Vurdering av SuperOffice CRM utført av DLA Piper
Våre produkter har gjennomgått ekstern vurdering for å bekrefte at produktene fungerer i henhold til, og støtter GDPR-kravene. Nedenfor finner du resultatene av en revisjon som det globale advokatfirmaet DLA Piper har gjort på vegne av SuperOffice. Rapporten ser på kravene i GDPR og evaluerer hvordan SuperOffice-produkter støtter de ulike kravene fra et praktisk og juridisk perspektiv. Hovedkonklusjonen bekrefter at SuperOffice etterlever GDPR og har tatt alle nødvendige tiltak for å oppfylle GDPR-kravene.
Les hele rapporten her: DLA Piper vurdering av SuperOffice CRM
Som du sikkert vet, står r-en i CRM for relasjoner, og relasjoner eksisterer bare mellom mennesker.
For å ivareta relasjonene inneholder et CRM-system vanligvis informasjon om kunder og mennesker som på en eller annen måte er knyttet til et selskap, samt en historikk over aktivitetene til selskapets markedsførings-, salgs- og kundeserviceteam. I et CRM-system er dessuten ganske mange av personopplysningene registrert på ulike måter i flere kontekster.
SuperOffice CRM er utviklet for å hjelpe deg med å etterleve GDPR-lovgivningen når det gjelder måten du lagrer og behandler (bruker) private data i CRM-systemet på. De innebygde personvernfunksjonene i SuperOffice veileder deg slik at du behandler personopplysningene til kunder og prospekter i henhold til lovgivningen.
I dag ser mange virksomheter på personopplysninger som «det nye gullet». Sikker lagring, lovlig innsamling av personopplysninger og livssyklusbehandling av personopplysninger er avgjørende i dagens og fremtidens produktive og moderne måter å drive virksomhet på.
Tilgang til personopplysninger om relasjoner, transaksjoner, digitale fotavtrykk osv. er grunnlaget for en intelligent og persontilpasset automatisering. Ved å analysere personopplysninger og gjøre resultatene om til handlinger kan du automatisere mange av markedsførings-, salgs- og kundeserviceprosessene. Derfor er det ingen overraskelse at de fleste virksomheter i dag anser prosessautomatisering som en forutsetning for å drive en vellykket og konkurransedyktig forretning i fremtiden.
Denne delen gir en oversikt over hvilke nye funksjoner som er implementert i SuperOffice CRM for å støtte brukerne og administratorene av systemet når de behandler personopplysninger. Delen beskriver også hvordan SuperOffices produktutviklingsteam har implementert prinsippet om innebygd personvern i alle faser av produktutviklingen.
1. Innebygd personvern (privacy by design)
GDPR krever at personvernet tas i betraktning ved utvikling av produkter som inneholder (lagrer og bruker) personopplysninger. Dette betyr at produkter må designes på en slik måte at lagringen og bruken av personopplysninger er i tråd med GDPR-lovgivningen.
I tillegg skal produktene på ingen måte hindre selskapet, selskapets kunder eller enkeltpersoner i å utøve forpliktelsene og rettighetene som følger av GDPR. Vi trekker frem dette kravet fordi systemer som utvikles uten innebygd personvern, ofte hindrer påkrevd tilgang til og innsikt om personopplysninger.
Målet for SuperOffice er ikke bare å oppnå samsvar med GDPR, men også å gjøre det så enkelt som mulig for kundene våre å samle inn og bruke personopplysninger.
SuperOffice har alltid hatt et sterkt fokus på brukervennlighet, og i dag ser vi at den eksisterende kjernefunksjonaliteten gjør det enkelt for oss å implementere de nye personvernfunksjonene i produktene våre.
Brukerne av SuperOffice, som jobber med salg, markedsføring, kundeservice eller i andre roller, har nok å tenke på i det daglige arbeidet. Å etterleve GDPR kommer nok ikke til å ha topp prioritet blant dem som hver dag streber etter å gjøre en god salgs- eller markedsføringsjobb. Sånn er det bare. Og det forstår vi.
