Bedömning av SuperOffice CRMs GDPR-överensstämmelse av DLA Piper
Våra produkter har alla genomgått externa genomgångar för att bekräfta att våra produkter uppfyller GDPR-kraven. Nedan hittar du resultaten av en revision som den globala advokatbyrån DLA Piper har gjort för SuperOffice. Rapporten tittar på kraven i GDPR och utvärderar hur SuperOffice-produkterna stöder de olika kraven ur ett praktiskt och juridiskt perspektiv. Den viktigaste slutsatsen bekräftar att SuperOffice är GDPR-komatibelt och har vidtagit alla nödvändiga åtgärder för att uppfylla kraven som GDPR ställer.
Du kan läsa rapporten här; DLA Piper revision av SuperOffice CRM (på engelska)
Som du säkert vet står ”R:et” i förkortningen CRM för ”Relationships” och relationer finns bara mellan människor.
För att relationerna ska kunna upprätthållas innehåller ett CRM-system vanligtvis information om kunder och personer som på något sätt är knutna till ett företag samt en historik över marknads-, försäljnings- och serviceaktiviteter. I ett CRM-system registreras dessutom en hel del uppgifter om dessa personer på olika sätt och i flera sammanhang.
SuperOffice CRM är utformat för att hjälpa dig att efterleva GDPR-lagstiftningen när du lagrar och behandlar (använder) personuppgifter i ditt CRM-system. Genom att använda de inbyggda integritetsfunktionerna i SuperOffice vägleds du att behandla dina kunders och prospekts personuppgifter på ett lagligt sätt.
Många företag anser idag att personuppgifter är ”det nya guldet”. Säker lagring, laglig insamling av personuppgifter och en integritetsskyddad livscykelhantering av personuppgifter är avgörande för dagens och framtida produktiva och moderna sätt att göra affärer.
Tillgång till personuppgifter om relationer, transaktioner, digitala fotspår, etc. är grunden för en intelligent och personbaserad automatisering. Genom att analysera personuppgifterna och omvandla resultaten till åtgärder kommer du att kunna automatisera många av processerna inom marknadsföring, försäljning och kundservice. Det är därför inte överraskande att de flesta företag idag anser att processautomatisering är en förutsättning för att i framtiden kunna driva ett framgångsrikt och konkurrenskraftigt företag.
Det här avsnittet ger en översikt över vilka nya funktioner som har lagts till i SuperOffice CRM för att stödja användare och administratörer vid behandlingen av personuppgifter. Här beskrivs också hur produktutvecklingsteamet för SuperOffice har implementerat principen om inbyggt dataskydd i samtliga faser i produktutvecklingen.
1. Inbyggt dataskydd (” Privacy by Design”)
GDPR kräver att produkter som innehåller (lagrar och använder) personuppgifter måste ta hänsyn till integritetsaspekterna när produkten utformas. Det innebär att utformningen av produkten måste säkerställa att all lagring och användning av personuppgifter överensstämmer med GDPR-lagstiftningen
Dessutom ska produkten inte på något sätt hindra företaget, dess kunder eller en enskild person från att utöva sina skyldigheter och rättigheter enligt GDPR. Vi betonar detta krav eftersom system som inte är utformade utifrån ett integritetsperspektiv ofta lägger hinder i vägen för nödvändig insyn och åtkomst till personuppgifter.
Vårt mål med SuperOffice är inte bara att säkerställa ”GDPR-efterlevnad” utan också att göra det så enkelt som möjligt för våra kunder att samla in och använda personuppgifter.
SuperOffice har alltid haft ett starkt fokus på användbarhet och vi kan nu tydligt se att vår befintliga kärnfunktionalitet gör att vi enkelt kan implementera de nya funktionerna för integritetshantering i våra produkter.
