Tjek, om landet har en beslutning om aftale med EU. Hvis ja, kan man behandle det som en EU-overførsel
• Kun overførsel til virksomheder med bindende virksomhedsregler (BCR’er)
• Få dataimportøren til at påtage sig en bindende forpligtelse i forhold til at anvende sikkerhedsforanstaltninger der beskytter data
• Få udtrykkeligt samtykke fra kunden til at dele deres data i udlandet

Uden samtykke skal overførslen være nødvendig for opfyldelsen af en kontrakt, for personens vitale interesser eller for etablering, udøvelse eller forsvar af retskrav. Derudover kan du få lov til at udføre lejlighedsvise overførsler. De må ikke være gentagne og må kun vedrøre et lille antal individer.