Anders Frimodig

Många företag oroar sig för att drabbas av höga böter om man bryter mot GDPR. Och det visar sig att det finns anledning för oro, många företag saknar de rutiner som behövs. Man oroar sig även för den dåliga publicitet som skulle kunna uppstå om man inte lever upp till kraven enligt GDPR. Integritetsskyddsmyndigheten har påbörjat ett antal granskningar vilket gör många nervösa. Hittills har Integritetsskyddsmyndigheten bara utdömt en sanktionsavgift med koppling till GDPR. Det rörde en gymnasieskola som på prov använt ansiktsigenkänning för att registrera elevnärvaro. Integritetsskyddsmyndigheten bedömde att flera bestämmelser i GDPR överträtts och sanktionsavgiften sattes till låga 200 000 kronor. Detta därför att ärendet rörde en skola och en tidsbegränsad personuppgiftsbehandling. Den maximala sanktionsavgiften hade varit 10 miljoner kronor. Vad kan man dra för slutsatser av det här? Ja, om inte annat att sanktionsavgifter kommer att drabba fler organisationer, att de inte bara rör stora företag och att konsekvenserna kan bli mycket kännbara. Det inkommer löpande ett stort antal ärenden och Integritetsskyddsmyndigheten har utökat sin personal. Dessutom har förslag att tillföra ytterligare anslag lagts fram. Incidenterna ökar Nyhetssajten Computer Sweden skriver att GDPR åter hamnat högt på företagens agendor då Integritetsskyddsmyndigheten nu påbörjat ett antal granskningar. Företagens oro handlar inte bara om risken för sanktionsavgifter utan även om dålig publicitet. Sådant finns det gott om exempel på. Inte minst från mediarapportering om personuppgiftsincidenter som intrång och läckor, som tycks komma allt oftare. Personuppgiftsincidenter ska i vissa fall rapporteras till Integritetsskyddsmyndigheten, och i vissa fall även till berörda individer till vilka personuppgifterna hör. I en rapport skriver Integritetsskyddsmyndigheten att antalet anmälningspliktiga incidenter ökat, vilket sannolikt beror på en högre medvetenhet om integritetsfrågor och en bättre förmåga att leva upp till kraven i GDPR. Många saknar rutiner Trots detta görs bedömningen att det finns ett stort mörkertal i form av incidenter som inte anmäls, trots att en sådan skyldighet finns.I mars i år uppgav endast 40 procent av de företag som saknar dataskyddsombud att de har rutiner för att upptäcka, dokumentera, anmäla och hantera personuppgiftsincidenter. Det pekar på att de flesta av alla företag saknar viktiga rutiner som rör GDPR och riskerar drabbas av sanktionsavgifter. Obehöriga kommer över personuppgifter Över hälften av de personuppgiftsincidenter som rapporteras till Integritetsskyddsmyndigheten beror på att obehöriga personer på något sätt kommit över personuppgifter som de inte ska ha tillgång till. Den mänskliga faktorn står bakom den största andelen av dessa. I sina rekommendationer skriver Integritetsskyddsmyndigheten att en central del i arbetet med dataskydd handlar om att säkerställa att personuppgifter inte hamnar i orätta händer. När Integritetsskyddsmyndigheten bedömer en personuppgiftsincident tittar de på hur allvarlig incidenten är, hur den har hanterats och om anmälan är fullständig eller ej. Hur ska man göra som företagare då? Jo, allra helst vill man ju slippa personuppgiftsincidenter helt och hållet. Genom att vidta åtgärder för att uppfylla kraven i GDPR minskar i alla fall risken att de inträffar. Skulle något trots det inträffa, ja då minskar åtminstone risken för sanktionsavgifter om rätt rutiner finns på plats.

