De 8 personvernrettighetene og SuperOffice CRM

Åpenhet er et sentralt begrep i verden etter GDPR. Alle bedrifter og organisasjoner skal heretter være klare og tydelige om hvilke data som lagres og hvordan de gjør det. De skal også forklare dette i et enkelt og lettfattelig språk, som regel gjøres dette i en personvernerklæring.

GDPR er laget for å beskytte individet mot at deres personlige opplysninger blir lagret og brukt uten at de er klar over det. For hvis vi ikke vet noe om det kan du heller ikke protestere mot det. Retten til å bli informert sørger for at folk er i stand til å utøve retten til å protestere.

Et annet viktig aspekt relaterer til datainnbrudd. Hvis sikkerheten til persondata er i fare har folk rett til å bli informert om datalekkasjen innen 72 timer etter at den ble oppdaget. Hvis innbruddet er alvorlig og folks rettigheter virkelig står på spill skal alle datasubjekter bli orientert uten unødig forsinkelse.

Bedriften din er ansvarlig for at persondataene er sikkert lagret og at personvernet er beskyttet. Hvis uhellet er ute og informasjon lekker ut, eller det er brudd på sikkerheten, krever GDPR klart og tydelig at bedriftene skal rapportere disse hendelsene og umiddelbart sette i gang skadebegrensende tiltak.

Alle hendelser som kompromitterer datasikkerheten skal oppdages, rapporteres og håndteres av en databehandlende virksomhet på en eller annen måte. Hvis noen rapporterer om en hendelse som kan true sikkerheten er det veldig viktig at den ikke blir borte i innboksen din.

Hvordan kan SuperOffice CRM hjelpe deg å løse dette?

GDPR-paragrafer: 12, 13, 14, 19

Definisjon: Et datasubjekt har rett til å vite hvordan hennes/hans persondata samles inn, brukes og lagres. I tillegg skal vedkommende få vite med hvilket formål dette skjer. Alt sammen før dataene samles inn.

SuperOffice-funksjonalitet

Det er flere funksjoner i SuperOffice CRM som hjelper deg å informere kontaktpersonene dine at du lagrer informasjon om dem i CRM-løsningen din. 

• Automatisk e-post: Hver gang du oppretter en ny kontaktperson kan SuperOffice sende en automatisk e-post om at du lagrer data om vedkommende. Du kan selvfølgelige bestemme hva som skal stå i e-posten og hva det er som trigger at den sendes. Den trenger heller ikke være automatisk, men om du gir oppgaven til systemet kan du være sikkert på at det blir gjort hver eneste gang.
• Utvalg og Utsendelser: Du kan også lage utvalg og bruke utsendelser for å informere grupper om hvordan du bruker dataene deres. Fra og med versjon SuperOffice CRM 8.1 finner du også scripts som du kan bruke for å lage automastiserte flows med handlinger, basert på behovene i bedriften. 
• SuperOffice Skjemaer: I den kommende versjonen av SuperOffice CRM (8.4) får du glede av ny funksjonalitet som gjør at du kan informere personer på forhånd når du samler deres persondata. Med disse disse funksjonene kan du lage spesielle skjemaer på bedriftens webside eller i nyhetsbrev. De linker ikke bare til personvernerklæringer, men oppdaterer også automatisk samtykkene som er lagret inne i SuperOffice CRM.  

Når det gjelder hjelp til å håndtere datainnbrudd eller andre personverntrusler finner du flere verktøy i SuperOffice Service som gjør dette på en smart måte i tråd med GDPR.

• SuperOffice Service gjør at du kan motta alle henvendelse, forespørsler og andre beskjeder på ett og samme sted. I tillegg kan du enkelt kategorisere disse etter temaer. Slik at du mer effektivt kan prioritere og planlegge håndteringen av hver enkelt henvendelse. I SuperOffice Service kan du definere hvert enkelt skritt i håndteringen av hver type hendelse, og hastesaker kan håndteres umiddelbart uten forsinkelser. Du kan også lagre all relevant dokumentasjon som beskriver hva som skjedde, når det skjedde og hvordan lekkasjonen ble håndtert. 
• Utvalg og Utsendelser: Hvis hendelsen er av en slik art at du må varsle alle som er berørt av den kan du gjøre dette raskt ved å lage et utvalg og sette opp en masseutsendelse.

