GDPR - Nye krav gir kundene råderetten

- Prøv å se virksomheten din fra kundens ståsted - og sørg for at persondata håndteres deretter, sier Kenneth Westad og Hallvard Müller i Styrmand. Vanskeligere er ikke kravene til den nye personopplysningsloven og GDPR. Men omstillingen er likevel en krevende prosess for de fleste. Hos mange er bevisstheten lav.

Sommeren 2018 innføres lovverk som flytter råderetten over kundedata tilbake til kunden selv. Faren for en bot på hele 4 % av omsetningen har gitt GDPR mye omtale, og noe av den er på grensen til skremselspropaganda, sier Kenneth og Hallvard i Styrmand.

Hallvard Müller (t.v) og Kenneth Westad

- GDPR har egentlig ikke så mange endringer i forhold til lovverket vi alt har i Norge. Den største forskjellen ligger i trusselen om enorme bøter fra neste sommer. Dette har vekket mange og startet prosesser for å få på plass en bedre bedriftskultur og nye rutiner rundt personverndata. Men til tross for mye GDPR-prat for tiden, så er det også skremmende mange som ikke har kommet i gang ennå, sier Kenneth. 

Trenger aktive tilsagn for alt

Den nylig oppdaterte Personopplysningsloven har alt innført krav om at kundene må gi aktivt samtykke til lagring av data, at de skal informeres på en god måte og at tilgang og bruk til dataene skal dokumenteres og være relevant. I tillegg skal kunder kunne trekke tilbake samtykke, og det skal følges opp av faktisk sletting av dataene. Disse rettighetene må støttes av IT-systemene.

- Vi må rett og slett ha innsikt i hva vi lagrer og hvordan det brukes. For de fleste store virksomheter kan dette medføre ganske omfattende arbeid for å definere gapet mellom hva man faktisk gjør og hvordan håndteringen av kundedata må organiseres i stedet, sier Kenneth. Koblet med det nye kommunikasjonsverndirektivet som også kommer neste år, vil nemlig all elektronisk kommunikasjon til forbruker være forbudt hvis man ikke har aktivt samtykke.

- Du får ikke lov til å sende ut dagens nyhetsbrev eller e-post om kundeforholdet uten aktivt samtykke, og dagens samtykker er stort sett for dårlige, sier Kenneth.

Personer, ikke data

 Men selv om loven fokuserer på kundene og deres eierskap til personlig informasjon, blir det blir fort mye snakk om data, systemer og lagring, forteller Hallvard. Ordet “-data” overskygger “kunde-“ og GDPR havner for ofte på bordet til IT-avdelingen.

- Det er helt feil innfallsvinkel. Håndtering og eierskap av kundedata er knyttet til håndteringen av relasjonene til kundene og tjenester man tilbyr. Dette er i høyeste grad en forretningsutfordring som hører til på ledernivå. Tilpasning av IT-systemer må komme i andre rekke, sier Hallvard.

- Styre og ledelse må forstå at det ikke er sikkert at man kan drive butikken lenger hvis man ikke løser dette på en god måte. I verste fall vil man måtte slette det meste av kundedata. Dette må inn i ledelsen, sier Kenneth.

Med riktig forankring på forretningssiden vil den nødvendige gjennomgangen av virksomhetens bruk og avhengighet av kundedata også kunne benyttes til å se etter forretningsmuligheter.

- Alle med personopplysninger må nå gjennom en prosess, og hvis dette gjøres riktig kan det gi både verdiskapning og en positiv kulturendring i bedriften, sier Kenneth.

Persondatahåndtering tilpasset "Internet of Things"

Lovverket er også et svar på den raske utviklingen av ny teknologi og digitale forretningsmodeller. Ettersom nettbruken øker og stadig flere digitaliserte tjenester lagrer kundedata, har det også kommet en strøm av tjenester som ønsker å koble ulike datakilder. Det høye bøtenivået er i seg selv et signal om hvilke verdier som ligger i disse dataene i årene fremover. Forbrukerne har langt på vei mistet kontrollen og oversikten over personlig informasjon. Loven skal gi forbrukerne mer makt i denne utviklingen.