Ordet "kundinsikt" används mer eller mindre flitigt inom sälj- och marknadsavdelningar. Och det låter som någonting viktigt, för visst vill vi förstå våra kunder? Men vad menar man egentligen? Vi kan börja med att titta på vad som händer för företag som saknar god kundinsikt. De kan drabbas av låg respons på kampanjer, nära nog sakna inkommande förfrågningar från potentiella kunder, uppleva låg grad av interaktion i sociala kanaler och ha svårt att få till både möten och avslut. Med bristande insikter är det snudd på omöjligt att få till relevant kommunikation. Tänk om man kunde vända det här till motsatsen? Relevant kommunikation, hög respons och interaktion, inkommande förfrågningar, fler möten och avslut. Här är några steg på vägen för att ta sig dit. Jobba med fakta, inte antaganden och gamla föreställningar Grunden för goda insikter är bra information, och en utmärkt startpunkt är det egna kundregistret. Rensa sådant som är gammalt och irrelevant (om det inte redan är gjort med hänsyn till GDPR). Se också till att resten av informationen är uppdaterad, komplettera med sådant som saknas och överväg att berika listan med ytterligare information som kan vara relevant vid en analys. Ta hjälp av externa datakällor om så behövs. Fundera också på om det är möjligt att använda information från fler kanaler, exempelvis webbsidan eller sociala medier. Med bra information kan du göra bra analyser När du har ordning på ditt kundregister kan du göra bra analyser som leder till viktiga insikter. Utgångspunkten kan vara en profilanalys som berättar vad som utmärker dina kunder och hur de skiljer sig från genomsnittet. Lika intressant är det att ta reda på vad som urskiljer de som är mest lönsamma, de som svarar på dina kampanjer och de som väljer att avsluta sin kundrelation till er. Genom analys är det också möjligt att dela in kundregistret i segment, eller grupper, med liknande egenskaper. Fördjupa kunskapen om dina kundsegment När du tagit fram ett antal väl definierade segment med kunder, eller före detta kunder, är det dags att fördjupa kunskapen om dem. Framförallt handlar det som att förstå vilka behov som finns i de olika segmenten, hur väl ditt företag uppfyller dem och vilka upplevelser de har av ditt företag. Börja med att skaffa dig bakgrundskunskap genom "desk research" - läs det som finns tillgängligt om företagen i de olika segmenten. Sedan är det dags att fråga kunderna själva, exempelvis genom enkätundersökningar och intervjuer. Ta hjälp när du känner dig osäker Behovsanalys är inget enkelt arbete - det gäller att ställa rätt frågor till rätt personer och på rätt sätt. Det finns många bra metoder som stöd, men de kan också vara svåra att använda utan tidigare erfarenheter. Därför kan det vara bra att ta hjälp. Här är det viktigt att hitta en bra partner som i första han förstår dina behov. Samtidigt som många överskattar sina kundinsikter är det få som helt saknar dem, och en bra partner ska inte bara bekräfta sådant du redan vet utan bidra till ny kunskap. Gör inte allt på en gång Djupgående kundinsikter kommer inte gratis och vägen dit kan vara mer eller mindre omfattande. Men låt inte det vara ett hinder för att starta processen. Redan efter att du fått ordning på ditt kundregister är det möjligt att göra enklare analyser. Med insikt blir vissa åtgärder självklara - det finns ofta gott om lågt hängande frukter att skörda. Andra saker kräver mer arbete. Upplevelsen av ditt företag bestäms av alla som har kontakt utåt och därför kan vissa åtgärder beröra flera avdelningar - allt från marknad och sälj till leverans, kundtjänst och fakturering. Hela verksamheten bidrar För att kundinsikt ska bidra till ditt företags framgång måste den spridas till och genomsyra hela verksamheten. Det är en liten resa i sig. Börja därför med att ta några steg på vägen och välj ut ett område eller två att jobba med. När ni börjar se resultat blir det lättare att jobba vidare med fler områden. Det finns knappast någonting lika kraftfullt för att skapa ett lönsamt företag med goda kundrelationer som att ständigt jobba med och sprida insikter om sina kunder. Visste du att UC har utmärkt information som du kan använda för att tvätta, komplettera och berika ditt kundregister. Vi hjälper också våra kunder att analysera sina kundrelationer och skapa insikt som leder till mer lönsamma affärer. Hör av dig så berättar vi mer!