Denne GDPR-rettigheten sørger for at bedriftene gjør det mulig for folk å endre og korrigere informasjon som er utdatert, unøyaktig eller mangelfull. Alle bedrifter som har relasjoner til innbyggere i EU eller EØS må fra nå av gi individer tilgang til å se dataene, og rette dem hvis det er behov for det. Endringene skal også bekreftes til personen innen 30 dager.

For å korrigere noe må man først vite hvilken informasjon en bedrift har lagret om vedkommende. Når behovet for endringene er identifisert, skal man også få bekreftet at informasjonen er oppdatert.

Hvordan kan SuperOffice CRM hjelpe deg å løse dette?

GDPR-paragrafer: 12, 16

Definisjon: Et datasubjekt har rett til å få rettet feil eller ufullstendige data.

SuperOffice-funksjonalitet

For at du skal etterleve disse kravene har SuperOffice CRM flere funksjoner som hjelper deg:

• Delt innboks i SuperOffice Service: For å kunne gi ut informasjon og motta endringsforespørsler trenger du et sentralisert og dedikert sted hvor du kan motta og følge dem opp. En delt innboks i SuperOffice Service hjelper dere med dette, siden endringsforespørsler blir lagret som kundehenvendelser, slik at du kan følge med på om de er løst eller ikke. 
• Redigeringsfelter i SuperOffice: Det har alltid vært mulig for brukere av SuperOffice CRM å redigere informasjonen om en kontaktperson direkte i systemet. Men det kan hende du vil innføre noen begrensninger om hvem som kan redigere og hva de kan redigere. Hvis du for eksempel bruker et annet system som “master” database er det ikke sikkert at du vil gi alle brukerne rettigheter til å redigere, men at du heller definerer noen godkjenningsrutiner for å slette informasjon.
• Personvernrapport: Denne nye funksjonen er tilgjengelig i den siste versjonen av SuperOffice CRM og lar deg enkelt sende en bekreftelse til en kontaktperson om at informasjonen har blitt korrigert.

GDPR gir en person rett til å be om at hennes/hans data slettes fra en bedrifts database og at dette må etterleves dersom det for eksempel ikke er nødvendig å beholde persondataene for å etterleve en avtale eller en lov.

I tillegg til dette, går loven enda lenger og pålegger bedriften å fjerne persondata fra bedriftens systemer når de ikke lenger har juridisk hjemmel for å beholde dataene (paragraf 5).

Kommentar: I henhold til GDPR har et individ rett til å kreve å bli glemt i visse tilfeller. I enkelte tilfeller vil det ikke bli innvilget, som feks dersom det er nødvendig å beholde persondataene for å etterleve en avtale eller en lov. 

GDPR sier at persondata skal slettes fra en bedrifts database dersom

• Det ikke lenger finnes et formål/ikke lenger nødvendig å beholde persondataene (avtale har utløpt, loven stiller krav til sletting osv)
• Personen trekker tilbake samtykket som tidligere har vært gitt til bedriften mtp å behandle persondata (dersom annen behandlingsgrunnlag er benyttet kan det ikke trekkes tilbake, og personen har ikke samme rettighet til å bli slettet)
• Det er ulovlig innhentet

Selv om noen ikke ber om å bli slettet kan du ikke beholde persondataene deres for evig uten en legitim grunn. Det betyr at du må rydde opp i bedriftens data jevnlig og sørge for at all informasjon som er lagret er i tråd med bedriftens personvernpolicy.

Før dere kan etterleve disse reglene må dere ha på plass funksjonalitet som gjør det mulig å:

(a)spore alle data knyttet til en kontaktperson

(b)slette all informasjon på forespørsel

(c)sende bekreftelse på at dataene er slettet

(d)automatisk slette data etter at definert periode for nødvendig oppbevaring er over

Hvordan kan SuperOffice CRM hjelpe deg å løse dette?

GDPR-paragrafer: 12, 17

Definisjon: Et datasubjekt har rett til å få persondata slettet permanent.

SuperOffice-funksjonalitet

For enkelt å etterleve dette kravet må du ha en prosedyre for hvordan bedriften mottar og håndterer henvendelser fra folk som vil bli glemt.

