Kort svar

CRM-data blir fort en blanding av salg, support og markedsføring. Det gjør kontrollen på formål og lagring ekstra viktig.

Start med å kontrollere om dagens praksis faktisk dekker hvilke kundeopplysninger som samles inn, hvem som bruker dem til hva og hvordan lagringstid, tilgang og eksport styres.

Når dette ofte blir aktuelt

  • når virksomheten må avklare hvilke kundeopplysninger som samles inn
  • når dere er usikre på om dagens praksis dekker hvem som bruker dem til hva
  • når ledelse eller styre trenger kontroll på hvordan lagringstid, tilgang og eksport styres

Det bedriften bør avklare først

SpørsmålHvorfor det betyr noe
Hvilke kundeopplysninger som samles innviser om plikt eller risiko faktisk er utløst
Hvem som bruker dem til hvapeker på hvilke tiltak som haster mest
Hvordan lagringstid, tilgang og eksport styresgjør det lettere å forklare og dokumentere vurderingen

Praktisk framgangsmåte

  1. Beskriv dagens praksis konkret før dere vurderer nye tiltak.
  2. Test om grunnlag, rutiner og dokumentasjon dekker hvilke kundeopplysninger som samles inn.
  3. Lukk de største hullene først rundt hvem som bruker dem til hva.
  4. Sørg for løpende oppfølging og dokumentasjon av hvordan lagringstid, tilgang og eksport styres.

Dokumentasjon som ofte avgjør

Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:

  • beskrivelse av formål, datatyper og valgte grunnlag
  • informasjonstekster, samtykkeløsning eller intern vurdering
  • kartlegging av hvilke personopplysninger virksomheten behandler
  • rutiner, policyer og avtaler som styrer behandlingen

Vanlige feil

  • dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
  • virksomheten beskriver et formål, men jobber i praksis på en annen måte
  • for mye data samles inn fordi ingen eier oppryddingen

Når bør dere hente konkret hjelp?

Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.

Relaterte guider

Offentlige kilder og videre lesning