Vad kan vi förutspå om framtiden för marknadsinformation? Det beror alldeles på vad man lägger i begreppet, så vi får börja med att utforska det. Jag tänker att man kan dela upp ordet marknadsinformation och förstå "marknad" som utbud och efterfrågan och "information" som förädlat data. Sammantaget handlar det då om information kring företag, produkter och tjänster, kunder och kundämnen som verkar på en marknad eller flera. Det är en vidare tolkning än den traditionella som i många fall rör kundregistervård och listor med mer eller mindre heta leads. Jag tycker att det här säger något om framtiden för marknadsinformation, att begreppet måste breddas för att fortsätta vara relevant. Ju bättre vi kan förstå vår marknad, som omfattar såväl kunder som konkurrenter, partner, produkter och tjänster, desto större blir våra möjligheter att påverka den i en bestämd riktning och skapa nya affärsmöjligheter. Det handlar förvisso till viss del om leads, med även om att skapa bättre kundrelationer, smidigare produkter och strategiska samarbeten för att nämna något. Olika informationskällor I det här större perspektivet kan vi behöva titta på vilka informationskällor som är underutnyttjade. Exempelvis nyhetsmedia som de allra flesta tar del av i någon utsträckning. Idag finns teknik för att systematisera och dra slutsatser från media, och presentera detta på ett strukturerat sätt som underlag för ökad förståelse och välgrundade beslut. Det kan inte ha undgått någon att utvecklingen inom AI, eller Machine Learning, går snabbt framåt. Det i kombination med verktyg för språkförståelse håller på att förändra spelplanen för vilken information vi kan tillgängliggöra. Machine Learning Jag spinner vidare på temat Machine Learning och konstaterar att det i allt högre utsträckning används i marknadsföringssammanhang, bland annat till kanaloptimering och till att automatiskt skapa innehåll, men även för chatbottar och annat. Som konsumenter möts vi alltså i allt högre utsträckning av maskiner som är ämnade att påverka våra beslut. Jag tror inte att det ligger alltför långt bort innan robotar också genomför många köp på uppdrag av sina användare. Du ber helt enkelt din robot att köpa de billigaste solglasögonen av en viss modell, helst med bra leveransvillkor och förstås inom ett givet prisintervall. Lägg till detta att en övervägande andel av klicken på annonser redan kommer från robotar, så kan vi skönja en framtid där både utbud och konsumtion i allt större utsträckning sker med automatik. Konsekvenserna av detta kan vara svåra att överblicka och som jämförelse kan man undersöka hur robothandel på börsen fungerar. En hel del pekar på att det är de stora plattformarna i Facebooks och Googles ekosystem som blir först med att bära ut den här typen av automatisering på marknaden. De sitter på ofattbara mängder information och känner dig bättre än någon levande varelse. Jag kan inte tänka mig någon annan typ av aktör som kan matcha utbud och efterfrågan på ett bättre sätt. Lite filosofiskt kan man fråga sig vilken roll människor kommer att ha i det här på lång sikt? På lite kortare sikt måste man förhålla sig till möjligheterna med Ad Tech och organisera sig för att dra maximal nytta av teknik och människor med olika kompetenser i kombination med varandra. Regleringar & integritet En annan aspekt av framtiden är ytterligare regleringar för att undvika missbruk av all information som finns att tillgå. Det saknas fortfarande viktiga prejudikat relaterade till GDPR och e-privacydirektivet står runt hörnet. Men det här är långa processer och man kan lugnt räkna med att teknikutvecklingen går snabbare och hittar nya vägar. Samtidigt som regleringar ger individer fler verktyg att värna sin integritet drabbas vi i allt högre utsträckning av "consent fatigue" – en ovilja att ständigt ta ställning till cookies, samtycken och inställningar för annonsering när vi surfar på nätet. Snabbaste sättet att klicka bort dessa irriterande rutor vinner ofta. En konsekvens blir att vi får många samtycken till att samla in och behandla information samtidigt som vi kommer att veta allt mindre om de som är noggranna med integritetsinställningar. Vi kan helt enkelt få en ännu brokigare bild av vilka vi har att göra med. Jag undrar om man inte tänkt lite fel kring integritet och komplicerat saken väl mycket. Informationsflödena är komplicerade och man begär inte lite av individer när man ständigt kräver att de ska ta ställning till integritetsfrågor och förstå konsekvenserna av sina val i ett vidare perspektiv. När det kommer till kritan – ser du helst reklam för cykeln du redan köpt, eller reklam för tillbehör till den? Här tror jag att det finns ett gyllene läge för trovärdiga aktörer att skapa enkla tjänster för konsumenter som vill hantera sin online- och offlineinformation, något som kräver storskaliga samarbeten och att teknikföretagen lyckas återställa någon slags tillit kring etisk användning av information. Framtiden Ska man välja ut bara några saker framför allt annat som kommer att prägla marknaden för marknadsinformation framöver skulle jag nämna mer information, högre krav på informationskvalitet och en mängd nya kreativa tjänster som i stor utsträckning bärs ut av stora plattformsleverantörer. Hur tänker du kring framtiden för marknadsinformation? Vill du fortsätta diskussionen eller höra mer av mina tankar så hör gärna av dig. / Anders Är du nyfiken på vad vi på UC kan göra vad det gäller marknadsinformation, läs mer här!