SuperOffices ambisjon er å veilede og hjelpe brukerne av SuperOffice CRM med å samle inn og bruke CRM-data på en måte som automatisk ivaretar personvernet. Det er grunnen til at vi har bygget automatisering og kontroll inn i produktene våre for å bistå brukerne.
De nye reglene er dels GDPR-relatert og dels definert av selskapet selv og kalles «Personverninnstillinger». På denne måten kan brukerne av SuperOffice CRM i bunn og grunn fortsette med å jobbe på sin vanlige og effektive måte uten å måtte håndtere tidkrevende eller kompliserte personvernspørsmål. Vi ønsker ikke bare å tilby produkter og tjenester som er i samsvar med lovgivningen, men også å tilby en god brukeropplevelse.
Når vi bygger en applikasjon som støtter viktige GDPR-krav, går det første skrittet ut på å etablere en mentalitet som sikrer at alle aspekter ved personvernet tas i betraktning under programvareutviklingen.
Den viktigste ideen her er at personvern ikke er noe som legges til i en eksisterende applikasjon, men noe som er bygd inn i kjernearkitekturen og funksjonaliteten. Og når vi designer teknisk sikkerhet, ytelse, stabilitet og brukervennlighet, er vi også opptatt av hvordan personopplysningene faktisk lagres og behandles i SuperOffice CRM.
Vi er veldig stolte av at dette fokuset på innebygd personvern inngår i alle faser av programvareutviklingen og har blitt en integrert del av utviklingskulturen vår.
2. Håndtering av personvernrettigheter
Sentralt i den nye forordningen (GDPR) finner du et sett med grunnleggende rettigheter som beskytter enkeltpersoners privatliv og kontrollerer bruken av de digitale sporene de etterlater når de bruker Internett-baserte applikasjoner og tjenester.
Disse rettighetene er ment å skape åpenhet, gi brukerne kontroll og bygge tillit mellom personene som gir bort opplysningene sine, og selskapet som bruker dem til et bestemt formål.
SuperOffice CRM tilbyr dedikerte funksjoner som skal sørge for at disse rettighetene blir oppfylt. Noen ganger omtales dette også som livssyklusbehandling av personopplysninger, og det betyr at SuperOffice beskytter og behandler personopplysninger fra det tidspunktet de opprettes i SuperOffice, til de slettes eller fjernes.
Alle personopplysninger skal lagres på en sikker måte. De skal også være tilgjengelige på forespørsel fra enkeltpersoner og behandles og brukes i henhold til selskapets retningslinjer for personvern. Når det ikke lenger finnes noe berettiget behov for lagring og/eller bruk av personopplysningene, skal de automatisk slettes eller anonymiseres. Vi ser nærmere på hvordan SuperOffice støtter disse rettighetene, senere.
3. Samtykkestyring
I henhold til GDPR må du alltid ha et definert formål med å samle inn informasjon om enkeltpersoner, og formålet skal støttes av en hjemmel. For hver person du lagrer i CRM-systemet, må du dokumentere formålet med og hjemmelen for å gjøre det.
Hjemmelen finnes i GDPR artikkel 6 som fører opp seks ulike vilkår som gjør behandlingen av personopplysninger lovlig (a–f). I noen tilfeller, når det gjelder spesifikke behandlings- og kommunikasjonsformål, må du også samle inn og dokumentere samtykke fra hver enkelt person. Her er et par eksempler på slike formål: sende markedsførings-e-post, dele personopplysninger med andre selskaper, samle inn data fra andre kilder, spore en persons atferd på websiden din, profilering osv.
SuperOffice tilbyr datafelt på kontaktkortet som dokumenterer formålet, hjemmelen, kilden, når opplysningene ble samlet inn og av hvem. SuperOffice CRM hjelper deg selvsagt med å fylle ut disse feltene automatisk når det er mulig.
