IABlogi

IABlogi muutoksen tekijöille

Pelätty, kauhisteltu GDPR – muuttuuko CRM-velhon työnkuva totaalisesti? Onko muutos aina pahasta vai olisiko tässä jotain hyvääkin?

23.05.2017 | MTV Media

Melko tarkkaan vuoden kuluttua eli 25.5.2018 astuu voimaan GDPR eli General Data Protection Regulation. Suomeksi EU:n yleinen tietosuoja-asetus. Tämän asetuksen tarkoituksena on mm.:

a) vahvistaa ja yhtenäistää yksilöitä koskevaa tietosuojaa EU:n alueella
b) luoda yksityiskohtaisemmat tietosuojavaatimukset yrityksille ja
c) tuoda kokonaan uusia oikeuksia rekisteröidyille asiakkaille.

Lainsäädäntömuutoksella on äärimmäisen hyvä tarkoitus, miksi sitten niin suuri kohu ja kuohunta asian ympärillä?

Tietosuoja-asetus tulee koskettamaan kaikenkokoisia yrityksiä ja sen vaikutukset tulevat näkymään arkipäivän tekemisen tasolla organisaatioiden eri puolilla, aina Compliance-osastosta markkinointiin ja asiakaspalvelusta IT-toimintoihin. Kyseessä on sen kokoluokan muutos, että tuskin mikään organisaatio pystyy keskittämään tähän liittyvää tekemistä yhdelle henkilölle. Kyseessä tulee olemaan varsinainen yritysten tiimityön näyte, jossa etenkin kaikkien asiakastietojen kanssa työtä tekevien osaaminen ja tarkkuus pistetään puntariin.

Olen poiminut asetuksesta 7 pääkohtaa, jotka ovat itselleni tuntuneet merkityksellisimmiltä ja pohtinut niiden vaikutusta CRM-tekemiseen. Ja ennen kaikkea ottanut lähtökohdaksi sen, että vaikka tietosuoja-asetus tuo kaikille markkinoinnin parissa työskenteleville lisäpohdittavaa ja -työtä lähikuukausien aikana, voidaan varmasti muutaman vuoden kuluttua olla tyytyväisiä siihen, että muutamat prosessit ja parannukset tuli nyt tehtyä. Eli ”pakko on paras kannustin” -sanonta tulee taatusti toimimaan tässä yhteydessä. Tiukka aikaraja varmistaa, että homma ei jää roikkumaan, vaan tulee todella tehtyä.

Yksilöitä koskevan tietosuojan vahvistaminen

1. Suostumus markkinointiin

Mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaus, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla lausumansa tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa.
Ensi toukokuusta lähtien asiakkaiden valinnat vastaanottamansa markkinoinnin suhteen nousevat nykyistä näkyvämpään asemaan. Valmiiksi tikatut hyväksyntäboksit tai ”äänettömyys” eivät enää ole hyväksyttäviä. Ja samalla tavalla kuin asiakas voi antaa luvan markkinoinnille, tulee hänen yhtä helposti pystyä peruuttamaan antamansa suostumus milloin tahansa.

Tietosuoja-asetuksen myötä henkilötiedoksi luokiteltavan datan käsittelyn ja säilyttämisen suhteen on oltava erityisen tarkka ja noudatettava selkeästi määriteltyjä prosesseja. Markkinoijan on jälkikäteen pystyttävä todistamaan, että asiakkaalta on saatu nimenomainen hyväksyntä kyseiselle, henkilötietojen käsittelyä vaatineelle toimenpiteelle. Asiakkaan näkökulmasta näkyvin muutos tulee olemaan se, että häneltä tullaan kysymään hyväksyntä entistä useampaan asiaan. Mutta toisaalta asiakkaalle kerrotaan myös aiempaa selkeämmin mihin kysyttyjä tietoja tullaan käyttämään. Asetuksen henki suosii havainnollistavien infograafien ja muiden selkeiden esitystapojen käyttöä.

