Tidigare i vår trädde den nya GDPR lagstiftningen i kraft vilket ställer nya krav för hanteringen av persondata. Syftet med denna lagstiftning är att ge personer oavsett om det är egenskap av privatpersoner eller anställda rätt till skydd av och kontroll över sina personuppgifter. Förutom kraven på att hålla informationen säker finns även omfattande krav på transparens i vilken data som lagras samt rätten att få denna rättad och i vissa fall även raderad.
Om du har en kundportal med personlig inloggning så innebär det både att du behöver uppfylla sådana krav i denna samtidigt som det ger en ytterst bra möjlighet att lösa många av utmaningarna i den övriga verksamheten.
Genomtänkt plan
Bestäm vilken personliga data som ska lagras och varför. Vad är anledningen till att data ska sparas, är det något som du och dina kunder tjänar på. Lagra inte data som det inte finns någon anledning att spara.
Vad är persondata? Enligt regelverket är det all information om kan användas för att identifiera en person så som namn, mailadress, telefonnummer. Detta innefattar även information som indirekt kan identifiera en person som vilken ip-adress denna ansluter från.
Det låter givetvis som en självklarhet, men många företag sparar idag personlig information om sina kunder utan att någon som helst plan på vad de ska använda den till.
Tydlighet om datalagringen
Var tydlig med vilken information du lagrar om användarna och ge dem möjlighet att få en förklaring av varför det främjar er gemensamma affärsrelation. Se till att skapa ett dokument som tydligt beskriver vilket data som lagras och varför författat på ett språk som är enkelt för vanliga användare att förstå.
Möjlighet att ta del av lagrad information
I förordningen finns beskrivet att personer har rätt att ta del av den information som finns lagrad gällande dem. Detta innebär alltså inte bara dem data som identifierar användarna utan även den information som är kopplad till denna. Om information märks med en användare eller om det exempelvis finns en logg som visar vad användaren gjort i portalen så ska användaren kunna ta del av denna information.
Ett väldigt bra sätt att möjliggöra denna rättighet för användaren är att låta denne begära att få en sammanställning av lagrad data direkt via kundportalen. Genom att införa självbetjäning för användare och låta dem själva ta del av en sammanställning av informationen som är lagrad.
Medgivande och samtycke
Personuppgifter får behandlas om man har ett samtycke från den som personuppgifterna avser. I dataskyddsförordningen ställs det särskilda krav på samtycket, bland annat att det ska vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling och att det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen.
Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade. Vid uppläggning av en ny användare bör kundportalen utformas på ett sådant sätt att användaren i och med första inloggningen får information om datalagringen, personens rättigheter samt att i och med det lämna sitt medgivande.
Möjlighet till rättelse
Varje person har rätt att vända sig till ett företag eller myndighet som behandlar personuppgifter och be att få felaktiga uppgifter rättade. Det innebär också att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta.
I kundportalen bör användare ha tillgång till en rutin som möjliggör att användaren begär rättelse av inkorrekt information.
Möjlighet att begära avregistrering
Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas.
Detta innebär i sig inte att företaget eller myndigheten alltid är tvingade att radera personuppgifterna. Om personuppgifterna krävs för att exempelvis kunna styrka beställningar, leveranser eller utfört arbete finns andra regelverk som kräver att uppgifterna sparas.
Regelverket kring när uppgifter måste raderas finns beskrivna på datainspektionens hemsida.
Sammanfattning
Sammanfattningsvis ger GDPR en hel del saker att tänka på vid utformningen av företagets kundportal. Det ger samtidigt en effektiv plattform för att hantera regelverket och kommunikationen med kunderna.
GDPR kräver insatser för alla företag. Att nyttja en modern kundportal med kopplingar till företagets andra affärslösningar kan vara det mest effektiva och snabba sättet att lösa utmaningen.
Läs mer i vårt produktblad om hur Bizzjoiner hanterar personlig data och andra integritetsfrågor.