Hoppa till innehåll
Hem » GDPR och CRM (del 1): Vad är GDPR och hur påverkar det CRM?

GDPR och CRM (del 1): Vad är GDPR och hur påverkar det CRM?

Om du inte har gömt dig under en sten de senaste månaderna har du förmodligen hört mycket om GDPR. Om hur om GDPR var landets lag i USA, kunde dess standarder ha förhindrat Equifax dataintrång (nu en av de största i historien). Om hur GDPR sparar ingen - med behemoths som Google översyn deras produkter för att följa. Och till och med om hur den amerikanska kongressen, stimulerad av Cambridge Analytica-skandalen, grillade Mark Zuckerberg om Facebook skulle utvidga sina GDPR-kompatibla integritetsverktyg till användare globalt under hans Kongresshörning om integritet

Oavsett om du har gömt sig under en sten, eller om du har fart på GDPR, är det juridiskt nödvändigt att ditt företag också följer majsstämpelagen vid maj 25th. Med så mycket att byta på så lite tid kan det komma överväldigande att komma igång. För att hjälpa dig att navigera på den resan har vi skapat den här 3-delserien på GDPR. I det täcker vi allt du behöver veta för att bli förenligt med huvuddelen av lagen:

  1. Vad är GDPR och hur påverkar det CRM? (Del 1)
  2. Hur Vtiger hjälper dig att följa GDPR, inklusive kraftfull samtyckehantering (Del 2)
  3. Så här ställer du in Vtigers nya sekretessfunktioner för att följa GDPR (Del 3)

Disclosure

Denna serie täcker övergripande överensstämmelse med GDPR: s huvudprinciper och rättigheter (artiklar 5 till 23). Det finns andra processer, ansvarsområden och standarder som du måste följa (artiklar 24 till 43) och omfattas inte av denna serie.

Denna serie och produktändringar som kommer kommer härledas från några olika källor. Från de lagliga texterna och deras allmänt accepterade tolkningar. Från diskussioner med kunder och deras advokater, och från andra tertiära undersökningar om lösningar som täcker de rättsliga samtyckeproblemen som vi behandlade. Den generella vägledning som det har blivit destillerat till bör hjälpa den genomsnittliga verksamheten att starta resan till överensstämmelse, men bör inte betraktas som juridisk rådgivning, som vi fortfarande rekommenderat att du söker när du tolkar GDPR för ditt specifika scenario.

Om du redan förstår GDPR: s betydelse och inte behöver en primer, är du välkommen att gå vidare till avsnittet ”Så här ändrar GDPR ditt företag”.

Vad är GDPR?

GDPR är en ny europeisk lag som träder i kraft den maj 25th, 2018, som reglerar hur företag kan samla, lagra och använda EU-medborgarnas data. Mer om det på en sekund.

Varför antogs GDPR?

För att uttrycka det enkelt - att hindra företag från att urskiljbart samla in och använda människors data på sätt som kan skada dem. Idag behandlar företag data på samma sätt som ekonomiska imperialistiska länder behandlar främmande länder. De fångar så mycket som möjligt och utnyttjar det med liten respekt för ägarnas önskemål, eller oro för den skadliga effekten det har på dem.

Den jämförelsen kan tyckas hård, för ingen dör när ett företag köper en lista med potentiella kunder och marknader till det utan samtycke. Men när Equifax kritiskt förlorade de känsliga uppgifterna från mer än 140 miljoner människor och sedan i huvudsak lämnade dem att hantera konsekvenserna, var skadan mycket mer påtaglig. Deras privata identiteter och ekonomiska framtid var dömd till en osäker framtid som cirkulerade på den svarta marknaden. Det kan lika gärna vara din Google-sökhistorik eller privata meddelanden, och ändå skulle du ha lite juridisk möjlighet om det hände.

Den logiska reaktionen på detta är då

Om bara någon skulle ge mig rätt att välja vem som kan ha mina uppgifter, vad de kan och inte kan använda det för, kommer att se till att de håller det säkert och straffar dem för att bryta mot dessa rättigheter!

Och det är precis vad GDPR gör för EU-medborgare.

Måste jag följa GDPR?