For hver person kan du spesifisere hvilken hjemmel du har for de ulike formålene:
- Formål (for eksempel direktesalg, markedsføring, kontraktsforpliktelser, profilering)
- Hjemmel (GDPR artikkel 6)
- Når (datoen da denne hjemmelen ble fastsatt/oppdatert)
- Oppdatert av (for eksempel personen som la inn kontakten i CRM, en annen SuperOffice-bruker, et annet system)
- Kilden (for eksempel via et webskjema, en e-post, en tjenesteforespørsel, importert fra ERP, manuelt registrert)
For å sikre at du behandler data på en måte som er i samsvar med GDPR, vil enkelte funksjoner i SuperOffice CRM som standard bare bli utført hvis en dokumentert hjemmel er fastsatt for et bestemt formål. For eksempel vil utsendelser bare bli sendt til personer med en registrert og gyldig hjemmel, som i praksis vil si at de har samtykket til å få tilsendt markedsføringsmateriell.
I det nye personvernsenteret i modulen Innstillinger og vedlikehold kan du definere og vedlikeholde følgende sentralt:
- En liste over formål og hjemler som selskapet har definert
- Standard hjemler som skal fastsettes når en ny person legges til i systemet
- Muligheten til automatisk å sende en e-post for å be om samtykke til å sende vedkommende markedsføringsmateriell når en ny person legges til i SuperOffice CRM
Muligheten til å fastsette hjemmelen for ulike formål er også tilgjengelig gjennom en API. Med denne funksjonen kan du dele og samle inn hjemler via integrasjoner med andre systemer.
4. Abonnementsstyring
I tråd med GDPR-kravene vil bare personer som har gitt sitt uttrykkelige samtykke til å motta utsendelser fra deg, behandles i Utsendelser-modulen i SuperOffice (dette kan overstyres, men på din egen risiko).
Vi har utvidet mulighetene til å angi innholdspreferanser i SuperOffice Utsendelser. Dette betyr at hver kontakt i CRM-databasen nå kan angi sine egne preferanser når det gjelder å motta innhold og enten velge eller velge bort visse typer kommunikasjon. Denne funksjonen er tilgjengelig i koblingene i e-poster («Vedlikehold abonnementene mine») eller i kundesenteret.
Denne funksjonen gjør det for eksempel mulig for en person å si: Jeg ønsker ikke å motta e-post om produktnyheter, men jeg kunne tenke meg å motta invitasjoner til arrangementer. I tillegg har vedkommende muligheten til å velge bort alle utsendelser.
Slik fungerer det: I modulen SuperOffice-skjemaer kan du definere og designe webskjemaer som kan plasseres (bygges inn) på websiden eller utløses fra en kobling i en e-post du sender til kontaktene dine. Disse skjemaene vil hjelpe deg med å samle inn data fra besøkende på websiden og be dem om samtykke til alle aktuelle formål. Dataene som samles inn i disse skjemaene, oppdaterer SuperOffice-databasen direkte og automatisk.
Denne funksjonen er nyttig når du vil hente samtykke til markedsføringsabonnementer.
5. Tilgangskontroll i SuperOffice
5.1 Konfidensialitet og integritet
GDPR gir en klar definisjon på hva personopplysningenes konfidensialitet betyr for programvareleverandørene, nemlig at de skal beskytte opplysningene mot uautorisert tilgang.
Modulen SuperOffice Access Management er utvidet til å omfatte datasubjekters private informasjon i alle CRM-felt. Det betyr at du nå kan konfigurere det standard SuperOffice-dataautorisasjonssystemet slik at det beskytter private data i databasen mot uautorisert tilgang. Du kan nå tildele sikkerhets- og tilgangsnivåer ved å bruke følgende funksjoner i SuperOffice CRM: roller, rettigheter, synlige for og sikkerhets-plugin-moduler.
5.2 Personvern som standard og tilgangsrettigheter
GDPR krever at personvern som standard-prinsippet brukes i all programvare som behandler data. Det betyr at ingen personopplysninger skal deles eller distribueres unødvendig, og at de strengeste personverninnstillingene skal tas i bruk automatisk. GDPR krever at programvaresystemer skal blokkere uautorisert behandling av data.
