Avsikten med EU-regleringen GDPR är att förstärka den enskilda personens  kontroll över sina personuppgifter. På företag och organisationer som hanterar personuppgifter ställs höga krav på hur hanteringen ska gå till. Personer vars uppgifter hanteras har långtgående rättigheter att få veta varför uppgifterna lagras, få dem utlämnade och att uppgifterna vid en given tidpunkt raderas eller anonymiseras. Men hur påverkar GDPR den del av organisationen som arbetar med kundsupport? 

Informations- och datasäkerhet hanteras på många företag av avdelningar som ibland inte har direkt och daglig kontakt med de personer vars uppgifter hanteras, till exempel kunder. Ofta kan beslut om hantering av persondata tas av funktioner som till exempel IT-avdelningen och jurister. 

Effekten kan bli att övriga delar av en företagsorganisation inte har tillräcklig kompetens av vad GDPR medför för rättigheter och skyldigheter mellan en person och företaget. Är kompetensbristen hög inom kundsupportorganisationen ökar risken för att direkt felaktig information lämnas ut till kunder om hur företaget hanterar data men även att företaget inte följer GDPR i sitt dagliga arbete med sina kunder.

Är kundservice en del av GDPR-arbetet?

Kundsupportorganisationen på företag rekommenderas vara en viktig intressent i företagets GDPR-arbete. Involveras inte kundsupport är risken hög att GDPR inte efterlevs eller att persondata som är relevant för kundrelationerna inte sparas. Kundservice bör vara involverad i följande beslut och processer:

  • Vilken kunddata som lagras och hur denna lagring motiveras.
  • Hur informationen till kunderna om lagring av persondata är formulerad samt hur avtalen som ingås med kunderna är skrivna.
  • Hur viktig statistik inte riskerar att påverkas vid radering eller anonymisering.

En av huvudreglerna i GDPR är att endast personuppgifter som kan anses vara direkt relevanta för att uppfylla kundrelationen och myndighetskrav får lagras. Det är alltid upp till personuppgiftsansvarig att kunna motivera vilka uppgifter som sparats och av vilken anledning. Eftersom kundsupport ofta lagrar stora mängder persondata i sitt arbete måste kundsupportorganisationen säkerställa att ej relevant data raderas eller anonymiseras enligt uppsatta rutiner.  

För att kunna ge bra och raka svar till kunder som ställer frågor om sina personuppgifter som finns lagrade behöver kundservice ha god kunskap om vilka uppgifter som lagras. Finns informationen kan den utformas som gör den lättillgänglig för kunderna vilket kan öka kundnöjdheten samt minska arbetet i kundsupport med att hantera frågor som avser GDPR. 

Vilka system och rutiner används för lagring av personuppgifter?

I en kundsupport används ofta flera olika kanaler som till exempel telefon, e-post, chatt, ärendehanteringssystem, med flera, för att kommunicera med kunderna. Samtliga av sådana system lagrar personuppgifter. Det är inte ovanligt att systemen och verktygen som används tillhandahålls av en leverantör till företaget som är personuppgiftsansvarig. Det ska även noteras att samtliga rutiner och processer som innebär att personuppgifter lagras omfattas av GDPR. Således omfattas anteckningar och fysiska dokument av lagstiftningen.

Kundserviceledningen måste förstå hur verktyg och rutiner hanterar personuppgifter i relation till GDPR. Om till exempel en kund begär att få sina personuppgifter raderade och så ska ske, krävs att det finns en fullständig kartläggning över var uppgifterna kan vara lagrade. Saknas rutiner och processflöden för hur persondata lagras kan det bli mycket svårt att uppfylla GDPRs krav på till exempel att samtliga persondata om en kund är raderade.

Används systemleverantörer behövs ett personuppgiftsbiträdesavtal som beskriver hur leverantören (personuppgiftsbiträdet) får hantera företagets (personuppgiftsansvarig) personuppgifter. Detta avtal ska omfatta vilken data som lagras, för vilket syfte, hur den lagras, hur det säkerställs att datan inte kan läcka, med mera. Säkerställ speciellt att uppgifterna lagras inom EU/ESS eftersom det är inom detta område GDPR gäller. 

Är kundsupport redo om personuppgifter skulle läcka?

GDPR ställer långtgående krav på att ett företag agerar snabbt och resolut i händelse av att lagrade personuppgifter skulle läcka. I sådana fall har företaget inte kontroll över sin data och kan som följdeffekt inte uppfylla kraven på att till exempel radera ej relevanta personuppgifter. 

Vid ett dataläckage måste kundsupporten kunna både bistå företagets övriga organisation samt till sina kunder kommunicera korrekt information till sina kunder. Genom att ha byggt upp en god struktur för hur personuppgifter hanteras är företaget förmodligen väl förberett. Kundsupport bör dock regelbundet i sin nödlägesplanering (eller BCP, Business Continuity Planning)  träna scenarier där att personuppgiftsincident har inträffat. Med rollspel och stresstester av system och rutiner tränas inte bara organisationen utan även eventuella brister kan upptäckas och rättas till. Företaget bör ha följande:

  • Policy för data- och informationssäkerhet.
  • Policy för hur data kategoriseras och kvalificeras
  • Policy för hur incidenter som riskerar läckage av data- och information ska hanteras
  • Policy för alla användare hur personuppgifter ska hanteras inom hela företaget.
  • Policy för vilka säkerhetskrav som ställs vid utbyte av data med leverantörer, kunder och partners.
  • Policy för hur en plötslig störning ska hanteras och återställning till ett normalläge ska genomföras.

Säkerställ att företaget följer lagar och regleringar, att hela organisationen är medveten om hur persondata ska hanteras, att det finns tydliga regler för vilket agerande som förväntas av alla (oavsett om arbetet sker hemma eller på kontor), att det finns riktlinjer för hur data klasstficeras utifrån dess känslighet, och hur organisationen ska agera i händelse av en plötslig störning som kan orsaka att data inte längre är pålitlig, att förändring inte är gjord på ett otillbörligt sätt, att den är tillgänglig för de som har rätt att ta del av den.

Att följa GDPR är lätt

Personuppgifter är värdefulla idag. Att skydda dem är enkelt. Att efterleva GDPR är lätt. Vad som krävs är att vara tydlig och inhämta samtycke från de personer vars uppgifter som hanteras, att säkerställa att data är skyddad från utomstående, att den inte förändras av någon som inte har rätt att ändra den och att den endast är tillgänglig för de som har rätt att ha tillgång. Därutöver måste det finnas processer som säkerställer att en eventuell skada minimeras. En viktig faktor för att lyckas är att hela organisationen på ett företag är medveten om att personuppgifter är värdefulla och måste skyddas. Denna insikt hos alla är den bästa metoden för att lägga grunden till att följa GDPR.

För mer läsning

ÄR DU BEREDD PÅ NÄSTA KRIS HOS DIG?

Meny