GDPR för kundcentret

2018-03-23

13 steg för GDPR i kundtjänsten

Den 25 maj måste du kunna motivera all lagring av personuppgifter i ditt contact center. Och på uppmaning radera data. Annars väntar upp till 20 miljoner euro i sanktionsavgift, eller 4 procent av moderbolagets globala omsättning.

– Ett fjortonsidigt användaravtal för en app eller tjänst blir inte längre möjlig. Nu är det öppenhetsprincipen som gäller. Vilka personuppgifter som du ska använda måste framgå klart och lättförståeligt, säger Lotta Petersson, produktchef för kundtjänstsystemet Trio Enterprise på Enghouse Interactive.

Företaget är systemleverantör och inte juridisk rådgivare, men Lotta Petersson har examen både som jurist och ingenjör och är insatt i GDPR tillämpat på kundtjänstsammanhang.

Loopar av slingor

Exakt vad som är en personuppgift är inte helt klart definierat, men det innefattar allt som kan kopplas till en enskild person. Exempelvis namn, telefonnummer, adress, IP-adress och mejladress. I och med GDPR räknas även personuppgifter i ostrukturerad information som personuppgift. Hit hör chattmeddelanden, e-post, Wordfiler och inlägg på Facebook eller andra sociala medier.

– Något som är lagrat i system eller dator är ofta en personuppgift fast man kanske inte tror att det är det. Bilder från personalfesten. Resultat från en idrottstävling. Och för en kundtjänst förstås inspelade samtal, säger Lotta Petersson.

Det gäller även om den som ringer in för att få hjälp med något. Säg att du ringer ett flygbolag: ”Jag har glömt min väska på flygplanet!”

Ska kundtjänsten strikt följa GDPR följer då en loop av slingor ”tryck ett för att…, tryck två för att …, tryck tre för att …”.

Är inte risken att du bara blir frustrerad?

– Jo, absolut. Men enligt vägledningar som har publicerats kan du införa alternativet ”tryck 2 om du vill höra mer”. Den som vill få detaljerna om databehandlingen trycker sig vidare medan övriga snabbare kommer fram. Men visst känner man att det kommer att bli lite krångligare, säger Lotta Petersson.

För vilken typ av företag är lagstiftningen i första hand avsedd för?

– De har nog tänkt på företag som Facebook, Google och Twitter. Sådana verksamheter som hanterar känsliga uppgifter kopplade till privatpersoner. Uppgifter som rör den personliga integriteten och som individer med tidigare lagstiftning har haft svårt att få borttagna.

Så företag som gör affärer med andra företag, det vill säga B2B, omfattas inte i samma utsträckning?

– Det är egentligen ingen skillnad, det är en personuppgift  oberoende av om det är i en privat eller professionell roll. Så principerna i GDPR gäller även för B2B säger Lotta Petersson.

AI en risk

Ett kontaktcenter måste snabbt ta till sig ny teknik och nya kommunikationsmöjligheter. Telefonsamtal, SMS, chatt, sociala medier, mejl och så vidare. Varje sådan kanal behöver ses över ur GDPR-synpunkt, vilket innebär att processen kan bli lite längre. Samtidigt tillkommer nya tekniker. En tydlig trend är att använda artificiell intelligens, AI, för att automatisera allt från enklare former av samtal till chatt och mejlkorrespondens. Men eftersom AI tar beslut som grundar sig på automatiserad behandling är dessa bara tillåtna vid uttryckligt samtycke eller om det finns stöd i annan lagstiftning.

– Dessutom innebär det en risk för att pesonuppgiften behandlas felaktigt om AI fattar självständiga beslut, säger Lotta Petersson.

Radar har studerat GDPR ur ett affärsprocess- och digitaliseringsperspektiv. Dessutom har Radar egna guider för anpassningen. Slutsatsen är att lagstiftningen innebär en stor möjlighet till konkurrensfördelar.

Ökad digitalisering är en långsiktig oundviklighet och en stor potential för disruption, det vill säga snabba och omvälvande förändringar i en marknadsnisch. Men för ett snabbt och brett genomslag är medborgarnas förtroende nödvändigt, vilket dataskyddsförordningen ska garantera. De företag som är duktiga på att tillämpa förordningen får därmed stora fördelar gentemot de som laggar efter. Både för att förtroendet ökar och för att sannolikheten för informationssäkerhetsincidenter minskar, men också för att företaget får en mer effektiv och genomtänkt informationsflödesprocess.

Hur ligger ni själva till?

– Vi har infört en mängd funktioner i Trio Enterprise för att hjälpa våra kunder att hantera GDPR. Vi agerar sällan personuppgiftsbiträde eftersom vi inte hanterar kundernas data. Det kan däremot våra återförsäljare göra, så det bör varje kunds dataskyddsombud fråga sin kundansvarige om, säger Lotta Petersson.