Vardagens SuperOffice-användare som arbetar med försäljning, marknadsföring, kundservice eller i någon annan roll har mycket annat att tänka på än GDPR. Låt oss erkänna att ”GDPR-efterlevnad” inte kommer att ha högsta prioritet för dem som försöker göra ett gott sälj- eller marknadsföringsjobb från morgon till kväll. Så är det bara. Och det har vi all förståelse för.
Ambitionen med SuperOffice är att vägleda och hjälpa dem som använder SuperOffice CRM att samla in och använda CRM-uppgifter på ett sätt som skyddar integriteten automatiskt. Det är just därför vi har byggt in automation och kontroll i vår produkt.
De nya reglerna (integritetsinställningarna) är delvis GDPR-relaterade och delvis definieras de av företaget självt. Tack vare det inbyggda dataskyddet kan användarna av SuperOffice CRM i princip fortsätta att arbeta på sitt vanliga effektiva sätt utan att behöva ägna tid åt tidskrävande eller komplicerade ”integritetsfrågor”. Det vi vill uppnå är inte bara att göra det enkelt att efterleva lagstiftningen utan också att erbjuda en bra användarupplevelse.
Det första steget i att bygga en applikation som stödjer viktiga GDPR-krav är att skapa ett särskilt sätt att tänka vid programutvecklingen som säkerställer att alla aspekter av integritetshanteringen beaktas.
Den centrala idén här är att integritet inte är något som läggs till i en befintlig applikation, utan något som är inbyggt i själva arkitekturen och funktionaliteten. På samma sätt som vi utformar teknisk säkerhet, prestanda, stabilitet och användbarhet fokuserar vi nu också på hur personuppgifter faktiskt lagras och hanteras i SuperOffice CRM.
Vi är mycket stolta över att detta fokus på inbyggt dataskydd är invävt i alla faser och processer i vår programutveckling och har blivit en integrerad del vår utvecklingskultur.
2. Hantering av integritetsskydd
En central punkt i den nya förordningen (GDPR) är en uppsättning grundläggande rättigheter för fysiska personer som skyddar deras privatliv och reglerar användningen av de digitala spår som de lämnar efter sig när de använder internetbaserade applikationer och tjänster.
Dessa rättigheter är avsedda att skapa öppenhet, erbjuda kontroll och bygga förtroende mellan de personer som lämnar personuppgifterna och företaget som använder dem för ett visst syfte.
SuperOffice CRM erbjuder dedikerad funktionalitet för att skydda dessa rättigheter. Detta kallas ibland ”Privacy Data Lifecycle Management” och innebär att SuperOffice skyddar och hanterar personuppgifter från det att de skapas i SuperOffice CRM tills de raderas eller tas bort.
Alla personuppgifter måste lagras på ett säkert sätt. De ska också göras tillgängliga på begäran av den registrerade samt hanteras och användas enligt företagets integritetspolicy. När ett motiverat behov av lagring och/eller användning inte längre finns ska personuppgifterna automatiskt raderas eller anonymiseras. Hur SuperOffice stödjer dessa rättigheter beskrivs mer i detalj längre fram.
3. Hantering av rättslig grund
Enligt GDPR måste det alltid finnas ett definierat syfte för insamling av uppgifter om personer. Syftet måste också ha rättslig grund. För varje person som du lagrar i ditt CRM-system måste du tillhandahålla dokumentation om syftet och den rättsliga grunden för lagringen.
Den rättsliga grunden finns i GDPR:s artikel 6 som tar upp 6 olika rättsliga grunder (a–f). I vissa fall behöver du också samla in och dokumentera samtycke från varje person för särskilda behandlings- och kommunikationssyften. Här är några exempel på sådana syften: skicka marknadsföringsmaterial via e-post, dela personuppgifter med andra företag, samla in uppgifter från andra källor, registrera en persons beteende på din webbplats, profilering etc.
SuperOffice har datafält på Kontaktkortetför dokumentering av syfte, rättslig grund, källa, när data samlades in och av vem. SuperOffice CRM hjälper dig förstås att fylla i dessa fält automatiskt när så är möjligt.
