Til hovedmeny Til innhold

GDPR og SuperOffice – hvor skal du begynne?

Fredag 25. mai 2018 er GDPR-deadline for oss alle. Her får du konkrete råd om hvordan du får kontroll på virksomhetens persondata i SuperOffice.

Proplan kan blant annet bistå konkret med å dokumentere hvilken informasjon som er lagret hvor i SuperOffice, vasking/rydding av databasen og rutiner for etterlevelse av forordningen.

Det skrives mye om GDPR for tiden. En del er litt skrekk-basert. Media er flittig til å fortelle om hvor mange som ikke har kontroll og om risiko for bøter på opptil 20 millioner Euro eller fire prosent av global omsetning. Mange av Proplans SuperOffice-kunder ønsker seg informasjon om konkrete fremgangsmåter. Her er noen råd om hvor de skal begynne.

 

Dokumentér prosess og data

– Hva slags data har dere og hvordan samler, behandler og bruker dere denne? Dette må dere ha klare svar på, sier markedssjef Mette Gulbrandsen i Proplan. – Vårt første, konkrete råd er at dere jobber dere igjennom dette og sørger for tydelig dokumentasjon. Hun understreker at Proplan ikke er jurister. For å ha GDRP-forberedelsene helt på det tørre, kan nettopp avsjekk med jurist være smart. Det gjelder ikke minst tvilstilfeller – gråsoner hvor regelverket kan fremstå som uklart.

– Men, mye tilsier at dersom dere tar GDPR på alvor og kan dokumentere hva og hvordan, så vil dere stå langt bedre stilt sammenlignet med å gjøre ingenting. Sunn fornuft er nyttig også her og jobben for eventuelle jurister blir mindre når dere har tenkt grundig gjennom sakene selv, sier hun.

Som eksempler på persondata nevner hun navn, personnummer, adresse, telefonnummer, e-postadresse, IP-adresser, kjønn, inntekt, interesser, besøkte websider, religiøs og politisk tilknytning, helseopplysninger, medlemskap i fagforeninger etc.

 

Mal for analyse av persondata

SuperOffice har laget et startpunkt for GDPR-arbeidet i form av en fin spørsmålsliste for analyse av hvilke persondata dere har lagret.

– Faktisk er det ikke alltid lett å si hvor dataene ligger. Bedrifter kan ha gode retningslinjer, men enkeltpersoner kan likevel ha registrert info i systemene uten tanke for at opplysningene kan være i strid med reglene. I GDPR-sammenheng hjelper dette lite, forklarer konsulent Trond Heimvik i Proplan. Han understreker at det er viktig å ikke overse noe. Proplan tilbyr en standard GDPR-kartleggingspakke for SuperOffice.

– Vi kan klargjøre nøyaktig hvor informasjon ligger i SuperOffice. Når informasjonsmengden blir stor, kan det være en altfor tidkrevende oppgave å gjøre manuelt. Proplan kan i stedet bruke analyseverktøy og vise nøyaktig hva som er registrert, slik at dere heller kan konsentrere dere om inntektsbringende arbeid eller andre kjerneaktiviteter, sier Heimvik.

Han trekker spesielt frem «mer»-feltene i SuperOffice. Disse finnes for person, kontakt, salg og prosjekt. Mange bruker disse for diverse ustrukturert informasjon så her kan det potensielt ligge overraskelser. Det samme kan gjelde de ulike dokumentmalene som man har laget seg i systemet.

 

Juridisk grunnlag og opprydding

– Så er spørsmålet hvilken informasjon som dere faktisk kan ha og hvordan dere behandler og bruker denne. For noen er det helt innenfor å ha lagret persondata som personnummer eller opplysninger om fagforeningstilknytning. Men, dere må ha kontroll på det juridiske grunnlaget for at dere lagrer disse opplysningene, sier Gulbrandsen. Juridisk grunnlag i denne sammenheng kan f.eks være eksplisitt samtykke, kontrakt med kunden, lovpålagte krav fra myndighetene eller ivaretakelse av legitime interesser. 

Når kartleggingen og grunnlagsbeskrivelsen din foreligger, starter jobben med å «vaske og rydde». Hvis du har data lagret uten juridisk grunnlag, må du enten innhente samtykke eller slette informasjonen. Det kan for eksempel dreie seg om at dere har registrert bursdagene til VIP-kundene eller har mange gamle e-poster til personer som ikke har oppgitt samtykke. Det er ingen grunn til å oppbevare informasjon dere virkelig ikke trenger. For å lette denne jobben kan Proplan bistå med sletting og massehåndtering av f.eks. «Mer-feltene».

Hvis det er informasjon du fortsatt ønsker å beholde (f.eks. e-post-adresser til nyhetsbrev), må dere innhente eksplisitt samtykke. Det holder ikke at en kunde har gitt et muntlig «ok» til sin kontaktperson eller at en selger har mottatt visittkort. Også her kan Proplan bistå i forhold til å etablere rutiner på hvordan man korrekt innhenter samtykke og dokumenterer dette i SuperOffice.

Trond Heimvik oppsummerer kort sin erfaring med kundene han har hjulpet så langt: - Det er mange som synes det virker overveldende og vanskelig å starte. SuperOffice er jo også bare ett av flere systemer hvor kundene lagrer persondata, og de må ha kontroll med alle. Klarer man å kartlegge bedriftens persondata og deretter bestemme hvilke data som kan beholdes så er man langt på vei. Gjør du en skikkelig jobb i forhold til GDPR-tilrettelegging av SuperOffice er det mye enklere å kjøre samme prosess på bedriftens andre systemer.

Proplan kan kartlegge hvor data ligger lagret i SuperOffice, rydde opp i samsvar med retningslinjene, samt etablere rutiner for innhenting av samtykker og dokumentasjon av dette i systemet. GDPR-deadline kommer før vi aner. Alle bør ha foretatt tydelige handlinger knyttet til dette, inkludert å beskrive prosesser, persondata man har lagret og hvordan man behandler disse. Ingen kan bare seile gjennom innføringen av GDPR, slår Proplan fast.  

 


Sjekkliste: 

I mai 2018 trer GDRP (General Data Protection Regulation) i kraft. Den nye loven vil endre måten vi forholder oss til persondata på. Alle virksomheter som lagrer persondata bør forholde seg aktivt til dette og kanskje oppsøke juridisk bistand for å sikre seg å være innenfor regelverket.

  1. Beskriv hvordan dere har forholdt dere til GDPR, hvilke persondata dere kan ha, behandle og bruke.
  2. Skaff oversikt over hva slags data dere faktisk har. Let godt! Proplan kan bidra til å analysere SuperOffice.
  3. Konsultér jurist eller jobb veldig grundig gjennom selv.
  4. Rydd opp og slett! Proplan kan bidra.
  5. Innhent eventuelle samtykker og lagre disse opplysningene. SuperOffice skal komme med bedre funksjonalitet for akkurat dette. Proplan kan fortelle deg mer.

 
Potensielle kilder til persondata
  • CRM/SuperOffice
  • Økonomi/HR-system
  • Filtjenere
  • Mailboksene til medarbeidere
  • Innkjøpte e-post-adresser
  • Dokumentmaler
  • Kontrakter