Vad har du för råd till den som är stressad över lagstiftningen?

– Även om ni inte har hunnit klart till den 25 maj är bättre att visa att ”här har vi koll”, men vi har inte nåt hela vägen fram. Att dokumentera hur ni har resonerat, snarare än att försöka mörka.

1. Ett register. Du måste ha någon form av lista eller register över alla typer av personuppgifter och hur de ska behandlas. Det kan till exempel vara i form av en Excellista.

2. Motivera användningen. Du kan inte bara lagra data för ”att det är bra att ha”. Eller som det idag står i många nättjänster eller appar ”för att förbättra användarupplevelsen”. Varje typ av personuppgiftsbehandling måste klart och tydligt motiveras.

3. Särskilt känsliga uppgifter. Vissa uppgifter måste motiveras extra noga och dessutom skyddas särskilt rigoröst cybersäkerhetsmässigt. Det handlar om data som etnisk ursprung, politiska åsikter, religiös övertygelse, fackförening, hälsa, sexuell läggning och genetiska och biometriska uppgifter.

4. Policy för databehandling. Varför och hur du använder personuppgiftsdata ska motiveras. Det är viktigt att kunna visa upp hur ni har tänkt.

5. Samtycke. Det finns fler rättsliga grunder till att lagra personuppgifter. Om samtycke används som måste du kunna bevisa att samtycke finns. En annan rättslig grund är lagar och regelverk för till exempel myndigheter och media. Då gäller andra bestämmelser. Det går inte att säga nej till att Skatteverket lagrar uppgifter. Eller att Aftonbladet tar bort en artikel om en kändis.

6. Begränsad lagring. De uppgifter som sparas ska bara vara de som klart och tydligt kan motiveras. Dessa får inte heller sparas längre än nödvändigt. Om en kund säger upp avtalet kan uppgifterna sparas ett år. Systemet ska automatiskt rensa uppgifter.

7. Rätten att bli glömd. När ändamålet inte längre är aktuellt ska uppgiften tas bort. Samma sak gäller om användaren drar tillbaka sitt samtycke. Däremot går det att spara uppgifter som blir anonymiserade. När namnet tas bort kan datumet sparas så att det går att göra statistiska analyser i kundtjänstsystemet.

8. Dataskyddsombud. Alla verksamheter bör ha utsett en person som är särskilt ansvarig för personuppgiftshanteringen.

9. Anmäla personuppgiftsincident. Om en anställd tappar en mobiltelefon, om en dator har blivit stulen eller om det har skett en cyberattack. Oavsett orsak måste incidenten anmälas inom 72 timmar, vilket är upp till den personuppgiftsansvarige att avgöra.

10. Lämna ut registerutdrag. Varje kund har rätt att begära ut de uppgifter som finns om sig själv. Det ska ske skyndsamt, som längst 30 dagar. Däremot får man inte okynnesanmäla, 2-3 uttag per år kan vara ok gratis, annars får man fakturera eller vägra att lämna ut. Den som får se uppgifterna ska inte bli förvånad över innehållet. Det ska vara klart från början vad som lagras. Lagstiftaren förväntar sig att systemstödet ska vara sådant att det är lätt för kunden att själv gå in och avregistrera sig eller begära ut uppgifter. Här gäller det samtidigt att ha kontroller på plats, du behöver vara säker på att ingen obehörig utger sig för att vara den aktuella kunden.

11. Grundligt cybersäkerhetsarbete. Du behöver ha gjort ett ordentligt informationssäkerhetsarbete för att kunna motivera vem som har tillgång till vilken information och varför. Du behöver också vara uppdaterad på den senaste IT-säkerhetstekniken och kunna motivera de systemstöd du har valt, utifrån vad som är rimligt i förhållande till den typ av information du hanterar.

12. Ansvar för molntjänster och outsourcade tjänster. Om du har mejlen i molnet behöver du ha koll på var data lagras – det ska ske inom EU eller EES. Har du lagt ut ekonomi- eller lönehantering på tredje part behöver du också ha koll. Moln- eller outsourcingföretaget behöver agera som ett personuppgiftsbiträde.

13. Undvik fritextfält. Risken är att det hamnar uppgifter i ett fritextfält som man inte riktigt har koll på eller som kan räknas som särskilt känsliga. Undvik därför om möjligt.

Artikelförfattare
Sverker Brundin
Content Manager/Analyst
sverker.brundin@radareco.se
Mob +46 736 79 91 47

Radar är Nordens ledande leverantör av lokal faktabaserad insikt för alla aktörer i IT-branschens ekosystem. Radars insikt byggs upp genom tusentals strategi-, prioriterings- och nyckeltalsjämförelser som såväl IT-beslutfattare som leverantörer låter Radar genomföra och analysera varje år.