För varje person kan du ange:
- Syfte (t.ex. direktförsäljning, marknadsföring, avtalsenliga skyldigheter, profilering etc.)
- Rättslig grund (artikel 6 i GDPR)
- Datum (datumet då denna rättsliga grund angavs/uppdaterades)
- Uppdaterad av (t.ex. den som registrerade kontakten i CRM, en annan SuperOffice-användare, annat system.)
- Källa (t.ex. ett webbformulär, ett e-postmeddelande, ett serviceärende, import från ERP, manuell registrering)
För att säkerställa att du behandlar personuppgifter på ett sätt som är förenligt med GDPR finns det vissa funktioner i SuperOffice CRM som har som standardinställning att de endast utförs om det finns en dokumenterad rättslig grund för ett särskilt syfte. Till exempel skickas utskick endast till personer där det finns en registrerad och rättslig grund.
I det nya Integritetscentret i modulen Inställningar och underhåll kan du centralt definiera och underhålla:
- En lista med syften och rättsliga grunder som ditt företag har definierat.
- Den rättsliga grund som ska användas som standard när en ny person läggs till i systemet.
- Du kan även aktivera möjligheten att automatiskt skicka ett e-postmeddelande med en samtyckesförfrågan när en ny person läggs till i SuperOffice CRM.
Rättslig grund för olika syften kan också anges via ett API. Med denna funktion kan du dela och samla in rättsliga grunder genom integration med andra system.
4. Hantering av prenumerationer
I enlighet med GDPR-kraven hanterar SuperOffice Utskick endast personer som har uttryckt sitt samtycke till att få utskick från dig (detta kan åsidosättas, men på egen risk).
Vi har utökat möjligheterna för alla i SuperOffice Utskick att ange önskemål om innehåll. Det innebär att varje kontakt i din CRM-databas nu kan ange egna önskemål om innehåll och säga ja eller nej till vissa typer av meddelanden. Den här inställningen görs via länkarna i e-postmeddelandena (länken för hantering av prenumerationsinställningar) eller i vårt kundcenter.
Man kan nu exempelvis meddela att man inte vill få e-post om ”produktnyheter” men gärna vill ha ”inbjudningar till evenemang”. Detta utöver möjligheten att helt välja bort alla utskick.
Så här fungerar det. I modulen ”SuperOffice Formulär” kan du definiera och utforma webbformulär som kan placeras (bäddas in) på din webbsida eller öppnas via en länk i ett e-postmeddelande som du skickar till dina kontakter. Dessa formulär hjälper dig att samla in uppgifter från besökarna på din webbplats och att be dem om samtycke till alla syften du har. Din SuperOffice-databas uppdateras omedelbart och automatiskt med uppgifterna som samlas in via formulären.
Det här är ett mycket praktiskt sätt att inhämta samtycke till marknadsföringsutskick.
5. Åtkomstkontroll i SuperOffice
5.1 Konfidentialitet och integritet
GDPR definierar klart och tydligt vad programvaruleverantörernas skyldighet är när det gäller personuppgifter och konfidentialitet – nämligen att se till att uppgifterna är skyddade mot obehörig åtkomst.
Modulen SuperOffice Access Management har uppdaterats till att omfatta registrerades personuppgifter i alla CRM-fält. Det innebär att du nu kan konfigurera SuperOfficestandardbehörighetssystem så att det skyddar personuppgifterna i din databas från all obehörig åtkomst. Du kan tilldela säkerhets- och åtkomstnivåer med hjälp av följande funktioner i SuperOffice CRM: roller, behörigheter, synlig för och säkerhetsplugin.
5.2 Dataskydd som standard och åtkomstbehörigheter
GDPR kräver att principen ”dataskydd som standard” tillämpas i all programvara som behandlar personuppgifter. Det innebär att personuppgifter inte ska delas eller distribueras i onödan och att de striktaste integritetsinställningarna ska tillämpas automatiskt. GDPR kräver att programvarusystem ska blockera obehörig behandling av personuppgifter.
