Outsourcing er noget, som stort set alle virksomheder gør for at spare penge. I den digitale tidsalder er så meget af det, der flyttes til udlandet, information. På denne måde kan virksomheder forblive konkurrencedygtige, mens de betaler mindre for tjenester, de er afhængige af. Med EU's GDPR, der træder i kraft fra den 25. maj 2018, er det tid til at se nærmere. At sige, at det vil ændre tingene, er en underdrivelse.
Hvad er EU GDPR?
Den Europæiske Unions (EU) General Data Protection Regulation (GDPR) er en nyudviklet databeskyttelsesforordning, der påvirker, hvordan oplysninger håndteres. Det har været almindelig praksis i årevis for virksomheder at outsource specifikke tjenester til betroede tredjeparter. En væsentlig del af outsourcingen sker i form af informationstjenester, hvilket resulterer i, at store mængder data forlader EU. Fra den 25. maj vil virksomheder finde det stadig sværere at gøre dette på grund af den nye GDPR. Men hvorfor sker det?
Hvorfor sker det?
GDPR er delvist en reaktion fra lovgivere på de voksende krav fra enkeltpersoner om at vide, hvad der sker med deres data. Med massive sikkerhedsbrud, der ofte rapporteres i medierne, har det aldrig været mere et problem end lige nu. Det menes, at GDPR vil få virksomheder til at bestemme, hvordan de håndterer kundedata. Det åbenlyse spørgsmål, der melder sig, er: hvad udgør personlige data?
Hvad er personlige data?
GDPR-direktivet er ret klart og præskriptivt for, hvad persondata er. Kort sagt, det udgør alle data relateret til en person. Det omfatter fotografier, e-mailadresser, økonomiske detaljer, IP-adresser og medicinske oplysninger. Interessant nok i betragtning af de seneste begivenheder, der involverer Facebook, inkluderer det også opslag på sociale medier og lokationsdetaljer. Det er bestemt en omfattende liste og en, som enhver virksomhed skal gøre sig bekendt med.
Hvad med medarbejderdata?
En af de vidtrækkende ting ved det nye direktiv er, at det behandler alle som individer. Uanset om dataene vedrører nogen på arbejdstid eller er private, er de stadig knyttet til den enkelte. Det fjerner enhver gråzone over, om data opnået gennem en persons job er personlige data: det er det altid.
Hvilke beføjelser er på plads?
Fra den 25. maj skal alle virksomheder bede om tilladelse, hvis de har til hensigt at flytte data uden for EU. Samtykket kan kun gives af den enkelte kunde, hvilket direktiv planlægger at være hjørnestenen i sin tilgang. På grund af den dyre og tidskrævende karakter af at spørge hver enkelt kunde, er dette upraktisk. Det forventes, at udbredt outsourcing til Indien, Filippinerne og Vietnam vil ophøre natten over. Hvis ikke, kan der pålægges bøder på op til 4 % af den årlige omsætning.
Hvordan gives kundens samtykke?
Indtil nu har virksomheder været i stand til at handle først og derefter tilføje ansvarsfraskrivelser for at dække samtykke senere. Det har været nok at tilføje opt-outs, der sendes med marketingmateriale og antage, at kunderne vil forlade det, hvis de vil. Hvad GDPR gør, er at ændre alt dette. Virksomheder skal vise, at de har fået samtykke til hver handling. Der vil ikke være nogen generel dækning og ingen tilbagevirkende meddelelse af opt-outs. Kunder vil også til enhver tid have ret til at trække deres samtykke tilbage. Meget mere data vil blive i EU.
Hvilke nye rettigheder får kunderne?
Kunder vil nu have ret til at få adgang til deres data gratis. Virksomheder vil være forpligtet til at give en elektronisk kopi og forklare, hvordan de har brugt den. Der vil også være ret til at få slettet personoplysninger, hvis en kunde ønsker at afslutte deres forhold. Sammen med disse kunder vil have ret til nemt at flytte deres data på tværs af platforme. Det giver mere frihed til at vælge en ny udbyder og sætter magten tilbage i hænderne på den enkelte.
Hvordan kan kunder udøve deres rettigheder?
Såfremt en kunde ønsker, at behandlingen af dennes data skal ophøre, er virksomheden forpligtet til at gøre det straks. Det samme gælder, når der fremsættes anmodning om ændring af ukorrekte eller forældede data. Måske mest presserende i det nuværende klima; virksomheder har 72 timer til at informere alle parter om databrud. Det er designet til at sætte en stopper for storstilede brud som hos Yahoo, der ikke blev rapporteret i årevis.
Effekten på virksomheder
I stedet for at være en IT-teknik, er GDPR et vidtrækkende direktiv, som enhver virksomhed skal forstå. Det vil påvirke marketing- og salgsaktiviteter for virksomheder af alle størrelser. Virksomheder kan ikke længere høste e-mailadresser og bruge dem, som de vil. Der vil være restriktioner på at sælge oplysninger til andre virksomheder, og kunden vil have ejerskab til deres data. Selvom du køber en markedsføringsliste fra en anden virksomhed, påtager du dig ansvaret for at sikre overholdelse af GDPR.
Selv noget så simpelt som at tilføje kundeoplysninger til en central database efter en messe vil ændre sig. Direktivets vidtrækkende karakter sikrer, at der ikke er smuthuller eller gråzoner. Data knyttet til en person er altid personlige; om det var samlet på arbejdstid eller ej. Det kan ikke længere sælges på vores udliciterede med formodet samtykke. Dette gør det til et overbevisende stykke lovgivning, som ingen virksomhed har råd til at tage let på.
Udsigterne for outsourcingindustrien
Med en hel række nye restriktioner på plads, forventes det, at outsourcing uden for EU vil blive upraktisk. Det kunne skabe en spirende industri i EU. Eller det kan se, at virksomheder påtager sig mere af arbejdet internt for at sikre streng overholdelse. Det er klart, at der i 2018 vil blive lagt vægt på at give gennemsigtighed og ansvarlighed med persondata.
Det er sat til at tage en betydelig mængde magt væk fra store virksomheder og lægge den tilbage i hænderne på forbrugeren. Nedfaldet af dette kan meget vel være et dramatisk svind i størrelsen af outsourcingindustrien.