GDPR gäller dig om du uppfyller något av följande villkor:

  1. Du har kunder i EU
  2. Du tillhandahåller (betalat eller gratis) tjänster till EU-medborgare
  3. Du marknadsför till EU-medborgare
  4. Du övervakar EU-medborgarnas verksamhet

Om ditt företag uteslutande är lokalt och externt för EU behöver du förmodligen inte oroa dig för GDPR. Det är osannolikt att en blomsterbutik på landsbygden i Ohio som bara marknadsför och skickar till den lokala staden kommer att behöva följa det, även om någon från EU stannar vid din webbplats och hamnar i din analyslösning.

Men bara för att ditt företag är litet betyder inte GDPR inte. Ett småstads SEO-företag som marknadsför sina tjänster online och redan har ett fåtal kunder från några andra länder, även om det inte riktar sig till kunder i EU specifikt, kommer sannolikt att behöva följa GDPR eftersom det kan tänkas att SEO-företaget skulle välkomna affärer från europeiska kunder om det uppstod.

Vilka rättigheter måste jag följa?

EU-medborgare äger nu lagligen även de uppgifter om dem som du har. Och de har vissa grundläggande rättigheter att följa med det ägandet. Vi använder 80/20-regeln för att sammanfatta texterna nedan i enlinjer. Som med alla sammanfattningar finns det alltid försiktighetsåtgärder, så om du är nyfiken klickar du på de inkluderade länkarna för att läsa hela lagtexten och undantagen (de är inte långa!):

  1. När du samlar in data från någon måste du avslöja vad du planerar att göra med det och hur länge du planerar att behålla det, bland annat vid tidpunkten för samlingen (artiklar 7, 12, 13, 14)
    1. Du brukar inte lagra information relaterad till kriminell historia (artikel 10)
    2. Du får bara lagra information om barn om en vårdnadshavare samtycker (artikel 8)
    3. Du måste erhålla samtycke för att lagra och använda känslig data (artikel 9, 10)
  2. När du använder data från någon, bör alla dina användningar antingen göras med samtycke för den användningen, i direkt relation till en redan överenskommen användning, eller för att den passerade avvägning av intressen test, med några försummelser (artikel 6)
  3. Du måste svara på följande rättigheter förfrågningar från en kontakt inom 1-månaden för begäran (artikel 12)
    1. Att veta vilken information du har om dem och vad du använder den för (artikel 15)
    2. För att korrigera all information du har på dem (artikel 16)
    3. För att radera data som du har på dem (artikel 17)
    4. För att begränsa din förmåga att använda sina data utan att behöva radera den (artikel 18)
    5. Att veta när du har raderat eller slutat använda deras data (artikel 19)
    6. Att skicka dina data på dem till en konkurrent (artikel 20)
    7. Att motsätta sig någon process (artikel 21)
    8. Att motsätta sig automatiserat (algoritmiskt) beslutsfattande (artikel 22)
  4. Du får inte använda eller lagra data längre än vad som behövs (skäl 39)
  5. Du måste använda säkra data på ett sätt som står i proportion till säkerheten för den potentiella skadan som kan hända för den registrerade om uppgifterna exponerades (artikeln 25, 32)

Hur påverkar GDPR mitt företag?

Hur du lagrar och hanterar kontaktuppgifter

Det finns 2 typer av data att överväga under GDPR. Känslig data och personuppgifter. Här är specifika exempel på data, grupperade efter typ.

Inte känslig känslig
Inte personligt identifierande Favoritmärke av marker
Postnummer
Kön
Religion
Etnicitet
Politisk tillhörighet
Personligt identifierande Namn
E-postadress
Facebook ID
Personnummer
Kreditkortsnummer

Känslig data

Detta är data som inte är offentligt tillgängliga, och som kan missbrukas för att skada människor - som ett passnummer eller någons politiska tillhörighet. GDPR rekommenderar att man inhämtar samtycke för att lagra känsliga uppgifter och att därefter skydda det, dock möjligt. Dessa data skyddas bäst genom att göra följande:

  • Kryptera dessa fält i databaser för att förhindra missbruk om det föreligger ett dataöverträdelse
  • Obskura dessa fält i anställdas synpunkter för att förhindra missbruk av anställda när tillgång inte är nödvändig (ex: visa bara de sista 4-siffrorna i en CC #)
  • Logga när anställda obduktorar värden för att avskräcka missbruk när tillgång behövs

Personligt identifierande data

Data kan endast vara skadligt om det kan kopplas tillbaka till en person. GDPR tillåter att dina kontakter frågar dig att radera deras personidentifierande data (föremål för vissa villkor).

