GDPR for Quick3

Etter mye frem og tilbake er det nå avgjort at EUs personvernforordning, GDPR trer i kraft i Norge 20. juli 2018.
Der er det en del punkter dere må ta stilling til i forhold til lagring og bruk av deres kunders personopplysninger.


Kort oppsummert så bør dere ha kontroll på følgende punkter:
  • Hvem i bedriften har tilgang til kundedata?
  • Hva lagres og hvor lenge? Ikke lagre mer informasjon enn dere trenger
  • Hvem deler dere persondata med? Er kunden klar over dette og har dere en databehandleravtale med disse?
  • Har dere en personvernerklæring som viser kundene deres hvordan dere forholder dere til persondataene dere har lagret?
  • Trenger dere å innhente samtykke fra kundene?
  • Hva gjør dere om noen ber om å bli slettet eller anonymisert?

I Quick3 er det gjort en del tilpasninger i systemet for å imøtekomme disse kravene og her kommer det ytterligere informasjon om hvert enkelt punkt.
 

Generelt

Alle som jobber med kunder bør ha et forhold til innholdet i den nye personvernforordningen og spesielt det som er knyttet til uttak av kundedata fra systemene. Dette være seg rapporter som skrives ut og sendes videre eller mailer som inneholder personinformasjon. Dere må ha fokus på at dere har kontroll på hvem som kan nå kundedata og hvem som kan gjøre endringer og ha et bevisst forhold til at færrest mulig skal ha tilgang til dette.
I Quick3 har vi utviklet bedre tilgangsstyring slik at dere kan ha kontroll på hvem som har tilgang til hvilke opplysninger i systemet. Se her for flere detaljer rundt dette.

Dere må også ha et bevisst forhold til hva dere lagrer av personinformasjon (lag gjerne en oversikt og lagre for eventuelle revisjoner). Dere må heller ikke lagre mer informasjon om kunden enn det dere strengt tatt har behov for.

Det er også viktig at personinformasjon er oppdatert og korrekt, og at den ikke lagres lengre enn nødvendig.

Dere må også sørge for å ha kontroll på hvem dere deler persondata med (for eksempel via integrasjoner/filsending) og inngå avtaler med disse. Samtidig må dere sørge for at den enkelte kunde dere har registrert med personinformasjon vet at deres data blir sendt videre (se under punktet Samtykke nedenfor)
 

Databehandleravtale

Dersom dere har samarbeidspartnere som mottar data fra dere eller som dere deler personinformasjon med – så bør dere ha en databehandleravtale med disse. Det er deres ansvar som Behandlingsansvarlig (den som eier dataene) å inngå slike databehandleravtaler. Dere kan se her for å få et eksempel på databehandleravtale inngått mellom Kunder og Quick Systems AS som tjenesteleverandør av Quick3. Dere må selv lage denne type avtaler tilpasset egen bedrift og tilpasset hvem dere deler persondata med.
 

Personvernerklæring

Vi vil sterkt anbefale at dere lager en Personvernerklæring for deres firma som klart viser hvem dere deler data med og hvorfor – slik at dette blir transparent og synlig for alle samarbeidspartnere/kunder. Se her for Quick Systems AS sin personvernerklæring. Det kan linkes til en slik personvernerklæring på samtykkeskjemaet til kundene.
 

Samtykke

Det er et krav i den nye personvernforordningen at man må innhente samtykke fra kundene knyttet til hva dere kan benytte de registrerte personopplysningene til. Det er nye krav knyttet til at det samtykket du gir skal være slik at det ikke er noen tvil for kunden hva han samtykker til og hvilke konsekvenser det vil få. Det er også krav til hvilket innhold det er i informasjonen du gir kunden. Vi kan anta at ikke alle eksisterende kunder har fått den nødvendige informasjon i forbindelse med innhenting av samtykke.

Dersom man benytter seg av sine kundedata til å sende markedsføringskampanjer og/eller profilering/analyse av kundedata (tilpasset markedsføring) må man sørge for å ha korrekt innhentet samtykke fra kundene.

Samtykke er ikke nødvendig dersom man kun kommuniserer med kunden vedrørende informasjon for å oppfylle avtalen med kunden, alternativt informasjon som er nødvendig for å tilby det produktet/tjenesten kunden har kjøpt. Dere må selv vurdere om dere har behov for å innhente samtykke ut fra de kampanjer og brev/sms/epost dere sender ut til kundene deres i dag.

Om dere finner ut at dere har behov for samtykke i de aktiviteter dere gjør ovenfor deres kunder, så har vi utviklet systemstøtte for lagring av samtykke i Quick3. Dette er ny funksjonalitet - noe som betyr at ingen av dine kunder er oppdatert med at de har gitt samtykke til bruk av personopplysninger i markedsføringsformål. Du må altså starte innhenting av denne type aktivt samtykke nå dersom du bruker disse dataene på en slik måte at samtykke er nødvendig.

Dere kan vurdere å sende ut en kampanje til samtlige kunder i kundebasen der dere ber om et samtykke basert på den nye personvernforordningen. Alle tilbakemeldinger bør lagres, enten på papir eller elektronisk (eksempelvis under fanen «Filutforsker» på kunden i Quick3). 

Minimumsinformasjon til kundene i en slik kampanje bør være: 

  • Navn og adresse på dere som behandlingsansvarlig av persondataene 
  • Hva opplysningene skal brukes til 
  • Om opplysningene skal deles med andre (for eksempel forhandlere eller andre samarbeidspartnere) 
  • Hvis opplysningene skal deles med andre så skal det informeres om HVEM det skal deles med. 
  • Hvordan du skal kunne trekke tilbake samtykke – eksempelvis ved å kontakte dere via mail eller telefon 
  • Hvor lenge dere tenker å lagre opplysningene om kunden 

For nye kunder kan samtykke innhentes når dere registrerer kunden i Quick3. Der finnes nå et eget skjermbilde for registrering av samtykke fra kunden. Hvordan du gjør dette finner du her.

Dere kan også å ha ferdige samtykkeskjemaer liggende på disk/kontor klart for utfylling når det skulle være aktuelt, og etterregistrere disse i systemet.
Samtykkeskjema kan skrives ut fra Quick via "Rapporter", se her for beskrivelse.

Kampanjer

Når du skal sende ut kampanjer som er såkalt «tilpasset markedsføring» må du være sikker på at du kun sender til de som har sagt ja til dette via et aktivt samtykke (ref foregående punkt). 

Dette gjør du når du er inne på kampanjeutsendingen og klikker "Generer kundeutvalg". Da kommer følgende dialogboks opp der du kan velge å sende kampanje kun til kontaktpersoner som er registrert med samtykke i Quick3:

 

Sletting/anonymisering

Hvis en av deres kunder krever å bli slettet eller anonymisert så kan dere gjøre dette selv på kunden.
Se her for beskrivelse av hvordan dere gjør dette.

Husk at det finnes dokumenter og transaksjoner som dere er forpliktet til å lagre lengre som følge av deres forpliktelser under norsk regnskapslov, og slik informasjon må slettes i tråd med gjeldende regelverk.