För en kort tid sedan försökte jag mig på konststycket att sammanfatta dataskyddsförordningen GDPR och förmedla huvuddragen på ett någorlunda lättillgängligt sätt. Själva förordningen ser skräckinjagande ut för den oinvigde. Mer lättsmält information finns det förstås gott om, men jag siktade på något mittemellan. Jag tror att just här finns kunskapsluckor att fylla.Jag är inte jurist, och för att vara säker på att min sammanfattning varken förvanskar förordningen eller vilseleder läsaren skickade jag den till en jurist för granskning. När texten kom åter var den full av kommentarer och ändringar i röd text, som en slarvigt skriven uppsats i skolan efter lärarens rättningar.Återkopplingen var både relevant och bra men texten var inte lika lättillgänglig längre. Den var mer exakt men samtidigt mindre tydlig för den målgrupp jag såg framför mig. Kan man skriva om GDPR, läsa och förstå utan att vara jurist? Och i förlängningen, måste man vara jurist för att kunna ta ansvar för att följa GDPR? Hur gör man GDPR enkelt? Visst kan de flesta ta till sig huvuddragen i dataskyddsförordningen. Och det är viktigt, för vi är många som genom vårt dagliga arbete bidrar till att följa den. Men några måste också ta ett större ansvar och förstå kraven tillräckligt väl för att omsätta dem i rutiner och processer. Här spretar det väldigt inom olika verksamheter. Stora företag gör klokt i att konsultera expertis, liksom mindre bolag med omfattande personuppgiftsbehandling. Hur är det med övriga företag då, de små och mellanstora med lite enklare personuppgiftsbehandlingar? Ja, hur definierar man överhuvudtaget "enklare behandling" frågar min jurist? En bra sammanfattning och guide måste ge verktygen för att avgöra just detta, och för att förstå när speciell hänsyn måste tas.I ärlighetens namn finns det ingen idag som vet precis vad som är gott nog för att uppfylla kraven i GDPR. Förordningen ger gott om tolkningsutrymme och det saknas fortfarande prejudikat. Dessutom skiljer det sig mycket mellan olika verksamheter.Mitt mål med att sammanfatta GDPR var att uppmuntra till faktiska åtgärder som leder till förändring. Därför skulle den i första hand vara tillgänglig, men samtidigt korrekt. En läsare som tappar budskapet på vägen kan heller inte agera. Det är svårt att få en god överblick genom att läsa förordningen i sin helhet.Som personuppgiftsansvarig, i slutändan de flesta företagsledare, måste man ge sig in på en mognadsresa som börjar med förståelse för GDPR i stora drag. Tillräcklig förståelse för att formulera rätt frågor och söka svar. I slutet av resan måste det vara tydligt om och vilka specialregler och undantag som gäller för den egna verksamheten. Då har man också tolkat kraven och omsatt dem i rutiner och processer. Man kan inte leva upp till GDPR genom en punktinsats, det är en förmåga man tränar upp i sin organisation. Var ska man börja? En bra start är Integritetsskyddsmyndigheten material om enkla grunder i dataskydd. Man kan också läsa hela förordningen på deras webbsida. Om man skulle försöka sig på en prioritering skulle jag tipsa om att börja med delar av artikel 4 för viktiga definitioner, artikel 5 och 6 om principer och laglig behandling, artikel 9 om särskilda typer av personuppgifter, artikel 13 och 14 om information till registrerade, avsnitt 3 om rättelse och radering och artikel 28 om personuppgiftsbiträden. Med en grundläggande förståelse går det bra att ögna hela förordningstexten och hitta vilka områden som kan vara relevanta för den egna verksamheten. Idag kan man svårligen vara säker på att man följer GDPR till punkt och pricka. Men man kan vara lika säker på att man inte lever upp till kraven i GDPR utan en grundläggande förståelse för innehållet. Och det är en milsvid skillnad mellan att ha läst, tolkat och vidtagit åtgärder och att ha gjort ingenting alls.”