CRM-brukere som ikke er en del av markedsføringsteamet, skal for eksempel ikke kunne sende utsendelser. SuperOffice CRM gjør det enkelt å angi slike begrensninger ved hjelp av rettigheter knyttet til roller og funksjoner.
SuperOffice CRM kan blokkere deling av sensitive personopplysninger via roller, slik at bare autoriserte brukere kan se informasjonen, mens uautoriserte brukere ikke kan. Sekretæren din kan for eksempel ha tilgang til en persons adresse og telefonnummer, men ikke vedkommendes bankkontonummer.
Personvern som standard innebærer også at personopplysninger bare skal oppbevares så lenge det er nødvendig. Når relasjonen til en kunde avsluttes, skal alle tilknyttede personopplysninger slettes.
For å oppfylle dette kravet og «retten til å bli glemt» (GDPR) kan SuperOffice automatisk klassifisere kunder og fjerne personopplysninger som er utløpt. Du kan definere bevaringsregler for hvordan utløpte personopplysninger skal behandles.
6. Hendelseshåndtering (brudd)
GDPR krever at hendelser knyttet til personopplysninger skal rapporteres og håndteres øyeblikkelig. Dermed er det avgjørende at en plan for håndtering av hendelser er kodet inn i databehandlingsprogramvaren.
SuperOffice Service kan sette opp en slik plan og varsle de berørte personene. Faktum er at Service-modulen leverer bruksklare hendelseshåndteringsfunksjoner som en del av brukerplanen Service.
En hendelse kan spenne fra små hendelser, som en feiladressert e-post med personopplysninger, til store hendelser, som utilsiktet eksponering av samtlige personopplysninger.
Å oppdage hendelsen ligger utenfor rammen av hva SuperOffice kan håndtere. Mennesker utenfor organisasjonen rapporterer imidlertid ofte om hendelser. Hendelsesrapporter kan lett gå tapt i en travel innboks til de dukker opp på forsiden av lokalavisen.
Og det er her SuperOffice kan hjelpe deg: Systemet for håndtering av forespørsler i SuperOffice Service kan hjelpe deg med å fange opp og spore disse hendelsesrapportene.
Hendelseshåndteringssystemet sporer hva som blir gjort, og hvem som er berørt, og sørger for at du oppfyller GDPR-forpliktelsene dine. Hvis et brudd omfatter sensitive personopplysninger, må du varsle de berørte personene og myndighetene. SuperOffice Service kan hjelpe deg med å gjøre dette med behørig aktsomhet.
7. Migrere eksisterende data med GDPR-samsvar som resultat
Alle selskaper som legger ut på reisen mot GDPR-samsvar, står overfor det samme dilemmaet: Hva skal vi gjøre med den eksisterende databasen med informasjon om kunder og prospekter?
For å oppfylle GDPR-kravene må virksomhetene finne ut hvordan de kan migrere de eksisterende dataene slik at de etter migreringen lagres og behandles i henhold til den nye forordningen. Og hvis databasen inneholder private data som ikke lenger er tillatt i henhold til GPPR, må disse fjernes.
De som allerede bruker SuperOffice CRM, må oppgradere databasen til den siste versjonen av SuperOffice, som inneholder flere databasefelt og funksjoner som sikrer integriteten, konfidensialiteten og tilgjengeligheten i henhold til GDPR. Den siste versjonen av SuperOffice CRM inneholder verktøy som gjør det mulig å analysere de eksisterende dataene og konvertere dem til de nye GDPR-klare strukturene.
Hver virksomhet er forskjellig med hensyn til omfanget av aktiviteter og med hensyn til kundedatabasen. Virksomhetene har sine egne personvernregler og retningslinjer som påvirker måten de gjør forretninger og samler inn informasjon på. Det er grunnen til at SuperOffice CRM tilbyr fleksible verktøy som til en stor grad kan standardiseres og automatiseres.
SuperOffice tilbyr dessuten rådgivningstjenester og en implementeringsmetode som representerer beste praksis, og vi hjelper også eksisterende kunder med å migrere den eksisterende SuperOffice-databasen slik at den etter migreringen er i samsvar med GDPR.