Nyheter

Hvordan EUs GDPR-forordning vil påvirke outsourcingindustrien

gdpr 3

Outsourcing er noe praktisk talt alle bedrifter gjør for å spare penger. I den digitale tidsalderen er så mye av det som flyttes til utlandet informasjon. På denne måten kan bedrifter holde seg konkurransedyktige samtidig som de betaler mindre for tjenester de er avhengige av. Med EUs GDPR som trer i kraft fra 25. mai 2018, er det på tide å se nærmere. Å si at det kommer til å endre ting er en underdrivelse.

Hva er EUs GDPR?

Den europeiske unions (EU) General Data Protection Regulation (GDPR) er en nyutviklet personvernforordning som påvirker hvordan informasjon håndteres. Det har vært vanlig praksis i årevis for bedrifter å sette ut spesifikke tjenester til pålitelige tredjeparter. En betydelig del av outsourcingen skjer i form av informasjonstjenester, noe som resulterer i at store datamengder forlater EU. Fra 25. mai vil bedrifter finne det stadig vanskeligere å gjøre dette på grunn av den nye GDPR. Men hvorfor skjer det?

Hvorfor skjer det?

GDPR er delvis en reaksjon fra lovgivere på de økende kravene fra enkeltpersoner om å vite hva som skjer med dataene deres. Med massive sikkerhetsbrudd ofte rapportert i media, har det aldri vært mer et problem enn akkurat nå. Det antas at GDPR vil få virksomheter til å bestemme hvordan de håndterer kundedata. Det åpenbare spørsmålet som dukker opp er: hva utgjør personopplysninger?

Hva er personopplysninger?

GDPR-direktivet er ganske klart og preskriptivt på hva personopplysninger er. Kort sagt, det utgjør alle data relatert til en person. Dette inkluderer fotografier, e-postadresser, økonomiske detaljer, IP-adresser og medisinsk informasjon. Interessant, gitt de siste hendelsene som involverer Facebook, inkluderer den også innlegg på sosiale medier og stedsdetaljer. Det er absolutt en omfattende liste og en som hver bedrift trenger å gjøre seg kjent med.

Hva med ansattdata?

Noe av det vidtrekkende med det nye direktivet er at det behandler alle som individer. Uansett om dataene er knyttet til noen på arbeidstid eller er private, er de fortsatt knyttet til individet. Det fjerner ethvert grått område over hvorvidt data innhentet gjennom noens jobb er personlige data: det er det alltid.

Hvilke krefter er på plass?

Fra 25. mai må alle bedrifter be om tillatelse hvis de har til hensikt å flytte data utenfor EU. Samtykket kan bare gis av individuelle kunder, som har planer om å gjøre hjørnesteinen i sin tilnærming. På grunn av den kostbare og tidkrevende naturen det er å spørre hver enkelt kunde, er dette upraktisk. Det forventes at utstrakt outsourcing til India, Filippinene og Vietnam vil opphøre over natten. Hvis ikke, kan bøter på inntil 4 % av årlig omsetning pålegges.

Hvordan gis kundens samtykke?

Til nå har bedrifter vært i stand til å handle først og deretter legge til ansvarsfraskrivelser for å dekke samtykke senere. Det har vært nok å legge til opt-outs som sendes med markedsføringsmateriell og anta at kunder vil forlate hvis de vil. Det GDPR gjør er å endre alt dette. Bedrifter må vise at de har fått samtykke for hver handling. Det vil ikke være noen generell dekning og ingen tilbakevirkende tildeling av opt-outs. Kunder vil også ha rett til å trekke tilbake samtykket når som helst. Mye mer data vil bli i EU.

Hvilke nye rettigheter vil kundene ha?

Kunder vil nå ha rett til å få tilgang til dataene sine gratis. Bedrifter vil være forpliktet til å gi en elektronisk kopi og forklare hvordan de har brukt den. Det vil også være rett til å få personopplysninger slettet dersom en kunde ønsker å avslutte forholdet. I tillegg vil disse kundene ha rett til å enkelt flytte dataene sine på tvers av plattformer. Det gir større frihet til å velge en ny leverandør og gir makten tilbake i hendene på den enkelte.

Hvordan kan kunder utøve sine rettigheter?

Dersom en kunde ønsker at behandlingen av deres data skal opphøre, er selskapet forpliktet til å gjøre det umiddelbart. Det samme gjelder når det fremsettes krav om å endre uriktige eller utdaterte data. Kanskje mest presserende i dagens klima; bedrifter har 72 timer på seg til å informere alle parter om datainnbrudd. Den er designet for å sette en stopper for store brudd som hos Yahoo som ikke ble rapportert i årevis.

Effekten på bedrifter

I stedet for å være en IT-teknisk sak, er GDPR et vidtrekkende direktiv hver virksomhet trenger å forstå. Det vil påvirke markedsførings- og salgsaktiviteter for bedrifter av alle størrelser. Bedrifter kan ikke lenger høste e-postadresser og bruke dem slik de vil. Det vil være restriksjoner på å selge informasjon til andre selskaper, og kunden vil ha eierskap til sine data. Selv om du kjøper en markedsføringsliste fra et annet selskap, tar du på deg ansvaret for å sikre overholdelse av GDPR.

Selv noe så enkelt som å legge til kundeinformasjon i en sentral database etter en messe vil endre seg. Direktivets vidtrekkende karakter sikrer at det ikke er smutthull eller gråsoner. Data knyttet til en person er alltid personlig; om det ble samlet på arbeidstid eller ikke. Det kan ikke lenger selges på vår utkontrakterte med antatt samtykke. Dette gjør det til et overbevisende lovverk som ingen bedrifter har råd til å ta lett på.

Utsiktene for outsourcingindustrien

Med en hel rekke nye restriksjoner på plass, er det forventet at outsourcing utenfor EU vil bli upraktisk. Det kan skape en spirende industri i EU. Eller det kan se at bedrifter tar på seg mer av arbeidet internt for å sikre streng overholdelse. Det er klart at det i 2018 vil bli lagt vekt på å gi åpenhet og ansvarlighet med personopplysninger.

Det er satt til å ta en betydelig mengde makt bort fra storbedrifter og legge den tilbake i hendene på forbrukeren. Nedfallet av dette kan godt være en dramatisk krymping i størrelsen på outsourcingbransjen.