• Delt innboks i SuperOffice Service: Du kan opprette dedikerte innbokser SuperOffice Service, hvor alle slike henvendelser havner og ingen blir borte. Bruker dere en slik delt innboks for personvernhenvendelser kan gjøre nødvendige vurderinger før dere sletter den aktuelle kontaktpersonen. En innboks i SuperOffice Service gjør at dere kan respondere mer effektivt og vise full synlighet om hvordan henvendelsene ble håndtert.
• Slette en enkelt kontaktperson: Den siste versjonen av SuperOffice CRM (8.3) gir deg all informasjon relater til en kontaktperson i ett og samme bilde. Da blir det lettere å slette enkelte kontaktpersoner. Når en kontaktperson er slettet blir alle data automatisk anonymisert andre steder I SuperOffice. Slik mister du ikke relevante data som påvirker bedriften din. Husk å gi rettigheter til å slette kun til de personene som håndterer slike henvendelser. 
• Massesletting av kontaktpersoner i et utvalg: Denne funksjonene er tilgjenelig i SuperOffice CRM 8.3 og senere versjoner og lar deg slette flere kontakter samtidig. Du kan for eksempel identifisere en gruppe personer eller firmaer som dere ikke lenger vil lagre i SuperOffice CRM og masseslette dem i stedet for å gjøre det én og én. Sparer dere for masse tid!
• Korrigere feilaktige slettinger i papirkurven. Noen ganger kan det være vanskelig å slette. Hvis en person eller et firma har blitt slettet ved en feil kan du rette opp igjen ved å bruke «papirkurven». Selv om en slettet persom eller et slettet firma umidderlbart blir usynlig for alle brukere er de fremdeles tilgjengelig i noen dager i papirkurven. Der kan du gjenopprettet personen eller firmaet.
• SuperOffice SAINT: En annen måte å enkelt finne personer som du må slette fra database din er å bruke SuperOffice SAINT til å lage utvalg og finne akkurat de kundene som passer søkekriteriene. SuperOffice finner disse kontaktpersonene og samler dem i et dynamisk utvalg, hvor du kan bestemme hva du skal gjøre med dem.
• Automatisere slettingen av personer: Du kan lage et CRM-script som sletter kontaktpersoner hvis de tilfredsstiller kriterier som du har definerert for personer som skal fjernes fra bedriftens database. Kriteriet kan være en kategori av personer sammen med manglende samtykke, aktiviteter over en periode og så videre. Slike automatiske prosesser sørger for at det ikke finnes foreldede data i bedriften base. Det betyr mindre arbeid for CRM-teamet ditt.

GDPR sier at individer har rett til å overføre sine persondata som er automatisk generert (eksempelvis data fra en pulsklokke, data generert fra musikk tjenester o.l.) til andre tjenestetilbydere eller gjenbruke de til andre formål (Dersom hjemmelsgrunnlaget for oppbevaring av persondata er 6.1.a eller 6.1.b). Individet har også rett til at dataene deres overføres direkte fra en databehandler til en annen, uten at de selv må håndtere dataene.

Hvis bedriften din får en slik forespørsel må du kunne gi et sammendrag av dataene du har i databasen i et strukturert, vanlig og maskinlesbart format.

Dette er mest vanlig når folk bytter bank eller forsikring.

Hvordan kan SuperOffice CRM hjelpe deg å løse dette?

GDPR-paragrafer: 12, 20

Definisjon: Et datasubjekt har rett til å flytte, kopiere eller overføre persondata fra en databehandler til en annen, på en sikker måte og i et vanlig format.

SuperOffice-funksjonalitet

Denne personvernrettigheten er egentlig bare relevant for brukere av SuperOffice CRM med en integrasjon mot et annet system som samler persondata uten menneskelig innblanding. Hvis disse dataene overføres til SuperOffice CRM gjennom en integrasjon er også nødvendig å kunne utlevere en datarapport til individer som forespør.

Det finnes ingen spesielle funksjoner i SuperOffice CRM som direkte støtter akkurat denne personvernrettigheten. Du har imidlertid noen få muligheter hvis du skal utlevere en rapport for dataene du har lagret på en person:

• Opprett et Utvalg med dataene som er knyttet til den personen som har spurt om en overførbar rapport og eksporter så alle datafeltene til en Excel-fil.

