Hvad betyder GDPR for detailbranchen?

De fire vigtigste trin og personoplysninger, du skal have styr på.

Det betyder GDPR for detailbranchen

GDPR venter lige om hjørnet, og hvis man vil være klar til maj 2018, skal man forberede sig ordentligt. Men hvilke trin er de vigtigste for detailhandlere? Og hvilken type personoplysninger bør branchen være særligt opmærksom på? Det svarer EG's retailekspert Leif Elison på i denne artikel.

Detailhandlen er blandt de brancher, hvor EU's nye persondataforordning – GDPR – kommer til at kunne mærkes mest tydeligt. Med et utal af forbrugere, ansatte og et stadig voksende antal salgskanaler er det let at blive grebet af GDPR-panik!

Men den nye lovgivning betyder ikke et endegyldigt farvel til personlig kundekommunikation og fleksibel shopping. Retailekspert Leif Elison fra EG mener, at man i stedet skal byde den nye forordning velkommen med åbne arme og forberede sig i god tid.

- GDPR bliver indført for at gøre det nemmere at arbejde på tværs af landene i EU. Den nye persondataforordning skal gøre det sikkert. Jeg plejer at sammenligne GDPR med skibsfart: De nye regler sørger for, at der findes redningsbåde og regler for sikkerheden ombord, siger retaileksperten.

1. Begynd med at skabe et overblik og udvikle en GDPR-strategi
Hvilke personoplysninger lagrer du i dag, og hvilke skal beskyttes bedre, når de nye regler træder i kraft? Tænk på, at brugen af persondata skal begrænses, både hvad angår omfanget, og hvor lang tid oplysningerne må gemmes.

- Som virksomhed skal du vurdere dine risici, omkostninger og graden af alvor. At dokumentere denne stillingtagen kommer til at blive særdeles vigtig for virksomheder, for på den måde viser man, at man har haft til hensigt at overholde reglerne og faktisk tænkt over tingene, siger Leif Elison.

2. Bed om samtykke til at behandle personoplysninger
Interaktionen kommer i centrum. For at behandle personoplysninger skal du have kundernes samtykke. Med GDPR har man også ret til at anmode om at få udleveret de oplysninger, der er blevet behandlet. En anden vigtig regel er retten til at blive glemt, hvis man ønsker det.

- Vi ved, at personer har ret til at blive glemt eller at få udleveret alle oplysninger om sig selv. Det svære er at løse denne opgave på en sikker måde. Sandsynligvis kommer man til at skulle bruge sit NemID eller en anden form for totrinsbekræftelse for at dokumentere sin identitet, siger EG-eksperten.

3. Lav en plan for, hvordan du opdager og rapporterer om hændelser
Når GDPR træder i kraft, gælder det om at have styr på uønskede hændelser. Det kunne være en datalæk såsom et Excel-ark med følsomme oplysninger, der havner i forkerte hænder. I et sådant tilfælde gælder det om at have en handlingsplan.

- Du skal sørge for at have dine rutiner og retningslinjer på plads. Hvis personoplysninger lækkes, kan det få store konsekvenser for den enkelte detailhandler, eftersom man ofte lagrer ret store mængder af data, påpeger Leif Elison.

4. Glem ikke de ansattes personoplysninger
Detailbranchen kommer let til udelukkende at fokusere på kunderne, men Leif Elison understreger, at man også skal huske de ansattes personoplysninger. Det gælder om at kunne begrunde, hvorfor man gemmer bestemte oplysninger i sine systemer.

- Vi har tendens til at have fokus på forbrugerne i forberedelserne til GDPR, men store detailkæder har ofte rigtig mange ansatte. Dem må vi ikke glemme, afslutter retaileksperten.

Her er de vigtigste typer af personoplysninger:

CPR-nummer – Mange detailhandlere anvender i dag forbrugerens CPR-nummer som kundenummer, men det kan man komme til at lave om i fremtiden. Det kan blive en meget omkostningstung proces.

Positionsdata – At anvende kundernes positionsdata til at kunne målrette lokale tilbud er noget, de fleste detailhandlere prioriterer højt. Men det vil fremover kræve kundernes udtrykkelige samtykke.

IP-adresser og cookies – Dette er aktuelt for alle detailhandlere, som også har onlinebutikker, hvilket er tilfældet for de fleste nu om stunder.

Biometriske data – Data, som vedrører fysiske, fysiologiske eller adfærdsmæssige kendetegn, og som behandles digitalt, er følsomme oplysninger. Det kan fx handle om DNA, fingeraftryk eller ansigtsgenkendelse.

 

Hold dig opdateret ...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.

 

Annonce

EU-GDPR

Hvorfor:
EU's persondataforordning (GDPR) har til formål at sikre borgere, slutkunder og brugeres data blandt andet for at forebygge cyberkriminalitet – men også for at regulere virksomheders kommercielle udnyttelse af persondata.

Hvordan:
EU-GDPR indeholder regler om, hvornår og hvordan personoplysninger kan og må behandles, hvilke pligter man har som dataansvarlig og databehandlere, og hvordan man skal dokumentere sin brug af persondata. Fx:

  • Krav om løbende risikovurdering og compliance
  • Mulighed for myndighedsinspektion
  • Krav om rapportering inden for 72 timer efter et datalæk
  • Mulighed for at udstede bøder på op til 20 millioner euro eller fire procent af den dataansvarlige virksomheds globale omsætning.

Målet er at styrke tilliden til udbydere af services og produkter, som i større eller mindre grad bygger på indsamling af personlige data, som i mange tilfælde vil have en digital komponent.

Reglerne handler altså ikke om industrispionage eller tyveri af produktinformationer eller intellektuelle rettigheder.

Hvornår:

  • EU-GDPR blev aftalt i december 2015
  • Trådte formelt i kraft i maj 2016
  • Det nye regelsæt får virkning fra maj 2018
Annonce