Till exempel ska CRM-användare som inte jobbar med marknadsföring inte kunna göra utskick. SuperOffice CRM gör det enkelt att skapa sådana begränsningar med hjälp av roller och funktionsbaserade behörigheter.
SuperOffice CRM kan blockera delning av känsliga personuppgifter via roller, så att endast behöriga användare kan visa uppgifterna. Till exempel kan din sekreterare ha tillgång till en persons adress och telefonnummer medan bankkontonumret inte kan visas.
Dataskydd som standard innebär också att personuppgifter inte ska lagras längre än nödvändigt. När en kundrelation upphör ska alla relaterade personuppgifter raderas.
För att uppfylla detta krav och GDPR:s ”rätt att bli bortglömd” kan SuperOffice klassificera kunder och ta bort utgångna personuppgifter automatiskt. Du kan definiera en bevarandeprincip för hur utgångna personuppgifter ska hanteras.
6. Incidenthantering
GDPR kräver att personuppgiftsincidenter rapporteras och åtgärdas utan dröjsmål. Det är därför av största vikt att ha en incidenthanteringsplan kodad i databehandlingsprogrammet.
SuperOffice Service-systemet kan upprätta en plan för hantering av incidenter och meddela de berörda personerna. Faktum är att vår Service-modul tillhandahåller färdiga incidenthanteringsfunktioner som en del av SuperOffice Service-användarplanen.
En incident kan vara allt från mindre misstag – ett feladresserat e-postmeddelande som innehåller personuppgifter – till riktigt allvarliga misstag – oavsiktlig exponering av samtliga personuppgifter.
Att upptäcka incidenten ligger utanför vad SuperOffice kan åstadkomma. Men incidenter rapporteras ofta av personer utanför din organisation. Incidentrapporterna kan lätt undgå upptäckt i en överfull inkorg och du kanske inte blir medveten om incidenterna förrän du läser om dem i tidningen.
Och det är här SuperOffice kan hjälpa dig: ärendehanteringssystemet i SuperOffice Service kan hjälpa dig att fånga upp och spåra dessa incidentrapporter.
Vårt ärendehanteringssystem håller reda på vad som sker och vem som påverkas och ser till att du uppfyller dina GDPR-skyldigheter. Om en incident inbegriper känsliga personliga uppgifter måste du meddela både berörda personer och myndigheterna. Och SuperOffice Service kan hjälpa dig att snabbt och enkelt vidta rätt åtgärder.
7. Befintliga data och GDPR efterlevnad
Alla företag som inleder sin väg mot GDPR-efterlevnad står inför samma dilemma: Vad ska vi göra med vår befintliga databas som innehåller information om kunder och prospekt?
För att uppfylla GDPR-kraven måste företagen komma fram till ett sätt att få sina befintliga data i ett sådant skick att alla personuppgifter lagras och behandlas enligt den nya förordningen. Och om det finns personuppgifter i databasen som inte längre får vara där enligt GPPR måste de rensas ut.
De som redan använder SuperOffice CRM bör ”migrera” sin databas till den senaste SuperOffice-versionen, som innehåller nya databasfält och funktioner för att säkerställa integritet, konfidentialitet och tillgänglighet i enlighet med GDPR-kraven. Den senaste versionen av SuperOffice CRM har verktyg för att analysera befintliga data och konvertera dem till de nya GDPR-beredda strukturerna.
Olika företags verksamhet skiljer sig förstås från varandra, och det gör också deras kunddatabaser. Företag har sina egna regler och policyer för integritetsskydd som påverkar hur man bedriver verksamheten och hur man samlar in uppgifter. Det är därför SuperOffice CRM erbjuder flexibla verktyg som i hög grad kan standardiseras och automatiseras.
SuperOffice erbjuder dessutom konsulttjänster, arbetar med en implementeringsmetod som följer bästa praxis och hjälper våra befintliga kunder att migrera sin befintliga SuperOffice-databas så att den uppfyller GDPR-kraven.