Dataskyddsförordningen GDPR trädde i kraft den 25:e maj i år. Inför detta datum jobbade många företag hårt för att förstå de nya kraven och tolka vilka åtgärder som var nödvändiga att vidta. Andra företag avgjorde att GDPR i grunden inte skiljer sig så mycket från Personuppgiftslagen och valde i stort att avvakta. När det gäller privatpersoner, vars personuppgifter lagen tillkom för att skydda, var kännedomen om den nya lagen låg. Vad är det då som har förändrats efter att förordningen trädde i kraft? I företagsvärlden är GDPR fortfarande en het potatis, speciellt bland juristerna. De stora informationsgallringarna är klara sedan en tid, men det formligen flyger personuppgiftsbiträdesavtal fram och tillbaka mellan olika organisationer. Många gånger för säkerhets skull. Privatpersoner märker av GDPR genom att cookieinformationen på var och varannan webbsida har blivit mer omfångsrik, och försedd med ytterligare en knapp om man vill krångla med integritetsinställningar. Vissa utländska webbplatser har blivit otillgängliga från Europa. För säkerhets skull. Och så är det alla samtyckeslappar från skolor som måste fyllas i för att barnen ska få vara med på foto. Man kan kallt konstatera att det finns en enorm spännvidd i intresset för och tolkningarna av GDPR. Men varför hör vi inte så mycket mer om detta just nu? Det kan kännas lite som millenniebuggen då företagen jobbade febrilt med sina system för att undvika katastrofen som då stod för dörren. Men millennieskiftet kom och gick utan katastrofer och allt fortsatte som vanligt. Att det inte hänt någonting drastiskt efter den 25:e maj 2018 är varken ett kvitto på att företagen var väl förberedda för GDPR, eller att den nya förordningen är tandlös. Det är snarare en konsekvens av en långsam process där den nya förordningen tolkas och prövas allt eftersom anmälningar kommer in till Integritetsskyddsmyndigheten som är tillsynsmyndigheten i sammanhanget. Och det finns redan en bra bit över tusen fall som kommer att hanteras allt eftersom. Det är också en process där de Europeiska länderna sneglar på varandra för att på sikt kunna mötas i gemensamma synsätt. Intresset för GDPR må ha svalnat i media, och det kan invagga oss i en falsk känsla av trygghet. Risken är att även företagen förlorar intresset. Men det är mer angeläget nu än någonsin att vidta åtgärder om man ännu inte gjort det. Vi vet vad förordningen kräver - att hantera personuppgifter på ett bra och transparent sätt, se till att de är uppdaterade, informera de registrerade, inte spara någonting i onödan och se att till att uppgifterna kan redovisas eller tas bort på begäran. Vi vet bara inte riktigt hur mycket som krävs. Räcker det till exempel med att hänvisa till sin integritetspolicy på webben för att klara informationskravet? Klart är i alla fall att GDPR rör de allra flesta, om inte alla företagare. Och att ett första steg är att kunna visa för kunder, partners och Integritetsskyddsmyndigheten att man tar integritet och dataskyddsförordningen på allvar. Blir det inte rätt från början så finns tid att rätta sig i ledet allt eftersom kraven blir tydligare. Men det finns ingen ursäkt för att inte försöka rätta sig efter GDPR.