GDPR gir individer rett til å motsette seg eller begrense bedrifters bruk av sine persondata. Når behandlingen av personopplysninger er begrenset, skal virksomheten lagre opplysningene, men ikke bruke dem til noe uten samtykke. Det finnes noen få unntak, blant annet dersom virksomheten trenger opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav eller for å verne en annen persons rettigheter. Det kan også være nødvendig å behandle personopplysningene for viktige, allmenne interesser, men denne typen behandling vil som regel ha hjemmel i lov.

Kommentar: Når behandlingen av personopplysninger er begrenset, skal virksomheten lagre opplysningene, men ikke bruke dem til noe uten ditt samtykke. Det finnes noen få unntak, blant annet dersom virksomheten trenger opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav eller for å verne en annen persons rettigheter. Det kan også være nødvendig å behandle personopplysningene for viktige, allmenne interesser, men denne typen behandling vil som regel ha hjemmel i lov.

Alle personer kan fremme en slik forespørsel muntlig eller skriftlig og en databehandler har deretter én kalendermåned på seg til å respondere på forespørselen. Bedriften kan fremdeles beholde en datafil som inneholder opplysninger om en person som har motsatt seg behandling, men bedriften kan ikke bruke denne informasjonen på noen som helst måte.

Hvordan kan SuperOffice CRM hjelpe deg å løse dette?

GDPR-paragrafer: 12, 16, 21

Definisjon: Et datasubjekt har rett til å stoppe eller begrense at en organisasjon behandler deres persondata. De har også rett til å stoppe at persondata inkluderes i databaser for direktemarkedsføring.

SuperOffice-funksjonalitet

Det finnes ingen spesielle funksjoner i SuperOffice CRM som direkte støtter akkurat denne personvernrettigheten. Sett fra vårt ståsted er det mest sannsynlig og relevant i denne sammenhengen at en person kan motsette seg å bli inkludert i en distribusjonsliste for e-postmarkedsføring.

Det finnes imidlertid noen verktøy i SuperOffice CRM som kan hjelpe deg hvis du trenger det:

• Håndtering av abonnement-funksjonaliteten gjør det enkelt å begrense utsendelsen av enten alle e-poster eller noen typer uønsket innhold til en spesifikk kontaktperson. 
• SuperOffice SAINT kan brukes for å sette opp synlige varsler i systemet, for hver gang en kontaktperson ber om ikke å bli behandlet. Du kan for eksempel definere et felt (en avkryssingsboks) som trigger SAINT hver gang det blir aktivert (krysset av i). Da får CRM-brukeren beskjed om at denne kontaktpersonen har bedt om å bli satt «på vent”. Dette gjør det også enklere å sørge for at ingen personer med slike “begrensninger” blir inkludert i utsendelser eller eksterne kommunikasjonsaktiviteter.

Denne rettigheten er også kjent som retten til manuell behandling. Hensikten er å beskytte folk mot potensielt skadelige beslutninger som tas uten menneskelig innblanding.

Dette kan kanskje høres komplisert ut, men vi skal forsøke forklare: De personene du lagrer informasjon om har rett til å velge å ikke bli gjenstand for beslutninger som er basert på automatiserte prosesser. Dette gjelder spesielt om beslutningene innebærer juridiske konsekvenser for dem. Det betyr at de kan be om at informasjonen deres håndteres manuelt av mennesker. Dette for at de skal unngå potensielle skadelige konsekvenser som følge av automatiserte beslutninger.

I stedet for at algoritmene skal ta beslutninger om en person skal det faktisk være mennesker som gjør det.

Denne rettigheten definerer også profilering som automatisert prosessering av persondata for å evaluere noen ting ved et individ. Slik sett kan profilering kan være en del av automatiserte beslutningsprosesser og «rammes» av denne GDPR-rettigheten.

Hvordan kan SuperOffice CRM hjelpe deg å løse dette?

GDPR-paragrafer: 12, 22

Definisjon: Et datasubjekt har rett til å kreve menneskelig behandling i stedet for at viktige beslutninger kun tas av algoritmer eller andre automatiserte prosesser.

SuperOffice-funksjonalitet

Denne rettigheten er mest relevant for andre typer systemer enn CRM. Utøvelsen av denne rettigheten er typisk for situasjoner hvor et system vurderer om noen skal få innvilget banklån eller forsikring.
Derfor er det heller ingen spesifikke funksjoner i SuperOffice CRM som direkte støtter denne rettigheten, utover muligheten av å sette opp en delt innboks i SuperOffice Service som sentraliserer håndteringen av forespørsler om manuell behandling.