Action nro 1: CRM-ammattilainen, varmista jo nyt, että kaikki asiakkailta kysytyt lupa-asiat ovat kunnossa ja että niiden tuottamille tiedoille on selkeä prosessi olemassa. Tämä voi vaatia teknisiä muutoksia ja esimerkiksi omat tiedot -osioiden läpikäyntiä lupakategorioiden suhteen. Iso työmäärä, mutta viimeistään vuoden päästä voidaan olla tyytyväisiä. Kun asiakkailta kysytään selkeät hyväksynnät eri asioille, voidaan olla 100 % varmoja, että CRM-tietokannasta tehdyt asiakaspoiminnat ja kohdennukset tehdään oikeilla perusteilla oikeille ihmisille.

Tietosuojavaatimukset yrityksille

2. Tietosuojavastaava

Viimeistään nyt on se hetki, jolloin organisaatioiden on nimettävä tietosuojavastaava. Vaatimus koskee pääsääntöisesti sellaisia organisaatioita, joiden henkilöstömäärä on 250 tai enemmän, mutta useilla riskialoilla tämä tulee ajankohtaiseksi myös pienemmissä organisaatioissa. Usein tietosuojavastaava on lakimies tai IT-puolen tekijä, mutta voi toki edustaa myös muita ammattikuntia.

Olipa tietosuojavastaava kuka tahansa, tulee hän varmasti tekemään tiukasti yhteistyötä CRM-tiimin kanssa. Tällaiset vastinparit ovat jo arkipäivää esimerkiksi rahoitusalalla, mutta monilla muilla toimialoilla tämä on vasta suunta, jota kohti ollaan ottamassa ensimmäisiä askeleita. Näen, että tiesuosuojavastaavasta ja yrityksen CRM-vastaavasta tulee tiivis työpari, joka ennakoiden ja yhdessä sparraten varmistaa, että esimerkiksi henkilötietojen tietoturvaloukkauksia ei tapahdu. Ja jos sellainen sattuisi kaikista varotoimista huolimatta tapahtumaan, rekisterinpitäjän velvollisuus on ilmoittaa siitä viranomaisille 72 tunnin sisällä, riskiarvion kera.

Kannattaa muistaa, että hyvin hoidettuna tietosuoja on tulevaisuudessa yksi suurimmista kilpailueduista. Siihen satsaaminen kannattaa siis.

3. Tietojen minimointi

Tietojen tarpeellisuusvaatimus on yksi olennainen kohta tätä asetusta. Tietoja tulisi jatkossa kerätä vain todella tarvituista asioista eli sellaisista asioista, jotka ovat relevantteja niitä tarkoituksia varten, joiden vuoksi tiedot kerätään.

Siitä ei ole kauan, kun esimerkiksi kanta-asiakasohjelmat hyvin hanakasti keräsivät kaikenlaista ylimääräistä taustatietoa asiakkaistaan. Todellisuudessa hyvin monessa yrityksessä nämä kerätyt tiedot jäivät kuitenkin käyttämättä. Jatkossa kaiken kerätyn tiedon tarpeellisuus tulee voida perustella. Voitko sinä löytää perustelut kaikille omista asiakkaistasi kerätyille tiedoille? Asiakkaan näkökulmasta tämä on erittäin merkittävä ja positiivinen askel kohti läpinäkyvyyttä kerätyn tiedon suhteen ja lisää todennäköisesti asiakkaan luottamusta hänen käyttämiään yrityksiä kohtaan.

Action nro 2: Aloita turhien tietojen kartoitus, tee suunnitelma niiden poistamisesta ja toteuta se!

4. Kansainvälinen markkinointi ja markkinointi kansainvälisillä työkaluilla

Vaikka moni yritys toimisikin puhtaasti kotimarkkinoilla, ei tätä kohtaa voi jättää huomioimatta nykypäivän globaalia teknologiaa hyödyntävässä maailmassa. CRM-toiminnoissa käytetään yleisesti erilaisia markkinoinnin automaation työkaluja, jotka ovat kansainvälisiä ja joissa tiedot säilytetään pilvipalveluissa.
Tietosuoja-asetus koskee myös niitä kansainvälisiä yrityksiä, joiden toimialaan kuuluu eurooppalaisten henkilötietojen käsittely. Käytännössä rekisterinpitäjä määrittelee sen mitä tietoja kerätään ja miksi, ja pilvipalvelun tarjoaja on tietojen käsittelijän roolissa.

