”GDPR kommer – är du redo?”
För ovanstående sökning finner Google under bråkdelen av en sekund hela 95 500 träffar. Nu återstår 101 dagar tills EU:s Dataskyddsförordning träder i kraft.
Från och med den 25 maj 2018 måste företagen kunna bevisa att behandlingen av personuppgifter uppfyller kraven på laglighet, rimlighet, öppenhet, användbarhet, minimering av data, punktlighet, begränsning av lagring och integritet och sekretess.
Vi, liksom de flesta andra företag, har fortfarande en liten bit kvar till GDPR. Kalendern innehåller regelbundna möten och man kommer heller inte undan ärendet mellan mötena. Då du skickar ut ett nyhetsbrev, när du ingår ett avtal med en ny kund, sitter i ett produktutvecklingsmöte eller diskuterar med en underleverantör, överväger du automatiskt vilka förändringar processen fortfarande kräver.
Från förvirring till klarhet
Såsom ofta med nya saker har GDPR varit en förbryllande upplevelse. När det bekräftades att inte bara konsumentmarknaden utan även B2B-företag hamnar i GDPR-skärselden, resulterade den tillgängliga informationen snarare i fler frågor än svar. Då vi plöjde igenom de hundratals frågor som ställdes i GDPR-självutvärderingen, undrade vi om vi ens förstod dem rätt. Och det visade sig endast att 80 % av testbolagen var längre hunna än oss i projektet...
Lyckligtvis har kraven och effekterna av GDPR gradvis blivit tydligare. Nyligen har man också kunnat ta modell av företag som redan har bekräftat sin GDPR-beredskap. De som vaknat sent kan säkra sin sinnesro genom att investera i GDPR-verktyg eller tjänster som erbjuds av GDPR konsulter och jurister. Efterfrågan på de tjänster som GDPR genererar kommer sannolikt att finnas även i fortsättningen; det är ju inte frågan om något engångsprojekt, utan en fortsatt pågående process.
Enkelt – eller ändå inte?
Begripandet av vårt eget GDPR-projekt underlättades av ett utbildningsprogram som gjordes av Programvaruföretagarna med Advokatbyrån HPP. Vi aktiverades först under början av hösten eftersom vi bedömde vårt projekt som relativt enkelt. Vi är inte så aktiva registerförare, så den begränsade mängden HR-, kund- och prospektlistor har hjälpt oss uppfylla kraven i förordningen. Registren har nu identifierats och deras placering, syfte, datainnehåll, åtkomst och bearbetningsprinciper har dokumenterats.
Vi har däremot, i egenskapen av leverantör av ärendehanteringssystem, också varit tvungna att reflektera över GDPR ur datahanterarens synvinkel. Vad behöver vi tänka på när vi lagrar personlig information i vår molntjänst? Och hur ser processen ut när vi konverterar kunddata från ett tidigare system till ny programvara eller när vi undersöker kundens problemsituation på distans?
GDPR kräver naturligtvis också förtydliganden i våra kontrakt. Vi tar oss an dem i slutet av februari då nya IT2018-avtalsvillkor är tillgängliga med särskilda villkor för hantering av personuppgifter.
CSI-programmets GDPR-beredskap
Det viktigaste i projektet är ändå hur våra verktyg stöder kunder med uppfyllandet av sina GDPR-skyldigheter. Enligt dataskyddsförordningen har den registrerade bland annat rätt att veta vilken information som har samlats in, rätt att få felaktiga uppgifter korrigerade, rätt att begära information som registrerats i registret i elektronisk form eller att bli fullständigt bortglömd, om inte detta utesluts genom annan lagstiftning. Programvaran måste möjliggöra allt detta.
Eftersom en persons uppgifter endast sparas en gång i CSI-programmet är förvaltningen av informationen okomplicerad. GDPR har för närvarande haft måttliga utvecklingskrav gällande programvara; det vanligaste behovet är en rapport med en förteckning över all information som lagras i programvaran för en enskild person.
Vi är trots allt i den fördelaktiga positionen att vår kundbas, som i stor utsträckning består av advokatbyråer, är exceptionellt insatt gällande GDPR. Det skulle komma som en överraskaning ifall ett förtydligande av GDPR-kraven inte leder till nya ideér och funktioner innan datumet i maj.
Taina Malmivirta CSI Helsinki, Direktör, affärsutveckling och partner Dedikerad till marknadsföring, kommunikation och olika utvecklingsprojekt. Motiveras av en kontinuerlig utveckling av verksamheten och kundupplevelsen. Tror på värdet av kundrespons och lätta processer som stöder företagets smidighet och innovationsmöjligheter. |