Hvad er GDPR?
GDPR (General Data Protection Regulation) er EU's databeskyttelsesforordning der trådte i kraft i 2018. GDPR gælder for alle virksomheder der behandler personoplysninger om personer i EU/EØS, uanset om virksomheden er baseret i EU eller ej.
Kort sagt:
GDPR er en lovgivning der beskytter personers rettigheder til deres personoplysninger. Hvis du behandler personoplysninger (f.eks. i dit CRM), skal du overholde GDPR-reglerne.
GDPR gælder for alle former for personoplysninger - navn, email, telefonnummer, adresse, og meget mere. I et CRM-system gemmer du typisk mange personoplysninger om kunder, prospects og kontakter, så GDPR er meget relevant.
Vigtige GDPR-principper:
- Lovlig grundlag: Du skal have en lovlig grund til at behandle personoplysninger
- Formålsbegrænsning: Behandl kun data til det formål det blev indsamlet til
- Dataminimering: Indsaml kun nødvendige personoplysninger
- Nøjagtighed: Hold data opdateret og korrekt
- Opbevaring: Slet data når det ikke længere er nødvendigt
- Sikkerhed: Beskyt data mod uautoriseret adgang
- Gennemsigtighed: Informer personer om hvordan deres data behandles
Hvorfor GDPR er vigtigt i CRM
CRM-systemer indeholder typisk store mængder personoplysninger, hvilket gør GDPR-compliance kritisk:
Store bøder
GDPR-bøder kan være op til 20 mio. euro eller 4% af årsomsætningen. For danske virksomheder kan det være millioner af kroner.
Reputation
GDPR-overtrædelser kan skade din virksomheds omdømme. Kunder mister tillid hvis de hører om datalæk eller misbrug.
Kunde-tillid
Kunder forventer at deres data behandles korrekt. GDPR-compliance viser at du tager databeskyttelse seriøst.
Konkurrencefordel
Mange virksomheder kæmper med GDPR. Et GDPR-compliant CRM kan være en konkurrencefordel når du konkurrerer om kunder.
Statistik:
Siden GDPR trådte i kraft i 2018 er der uddelt bøder for over 2,8 mia. euro i EU. Danske virksomheder har modtaget flere store bøder for GDPR-overtrædelser.
GDPR-krav for CRM-systemer
Når du bruger et CRM-system, skal både du og CRM-leverandøren overholde GDPR. Her er de vigtigste krav:
1. Data Processing Agreement (DPA)
Hvis CRM-leverandøren behandler personoplysninger på dine vegne, skal I have en Data Processing Agreement (DPA). DPA'en definerer hvordan leverandøren må behandle data og hvilke sikkerhedsforanstaltninger de skal have.
Tip: Tjek om din CRM-leverandør tilbyder en standard DPA. De fleste gode CRM'er har dette.
2. Ret til at blive glemt
Personer har ret til at få deres personoplysninger slettet. Dit CRM skal kunne slette alle data om en person permanent når de anmoder om det.
Tip: Test om dit CRM kan slette en kontakt fuldstændigt, inkl. alle relaterede data (emails, opkald, noter osv.).
3. Data eksport
Personer har ret til at få en kopi af alle deres personoplysninger i et struktureret format. Dit CRM skal kunne eksportere data om en person.
4. Dataminimering
Du må kun indsamle og gemme personoplysninger der er nødvendige for dit formål. Dit CRM skal kunne håndtere at du kun gemmer nødvendige felter.
5. Sikkerhed
CRM-leverandøren skal have passende tekniske og organisatoriske foranstaltninger til at beskytte data. Tjek om de har ISO 27001, kryptering, backup osv.
6. Databrudsnotifikation
Hvis der sker et databrud, skal CRM-leverandøren underrette dig inden for 72 timer. Du skal derefter vurdere om du skal underrette Datatilsynet og berørte personer.
GDPR for danske virksomheder
Danske virksomheder har nogle specifikke overvejelser ved GDPR:
Datatilsynet
Datatilsynet er den danske tilsynsmyndighed for GDPR. De kan uddele bøder og vejlede om GDPR. Danske virksomheder skal rapportere databrud til Datatilsynet.
Tip: Hold dig opdateret på Datatilsynets vejledninger og afgørelser.
B2B data
GDPR gælder også for B2B data hvis det er personoplysninger (f.eks. navn, email, telefonnummer til en kontaktperson). Selv om det er erhvervsdata, er det stadig personoplysninger hvis det handler om en person.
Vigtigt: Mange tror GDPR kun gælder B2C, men B2B personoplysninger er også dækket.
