GDPR, så påverkas du som jobbar med support och kundtjänst
Du har säkert hört talas om den nya EU-regleringen GDPR (General Data Protection Regulation) som träder i kraft den 25 maj 2018. De nya reglerna baseras på den nuvarande Personuppgiftslagen (PUL) och målet för den nya lagstiftningen är att stärka EU-medborgarnas kontroll över sina egna personuppgifter.
Varför en ny lagstiftning och varför är det viktigt för en kundtjänst att veta vad GDPR är?
Den nya lagstiftningen har till stora delar samma innehåll som dagens PUL och den tillsyn som myndigheten Datainspektionen utför i Sverige idag. PUL ska skydda människor mot att deras personliga integritet kränks när organisationer hanterar personuppgifter och GDPR gör samma sak men med utökade krav. Det viktigaste förändringarna och kraven är:
- Kommunikation, dvs. tala om varför personuppgifter lagras och hur länge de lagras samt vem är det som lagrar uppgifterna
- Tillgång och bärbarhet, dvs. låta människor få tillgång till sina uppgifter på ett enkelt sätt
- Varningar, dvs. informera om det finns risk för dataintrångsbrott
- Samtycke, dvs. att människor måste ge tillstånd till insamling av personuppgifter
- Skydd för känsliga uppgifter, dvs. att företaget använder extra skydd för känsliga uppgifter
- Radera uppgifter, dvs. ge människor rätten att bli borttagna från registret
- Marknadsföring, dvs. ge människor möjligheten att förhindra att deras uppgifter används i marknadsföringssyfte
- Profilering, dvs. informera människor och ge dem möjligheten att överklaga beslut baserade på hur deras uppgifter har använts för profilering av dem
- Dataöverföring utanför EU, dvs. göra juridiska arrangemang när uppgifter överförs till länder som inte har godkänts av EU:s myndigheter
(Källa: Europeiska kommissionen, 2017)
De nya GDPR-reglerna är på många sätt väldigt lika den nuvarande personuppgiftslagen. Men den nya lagen ställer också hårdare krav kring individens kontroll över sina personuppgifter. Lagen innebär också mycket hårdare påföljder för företag och myndigheter som inte efterlever reglerna fullt ut. Ett företag kan få böter på motsvarande 4 % av sin globala omsättning.
En viktig skillnad jämfört med PUL är att den som lagrar personuppgifter måste vara tydligare med lagringens syfte och hur länge uppgifterna kommer att lagras. Det innebär att man kan säga att myndigheter och företag tillåts “låna” en enskild individs personuppgifter under en gemensamt överenskommen och begränsad tid. Företag och myndigheter måste kunna bevisa att man tar lagstiftningens regler på allvar och det måste dokumenteras tydligt.
Som kund till ett företag innebär det stärkta kravet på kontroll över dina personuppgifter att:
- Du ska kunna begära ett utdrag av de personuppgifter som lagras
- Du ska kunna få uppgifterna exporterade för att eventuellt flytta dem till andra system
- När den överenskomna tiden för lagring av personuppgifter har passerat ska uppgifterna tas bort eller anonymiseras
Men vad behöver vi som arbetar med support och kundtjänst tänka på?
För dig som arbetar med kundservice och support eller ansvarar för hela kundserviceorganisationen finns det tre viktiga områden att tänka på.
- Du behöver förstå vilka uppgifter ni lagrar i era olika system
- Om ni använder molntjänster och externa leverantörer för ärendehantering, e-post, självbetjäningsportaler, kundchatt, sociala medier m.m. behöver ni förstå hur de verktygen stödjer GDPR
- Ni behöver ha rätt rutiner för gallring och anonymisering, dvs. för att uppfylla framförallt paragraf 30 i EU-förordningen
1.Vilka personuppgifter lagrar vi i vår kundservice och support?
Personuppgifter definieras som all information som direkt eller indirekt kan kopplas till en fysisk person. Vanliga personuppgifter som kundservice ofta sparar är namn, e-postadress och IP-adress från olika kontaktytor med kunder. Därutöver tillkommer förstås alla personuppgifter som kunden anger i de faktiska konversationerna, som till exempel adress och personnummer.
Din supportfunktion eller kundserviceorganisation kan gå igenom vilka uppgifter ni lagrar genom att gå igenom era processer, rutiner och system men också genom att ställa frågor till era leverantörer av de verktyg som ni använder för att hantera ärenden.
2.Vilka krav behöver vi ställa på leverantörer av molntjänster för kundservice och support?
Molntjänster är idag väldigt vanligt som lösningar för att fånga upp och hantera frågor som hanteras i support- och kundservicefunktionerna. Om ni använder ett ärendehanteringssystem eller något annat verktyg för att hantera ärenden från era kunder, t.ex. självbetjäningsportaler eller sociala medier så är det väldigt ofta en molntjänst. Era leverantörer måste då minst uppfylla följande krav:
- All information om era kunder ska lagras inom EU/ESS-området
- Leverantören behöver ingå ett så kallat personuppgiftsbiträdesavtal med er som beskriver hur de får behandla de uppgifter de lagrar åt er
- Leverantörens system måste före 25 maj 2018 kunna hantera gallring och anonymisering av uppgifter om era kunder
Kom ihåg att konsekvenserna för att inte ha dessa saker på plats kan bli stora. Se också till så att era leverantörer verkligen tar GDPR på allvar!
3.Vilka rutiner ska vi ha för gallring och anonymisering?
Utöver att se över själva hanteringen av personuppgifter i era system och i era kundkontakter behöver ni ta fram tydliga rutiner för gallring och anonymisering av personuppgifter. Datainspektionen kommer att publicera kriterier som alla organisationer behöver uppfylla för att vara säkra på deras processer, rutiner och system uppfyller de nya GDPR-kraven. När det formella stödet för GDPR finns på plats så behöver ni införa några rutiner:
- Se över avtalen med era kunder. Framkommer det t.ex. hur länge ni får lagra personuppgifter? Se till att förtydliga avtalen där det är otydligt hur ni hanterar de nya kraven i den nya lagen
- Baserat på hur länge ni får lagra uppgifter behöver ni säkerställa att uppgifterna gallras (tas bort) från era olika system efter denna tid
- Ibland behöver data finnas kvar för att exempelvis kunna tillhandahålla korrekt statistik. I dessa fall kan uppgifterna anonymiseras istället för att tas bort
Med några tydliga steg och aktiviteter kan din support och kundserviceorganisation vara säker på ni uppfyller GDPR-förordningen. Med rätt angreppssätt och genomförande kan det till och med bli en förbättrad kundrelation och därmed blir något positivt för hela er organisation.
Kontakta Oss
Se alla Artiklar