- "Internet of Things" er en realitet og det samles alt inn enorme mengder data om oss. Hvis man setter sammen data om deg fra flere kilder kan man få et svært detaljert bilde av dine vaner, sier Kenneth.

Ett eksempel er nettannonsering, hvor data om at en kunde har kjøpt gressfrø kan være verd mye for alle som selger gressklippere og river. Det kan også hende at forsikringsselskap kunne se nytte av å kunne få data fra pulsmålere eller å kunne kjøpe kjøredata fra bilprodusenter.

Samtidig vet vi at mange forbrukere også ønsker slike nye tjenester velkommen. Det kan gi stor verdi å få tjenester som er tilpasset våre individuelle behov. Og tilpassing til lovverket kan også brukes for å tilpasse hele virksomheten til et nytt marked av kundedata.

- Se på innføringen av oppdatert lovverk som en mulighet til å gjennomgå hvilken relasjon man har til sine kunder og hvordan denne kan utvikles. De som håndterer GDPR best vil klare å skape en positiv kulturendring i bedriften hvor man blir mer fremoverlent i håndteringen av kunderelasjonene. Det er et verdifullt utgangspunkt for å kunne identifisere og lansere gode tjenester og produkter, sier Hallvard.

Ryddejobb på sletting og samtykker

Men før man kommer dit, bør bedrifter også være klar over at det vil være behov for en ryddejobb frem mot neste sommer. Etter at man har skaffet seg en oversikt over bruk og lagring av egne data må rutiner og løsninger tilpasses lovens krav.

- Det gjelder primært innhenting av nye samtykker fra kundene til lagring og behandling. Det andre gjelder systemer og rutiner for faktisk sletting av data hvis kundene ikke gir samtykke. Det er dessverre mange systemer som ikke har god funksjonalitet for dette i dag, så dette kan fort bli et IT-prosjekt, internt eller i samarbeid med bedriftens leverandører, sier Hallvard, og legger til at redusert risiko, bedre systemer, bedre samvittighet og bedre forretningsgrunnlag er belønningen. Mange vil nok også oppleve at de får en helhetlig oversikt over noe som så langt har vært fordelt over flere separate siloer i bedriften.

- Det er mye positivt her for kundene. Noe av det minst kundevennlige man kan oppleve er at ulike avdelinger hos samme leverandør har helt ulik oversikt over ens kundeforhold - og at noen kanskje ikke vet at man fins engang. I vinter kan vi nok også glede oss til mange gode tilbud knyttet til medlemskap i kundeklubber. Mange vil lokke forbrukerne til å gi ulike samtykker på denne måten for å være klar når loven trer i kraft neste sommer, sier Hallvard.

- Det er bare å starte kampanjer for å kunne sikre at man ikke må slette kundelister, sier Kenneth.

Praktiske tips

Du kan stort sett ikke bruke de samtykkene du har - sett i gang arbeidet for å samle inn nye.

  • Kartlegg dine kundedata - finn ut hva du har, hva du bruker det til, hvem som har tilgang og hvilke 3.parter du deler kundedata med
  • Innhent gyldige samtykker fra dine kunder
  • Etabler rutiner/systemer som sikrer at kundedata slettes når det skal: Enten etter at formålet med behandlingen opphører eller når kunden ønsker det
  • Tydeliggjør at eierskapet til kundedata tilhører forretningssiden, og prøv å bruke kartleggingen offensivt ved å tenke merverdi i dialogen med kundene
  • Gjør nødvendige endringer i IKT-systemene slik at persondata på forespørsel kan flyttes eller slettes
  • Ta kontakt med bransjeorganisasjoner og vær aktiv i deres arbeid med å utarbeide bransjenormer
  • Inngå databehandleravtaler; kontakt dine IKT-leverandører og avklar hvordan de håndterer dine data

Hvis du skaper orden i din behandling av kundedata og skaffer deg samtykke kan du “gjøre hva du vil” - skape spennende nye tjenester.

Og som alle som snakker om GDPR om dagen, må vi også komme med vår lille ”disclaimer”: 

Vi setter her fokus på kunderegistre og samtykke til å samle kundedata. Den nye forordningen og lovverket adresserer også flere forhold tilknyttet personvern. Om dette har vi også mye kompetanse, og praktisk erfaring fra offentlige og private kunder. Ta gjerne kontakt!