När personliga uppgifter har raderats, är relaterad information som är viktig för företagsbeslutsfattande, som inköpshistoria och engagemang med dina digitala tjänster, säkra att lagra eftersom de inte längre är associerade med en identifierbar person.

Var försiktig med grupper av icke-personligt identifierande information, eftersom grupper av den kan bli identifierande om den gruppen är unik för en enda person. Till exempel när du känner någons postnummer, kön, etnicitet och födelsedatum - tillsammans kan dessa egenskaper vara unika för en enskild individ och relateras till dem via någon annan informationskälla - så det är viktigt att vara säker på att det inte händer med vad som finns kvar av din raderade dataset.

Lagringsgränser

Ingen borde behöva stanna i din databas för alltid, bara för att de fyllde i din webbform ibland. Du måste nu automatiskt sluta använda, och så småningom radera personligt identifierande data när det inte längre behövs. Den lämpliga tidsgränsen för användning varierar från fall till fall. I vårt fall kommer vi att radera vår kontaktinformation ett år efter att en kontakt slutar direkt engagera sig med oss.

Hur presenterar du webbformulär

Upplysningar

Människor borde verkligen bara lämna in information online om de vet vad mottagaren kommer att göra med det. Så dina webbformulär måste nu antingen direkt ange hur informationen ska användas, eller länka till information om hur du ska använda deras data. Detta kan göras genom verktygstips, eller genom att länka direkt till en policy för dataanvändning.

Email-opt-ins

Om du vill prenumerera någon på din e-postmarknadsföring efter formulärinsändning, måste de nu också uttryckligen godkänna det. Det betyder att du visar en avmarkerad kryssruta med klart språk som "Jag skulle vilja få marknadsföringskod från [företag]". Att bara inte fråga, eller att en kryssrutan förmarkerad inte längre räknas.

Hur du skriver din integritetspolicy

När du samlar in information från någon eller planerar att använda den för ett nytt syfte måste du informera dem om några grunder som vanligtvis förmedlas genom en sekretesspolicy. Detta måste skrivas på ett språk som är klart, lätt att förstå och delat så att varje användning av deras data och syfte skrivs separat. De viktigaste sakerna att inkludera i denna policy är:

  • Vad ditt företag gör och hur man kontaktar dig
  • Hur du använder deras data, och för vilka ändamål söker du inte samtycke
  • Vem du ska dela med sig av
  • Oavsett om du kommer att överföra data utanför kontaktens land
  • Hur länge planerar du att använda data för
  • Alla subjektets rättigheter (tillgång, korrigera, radera, begränsa eller portdata, eller lämna in ett klagomål)
  • Vad händer om kontakten inte tillhandahåller data
  • Om du gör automatiska beslut med deras data

Hur du bedriver e-postmarknadsföring

Dubbelinställningar

För att skicka någon e-postmarknadsföring måste du ha ett falsifierbart bevis på att de vill ta emot det från dig. Eftersom någon kan fylla i ett formulär på din webbplats som hävdar att det är någon annan, är det bästa sättet att få det beviset med ett dubbelvalst e-postmeddelande.

Dubbel opt-in e-postmeddelanden fungerar så här - när någon anger att de vill ta emot din e-post (antingen muntligt eller genom att markera en ruta på ett webbformulär) skickar du dem ett e-postmeddelande som innehåller en speciell länk. Om de klickar på det registreras deras klick och de läggs till i din e-postlista.

Hantera inställningar och välja bort

När du skickar e-post till en kontakt måste det vara så enkelt för dem att välja bort som det var för dem att välja. Det innebär vanligtvis att inkludera en unsubscribe länk längst ner i e-postmeddelandet. En mer robust lösning skulle låta kontakter hantera sina optins in och ut från specifika e-postlistor från en sida som är tillgänglig från e-postfoten.

Hur spårar du kunder på webbplatser, e-post och dokument

Många digitala tjänster som du tillhandahåller kunder kommer att spåra sina handlingar och ge dig analyser, så att du kan lära dig hur du kan förbättra din upplevelse. Det kan vara en webbplats, e-postkampanj eller ett dokument som du har delat med dem. Oavsett hur spårning utförs, bör du under de flesta omständigheter berätta för användarna att de spåras och ge dem möjlighet att välja bort spårningen.