Legitimate interest
For B2B virksomheder kan "legitimate interest" ofte være lovlig grundlag til at behandle personoplysninger. Men du skal stadig overholde alle andre GDPR-krav.
Internationale CRM'er og GDPR
Mange internationale CRM'er kan være udfordrende for GDPR-compliance:
Data lokalisering
Mange internationale CRM'er gemmer data i USA eller Asien. Selv om de har GDPR-compliance, kan det være svært at verificere hvor data faktisk gemmes og hvordan det behandles.
Tip: Spørg direkte hvor data gemmes og om du kan vælge EU-region.
Komplekse DPA'er
Store internationale CRM'er har ofte meget komplekse DPA'er der kan være svære at forstå. Nogle kræver juridiske konsulenter for at gennemgå dem.
Support på engelsk
Hvis du har GDPR-spørgsmål, kan det være svært at få svar fra international support der ikke forstår danske GDPR-krav eller Datatilsynets praksis.
Standard Contractual Clauses (SCC)
Hvis data sendes uden for EU, skal der være Standard Contractual Clauses. Dette kan være komplekst og kræve juridiske konsulenter.
Best practices for GDPR i CRM
Her er praktiske råd til at overholde GDPR i dit CRM:
1. Dokumenter dit formål
Dokumenter hvorfor du indsamler hver type personoplysning og hvad du bruger det til. Dette hjælper med at overholde formålsbegrænsning og dataminimering.
2. Slet gamle data regelmæssigt
Gennemgå dit CRM regelmæssigt og slet data der ikke længere er nødvendige. GDPR kræver at du ikke gemmer data længere end nødvendigt.
3. Begræns adgang
Giv kun adgang til personoplysninger til medarbejdere der faktisk har brug for det. Brug CRM'ets adgangskontrol til at begrænse hvem der kan se hvad.
4. Log aktiviteter
Log hvem der har adgang til personoplysninger og hvad de gør med dem. Dette hjælper med at opdage misbrug og overholde accountability-princippet.
5. Informer kontakter
Når du indsamler personoplysninger, informer kontakterne om hvad du gemmer og hvorfor. Dette kan gøres via privacy policy eller direkte kommunikation.
6. Håndter anmodninger om sletning
Sørg for at du kan håndtere anmodninger om sletning hurtigt. Dit CRM skal kunne slette alle data om en person permanent.
Sådan vælger du GDPR-compliant CRM
Når du vælger et CRM, skal du sikre GDPR-compliance:
1. Tjek DPA
Spørg om CRM-leverandøren har en standard DPA. Læs den igennem og forstå hvad den dækker. Er den klar og forståelig?
2. Spørg om data lokalisering
Hvor gemmes data? I EU? I USA? Kan du vælge region? Dette er vigtigt for GDPR-compliance.
3. Test sletning
Test om CRM'et kan slette en kontakt fuldstændigt. Er alle data slettet, eller gemmes noget stadig? Dette er kritisk for "ret til at blive glemt".
4. Tjek sikkerhed
Hvilke sikkerhedsforanstaltninger har CRM-leverandøren? Kryptering? ISO 27001? Backup? Dette er vigtigt for GDPR's sikkerhedskrav.
5. Spørg om databrudsprocedurer
Hvad sker der ved et databrud? Underretter de dig inden for 72 timer? Hvordan håndterer de det? Dette er et GDPR-krav.
GDPR-checkliste for CRM
Brug denne checkliste til at sikre GDPR-compliance i dit CRM:
- 1Har du en Data Processing Agreement (DPA) med CRM-leverandøren?
- 2Ved du hvor CRM-leverandøren gemmer data?
- 3Kan dit CRM slette en kontakt fuldstændigt?
- 4Kan dit CRM eksportere alle data om en person?
- 5Har CRM-leverandøren passende sikkerhedsforanstaltninger?
- 6Har du dokumenteret formålet med hver type personoplysning?
- 7Sletter du gamle data regelmæssigt?
- 8Har du begrænset adgang til personoplysninger?
- 9Logger du hvem der har adgang til personoplysninger?
- 10Har du en procedure til at håndtere anmodninger om sletning?
- 11Har du informeret kontakter om hvordan deres data behandles?
- 12Ved du hvad der sker ved et databrud?
Tip:
Gennemgå denne checkliste regelmæssigt (f.eks. hver 6. måned) for at sikre at du stadig overholder GDPR. GDPR-compliance er ikke en engangsopgave, men en løbende proces.
Salesbase: GDPR-Compliant CRM
Bygget med GDPR-compliance fra grunden