EU:n sisämarkkinoilla toimiville yrityksille tietosuoja-asetuksen velvoitteiden noudattaminen tuo jo sellaisenaan melkoista kilpailuetua. Kun yritykset kilpailuttavat eri alojen toimijoita, tulevat jatkossa merkittävän edun saamaan sellaiset yritykset, joilla nämä velvoitteet on jo valmiiksi huomioitu ja sisäänrakennettu osaksi normaaleja prosesseja. Asiakaskokemuksen hallinta on yhä tiukemmin kiinni datassa eli asiakastiedon hyödyntämisessä. Sen vuoksi jo lähitulevaisuudessa entistä vahvempia ovat ne, jotka pääsevät hyödyntämään dataa esimerkiksi käyttäjäkokemuksen (UX) optimoinnissa.

Action nro 3: Tiedätkö sinä, millä ”pilvenkulmalla” sinun datasi säilötään? Nyt olisi enemmän kuin otollinen hetki selvittää asia. Jos vastaus on jokin EU-maa, olet kohtuullisen selkeässä asemassa.

Yksilöitä koskevan tietosuojan vahvistaminen ja täysin uusia oikeuksia rekisteröidyille

5. Oikeus saada pääsy tietoihin ja oikeus siirtää tiedot järjestelmästä toiseen

Jatkossa kerättyjen henkilötietojen suhteen tullaan olemaan huomattavasti tarkempia kuin ennen. Rekisterinpitäjällä on velvollisuus antaa asiakkaalle hänestä kerätyt henkilötiedot sekä kertoa tarkemmin tietojen keräys- ja käsittelytavoista. Asiakkaalla on myös oikeus vaatia, että virheelliset tiedot korjataan.
Asiakkaalle annettavien tietojen keräys- ja luovutusprosessi tulee olemaan helpompi asia organisoida kuin asiakkaan oikeus siirtää tiedot järjestelmästä toiseen. Tämä on käytännössä täysin uusi asia EU:n sisällä ja tarkoittaa kirjaimellisesti sitä, että asiakkaalla on oikeus pyytää yrityksen ”A” hänestä keräämät tiedot ja pyytää siirtämään ne yrityksen ”B” haltuun. Muutama käytännön esimerkki havainnollistaa tilannetta konkreettisella tasolla: Viaplayn asiakas voi pyytää oman profiilinsa tiedot siirrettäväksi C More -striimauspalveluun, jolloin asiakas voi jatkaa asiakkuuttaan vaivattomasti kilpailevassa palvelussa. Tai asiakas ostaa uuden aktiivisuusrannekkeen vanhan tilalle. Totta kai kaikki vanha kerätty liikuntatieto on mielenkiintoista myös jatkossa, joten sama juttu, pyydetään tietojen siirtoa vaikkapa Polarilta FitBitille.

Tämä tietojen siirto saumattomasti yritykseltä toiselle kuulostaa lähes utopistiselta. Täysin automatisoiduksi sitä tuskin asetuksen ensi kuukausina saadaan ja on vaikea uskoa, että kilpailevat yritykset innoissaan rakentaisivat tätä tukevia integraatiomalleja. Mutta, jonkinlainen malli tälle on rakennettava. Ja ihan varmasti tiedostavat asiakkaat tulevat tätä asetuksen kohtaa myös käytännössä testaamaan.

6. Oikeus tulla unohdetuksi

Tämä on yksi ehkä eniten esille nostetuista asetuksen kohdista. Käytännössä se tarkoittaa, että asiakkaalla on oikeus pyytää nähtäväksi kaikki hänestä kerätty tieto ja sen jälkeen pyytää, että kaikki se tuhotaan. Karrikoidusti toki. Eli eivät asiakkaat kaikkia heistä kerättyjä tietoja voi pyytää poistettavan. CRM-tiimien ja IT-osastoiden lähiaikojen haasteeksi muodostuukin se, millainen prosessi tähän rakennetaan ja miten varmistetaan, että asetuksen vaatimus toteutuu. Mistä kaikista järjestelmistä sama asiakas voi löytyä? Pitääkö asiakasdata tosiaan poistaa kokonaisuudessaan vai saisiko sittenkin jättää jonkun back-up –tiedoston.

