Sådan bliver du klar til den nye persondataforordning

Af Henrik Hobel, CTO og partner, Ambition

Klumme: Persondataforordningen træder i kraft til maj næste år. Hvis du skal nå at være klar, skal du starte nu. Her får du en køreplan til, hvordan du gør.

Persondataforordningen eller mere korrekt: databeskyttelsesforordningen (GDPR), træder i kraft 25. maj 2018.

Nedtællingen er altså i gang uanset om man har taget hul på tilpasningerne til de nye regler om databeskyttelse eller ikke er kommet i gang endnu.

Og hvad er så forskellen? Er du ikke i gang, får du meget travlt. Ellers har du bare almindeligt travlt.

Vi oplever stor interesse fra marketingafdelinger og bureauer for at få overblik over de kommende krav. Sikkert fordi rigtig mange slet ikke overholder de nuværende persondataregler og derfor har ekstra travlt.


Ambition har netop derfor afholdt de to første af i alt tre morgenseminarer om GDPR – set fra marketingafdelingens perspektiv. Med over 120 deltagere.

GDPR er en kulturrevolution
Vi skal tænke og arbejde med data på en anden måde. Forbrugerne skal give tydeligt samtykke, det skal være transparent, hvad de siger ja til og let at tilbagekalde samtykke. Alle underleverandører, der arbejder med persondata, skal (som i dag) underskrive databehandleraftaler. Vi skal dokumentere hver eneste gang vi gør noget med data. Der skal være helt styr på dataflow og de processer, der anvendes. Og meget mere.

Samtidig må man sige, det er på tide, der bliver strammet op. Og på tide, at vi alle tager ansvar for de data, vi arbejder med.

Det er muligt at opsamle så mange data om vores private adfærd, at en vis disciplin, transparens og grænser er på sin plads at forlange.

Derfor er det i mine øjne helt OK med nye krav til, hvordan vores persondata bliver brugt og opbevaret.

Men tilbage til de udfordringer vi står med, når vi indsamler, bearbejder og opbevarer kundedata.

Din køreplan for de næste 5 måneder
De 15 trin er en køreplan, som kan sikre at marketing bliver klar til den 25. maj.

Men arbejdet slutter ikke dér.

Der er krav, vi ikke kender endnu. Flere dele af reguleringen er ikke afklaret, men bliver det i de kommende måneder. Så hold øje med de nye vejledninger fra datatilsynet, nyhedsbreve mm.

Senere må vi forvente, at afgørelser i konkrete sager vil præcisere, hvordan regler skal bruges og forstås.

I de kommende måneder og år skal vi endvidere løbende vedligeholde og rydde op i data og processer.

Vi har forsøgt at gøre det komplicerede enkelt og overskueligt, så marketingafdelingen kan blive GDPR-parat.

Vil du være helt sikker, er det en god idé at alliere sig med nogle eksterne specialister inden for IT-revision, advokater med viden om compliance og IT-rådgivere, som har løsninger og viden om de nødvendige ændringer.

KØREPLAN

December

  1. Viden er vigtig, men en mangelvare. Derfor tilmeld dig alle relevante nyhedsbreve fra eksempelvis advokatvirksomheder, Datatilsynet og dataspecialister.
  2. Læs vejledningerne, som Datatilsynet udsender. De første er kommet, og flere er på vej.
  3. Du skal indgå eller revidere databehandleraftaler med eksterne samarbejdspartnere (IT-hosting, telemarketingbureau, databureauer mv.). Du kan hente skabeloner hos brancheforeninger som fx Dansk Erhverv.

Januar

  1. Få et GDPR tjek af egne data og processer. Lever de op til nye krav? IT-revisor, IT-sikkerhedsfirma og andre specialister kan afdække status og behov for ændringer. Fremover skal du kunne dokumentere, at data og processer opfylder GDPR.
  2. Krav om IT-sikkerhedspolitik. Har du en? Medarbejdere og eksterne databehandlere skal overholde jeres krav til IT-sikkerhed. Har de underskrevet en erklæring?
  3. Lad en advokat tjekke indholdet i databehandleraftalerne.

Februar

  1. Få overblik – mapping – over kilde, dataindhold, anvendelse og udveksling af data i forskellige virksomhedssystemer – CRM, Marketing Automation, Permission-systemer osv.
  2. Minimering – slet, hvad der er gammelt og ikke anvendes. Få faste rutiner for sletning. Husk dokumentation for minimeringen.
  3. Gennemgå dine digitale samtykker. Sørg for de overholder regler om transparens – samtykke skal være informeret, frivilligt, specifikt og utvetydigt. Hvis ikke har du to måneder til at få rettet op. Tænk fremtidige anvendelsesmuligheder ind i samtykkeerklæringen.

Marts – nu er der godt to måneder tilbage.

  1. Dine kontakter dør, flytter osv. Du får pligt til at holde data korrekte og opdaterede. Ellers skal de slettes. Få en aftale med en databehandler om løbende vedligehold af stamdata.
  2. Få dokumentation af dataflows på plads. Hvem har ansvaret, hvem skal reagere, hvis noget går galt? Call-centret, andre eksterne? Hvilke risici er der?
  3. Bliv klar til at efterkomme krav om forbrugerindsigt. Få et modul, der automatisk kan levere en pdf til personer, der beder om indsigt. Du skal kunne dokumentere kilde, tidspunkt, samtykketekster, dataanvendelse osv.

April

  1. Udarbejd beredskabsplan. Brud på datasikkerhed skal indberettes inden 72 timer. Har du en beredskabsplan? Har dine eksterne samarbejdspartnere en?
  2. Næstsidste trin er at få startet en proces for et samlet dataoverblik. Skab sammenhæng på tværs af systemer, så eksempelvis stamdata bliver rettet i alle databaser, når du retter i en, og hvis kunden beder om at blive slettet, at det sker i alle dele.
  3. Opdater din privatlivspolitik på hjemmesiden. Fortæl, hvad I bruger data til, og hvordan forbrugeren kan få indsigt, kan klage og få slettet data.

Når du kommer så langt, er vi på vej mod lysere tider. Både i overført betydning og i virkeligheden.

God fornøjelse.

 

Henrik Hobel har 25 års specialisterfaring inden for data og har gennem sin erhvervskarriere arbejdet med rådgivning om data, optimering af datakvalitet samt optimering af salgsresultater baseret på dybe dataindsigter.

Ambition er en fusion mellem DM Partner, Director og Webjuice.

Klummen er et udtryk for skribentens egen holdning

Events

Se flere