När du använder kunddata

Du använder kunddata för ett antal ändamål. Från att helt enkelt lagra det, att skicka dem marknadsföringsadress, kontrollera deras kredithistoria eller dela den med tredje part som hjälper dem att använda dina produkter bättre.

Vad du än använder kunddata för ska i allmänhet göras för en av dessa tre anledningar:

  1. Du har fått uttrycklig behörighet för den användningen
  2. Användningen är relaterad till ett annat syfte som du redan har fått samtycke till
  3. Syftet är i ditt legitima intresse och bryter inte mot kontaktens rättigheter (balanseringstestet)

Vi rekommenderar alltid att få samtycke för så många ändamål som möjligt, eftersom detta är det enda obestridliga sättet att använda dina kontakter. Oavsett vilket samtycke du får för ett ändamål är det bästa sättet att få det på något icke-förfalskningsbart sätt. Dessa sträcker sig från en inspelad kommunikation som ett e-postmeddelande till en portal för preferenshantering som kontakter kan logga in för att hantera sina samtycken. Som med e-postinställningar är det viktigt att låta kontakter återkalla sitt samtycke minst lika enkelt som de gav det.

De nya juridiska rättigheterna du måste underlätta

Rätt att veta vilken data du lagrar och möjligheten att exportera den data

Om en kontakt ber dig om den information du håller på dem är du juridiskt skyldig att göra det. Dessutom måste du avslöja vad du använder den för, vem du delar den med, hur länge du planerar att behålla den och de andra rättigheterna som de har. De kan dessutom begära en kopia av all denna information i ett maskinläsbart format som en CSV-fil eller databas, så det CRM-system som du använder för att lagra informationen ska underlätta att skapa sådana filer.

Rätt att uppdatera sin information

Om en kontakt ber dig uppdatera felaktig eller saknad information, när du väl kan bekräfta vem de är, måste du uppdatera den informationen i dina system. Detta är särskilt viktigt om du använder data för att manuellt eller algoritmiskt fatta beslut om dem.

Rätt att bli glömd

En kontakt har rätt att få dina data på dem raderade. Medan den enklaste lösningen är att radera alla dina poster som är associerade med dem är det vanligtvis oönskat eftersom det kan ta bort viktig företagsinformation som inköpsdata, återföring av intäkter och andra rapporter som är felaktiga. Det perfekta sättet runt detta är att ta bort personligt identifierande information från en kontakts rekord så att du inte längre kan identifiera dem. De bästa GDPR-kompatibla CRM-lösningarna kommer att underlätta denna typ av radering.

Rätt att göra invändningar mot ett av dina ändamål

En kontakt kan begära att du inte använder deras data för ett visst ändamål. Det kan innebära att du väljer att välja bort marknadsföring, begär att det inte delas med en tredje part eller något annat specifikt syfte. För att underlätta detta utan att kräva svårt registerhantering, välj en CRM-lösning som låter dina kontakter automatiskt hantera sina samtycke till dina användningar, så att de lag som ansvarar för att agera på det tillståndet bara kan agera på de kontakter som har samtyckt.

Rätt att stoppa din användning av hela deras rekord

Kontakter har äntligen rätt att be dig ta bort dem från alla former av behandling som du gör. Oavsett vilket system du använder för att lagra sin information ska kunna frysa sina register så att de inte kan ändras av dina användare eller skickas till kommersiellt syfte antingen manuellt eller automatiskt.

Det finns så mycket att göra! Hur hjälper Vtiger mig att följa?

Det kan finnas många nya regler att följa med, men de ändringar som kommer till Vtiger före maj 9th möjliggör för företagen att enkelt kunna rulla ut GDPR-överensstämmelse. Oavsett om dina kunder är i USA, EU eller någon annanstans, kommer dessa ändringar att hjälpa dig att presentera upplysningar, lagra känslig information säkert, e-postmarknaden lagligt och låta dina kontakter tillhandahålla och hantera egna samtycke med en erfarenhet som inte är tillgänglig med någon annan CRM på marknaden idag.

Du kan hitta ett fullständigt genomgång av dessa ändringar i Del 2 i denna serie.

Håll dig igång!