Action nro 4: Jotta asiakas todellakin voidaan poistaa kaikista rekistereistä, tulee ensin tietää, mistä kaikista rekistereistä asiakas voi löytyä? Usein muistetaan ne isoimmat ja olennaisimmat päärekisterit ja talon omat CRM-järjestelmät, mutta miten kaikki ns. piilorekisterit. Vink, vink: Nyt kannattaa tehdä tarkat listat kaikista mahdollisista paikoista, joissa henkilötiedoiksi luokiteltavaa dataa säilytetään.

7. Profilointi

CRM-maailmassa markkinoinnin automaatio on päivän sana ja arkitodellisuutta mitä suuremmassa määrin. Automaation tavoitteena on mahdollisimman ajantasainen, henkilökohtainen viesti asiakkaalle juuri oikeaan hetkeen ajoitettuna. Usein vahvana pyrkimyksenä on, että asiakasdataan ei tarvitsisi manuaalisesti koskea ”kesken matkan”, vaan koneoptimointi hoitaisi kaikki stepit. Profilointi itsessään liitetään usein yhteen juuri tämän asiakastiedon ja -ymmärryksen kanssa. Ja toki se näin on. Tieto, joka on pureskeltu tarpeeksi syvällisesti, auttaa yrityksiä tekemään johtopäätöksiä ja luomaan niiden pohjalta toimintamalleja, jotka useissa tapauksissa voidaan automatisoida – ainakin tietyiltä, usein toistuvilta osilta.

Asetuksen myötä suurennuslasin alle joutuvat etenkin automatisoidut päätösprosessit. Jos tehdään puhtaasti tekniikan tuottamaa profilointia, jossa ihminen ei ole välissä tekemässä päätöksiä, katsotaan tämä automaattiseksi profiloinniksi, josta asiakasta on etukäteen tiedotettava ja johon asiakkaalta on saatava lupa. Tietosuoja-asetuksen myötä erilaisiin omat tiedot -osioihin / omien tietojen hallintavalikoihin onkin lisättävä uutena kohta ”sallin automaattisen profiloinnin”.

Action nro 5: Aloita omien asiakaspolkujen läpikäynti tarkalla silmällä. Mieti, onko siellä sellaisia vaiheita, joissa asiakasta analysoidaan puhtaasti teknisin keinoin ja tehdään sen perusteella jatkotoimenpiteitä? Jos vastaus on kyllä, varmistathan, että viimeistään ensi toukokuussa asiakkaalta on otettu aktiivinen hyväksyntä tälle profiloinnille.

Summa Summarum

Koska aikaa on vain rajallinen määrä, ei auta kuin hihojen kääriminen ja toimeen tarttuminen. Taustalla painetta tuo varmasti kaikille tieto raskaista sanktioista, jos asetusta ei noudata. Ensi sijassa saa eteensä varoituksen ja käskyn korjata puutteelliset asiat. Viime kädessä uhkana ovat isot sakot, jotka voivat olla jopa 4 % vuotuisesta liikevaihdosta.

Ja jos työmäärä hirvittää, niin kaksi asiaa auttaa: step-by-step -ote ja ajatus siitä, että me kaikki muutkin olemme samassa tilanteessa. Suomalaisella sisulla ja suomalaisten yritysten kilpailukyvyn parantamiseksi!

Kirjoittaja on MTV Oy:n asiakkuusmarkkinointipäällikkö, joka työskentelee C Moren ja MTV Katsomon parissa. Tietosuoja-asioita hän seuraa puhtaasti ammatillisesta mielenkiinnosta. Tämä kirjoitus perustuu kirjoittajan tämänhetkiseen näkemykseen asetuksen tulkinnasta. Sitä ei ole tarkoitettu sitovaksi oikeudelliseksi ohjeeksi lukijoille.

Haluatko tietää lisää aiheesta? Tule mukaan IAB:n tietosuojaseminaariin 8.6. Ohjelman ja ilmoittautumisohjeet löydät täällä!

IABlogin Facebook kommentit

IAB Finland|A member of Interactive Advertising Bureau Europe

Rekisteriseloste (PDF)

 

Premiumjäsenet:

              

Yhteistyössä: