CRM-systemer og GDPR: Nå kan du få panikk

GDPR og CRM-system

OBS! Innlegget er ikke oppdatert siden april 2018, men inneholder likevel nyttige lenker. 

GDPR og e-postlister

Jeg har tidligere advart mot å ta i bruk GDPR-løsningene flere e-postleverandører har kommet med så lang. Fremgangsmåten de anbefaler kundene sine å bruke for å løse GDPR for e-postlistene sine, er ikke gode nok.

I verste fall risikerer du at samtykkene du innhenter fra kundene dine, likevel ikke tilfredsstiller de nye kravene etter GDPR. Det er vanskelig nok å få folk til å klikke i e-postene, om man ikke må gjøre det dobbelt!

På mandag la jeg ut en guide for hva de ulike leverandørene gjør med GDPR. De fleste sier at de selv skal tilfredsstille kravene, men få jobber seriøst med å tilrettelegge for kundene sine. Listen omfatter ConvertKit, MailChimp, Hubspot, Salesforce, AWeber, ActiveCampaign, Drip, SendGrid, Ontraport, Infusionsoft og (New) Kajabi (så langt).

Les innlegget her: Slik løser e-postleverandørene GDPR for e-postlister

Noen av de overnevnte er også CRM-systemer, men her samler jeg litt flere. I dag tar jeg for meg Insightly, Lime, Podio, Pipedrive og Zoho. Bruker du noen av disse?

Hva er et CRM-system?

CRM står for Customer Relationship Management og brukes for å håndtere kundeinformasjon. Noen foretrekker å bruke Client eller Contact, sistnevnte fordi CRM kan inneholde mer enn bare kunder (f.eks. leverandører).

Min påstand er at de aller fleste, også "mikrobedrifter" med kanskje bare deg selv som ansatt, vil ha nytte av å tenke CRM. Du trenger ikke nødvendigvis Salesforce, men å ha et system for hvordan du håndterer kundene dine er vesentlig for å drive bedriften din på en god måte.

I dag finnes mange forskjellige løsninger for CRM, noen mer GDPR-vennlige enn andre. Noen bruker avanserte CRM-systemer, andre Asana eller bare regneark.

Obs! Lagrer du personopplysninger i Dropboxen din? Med mindre du bruker en av business-versjonene, kommer du ikke til å være i samsvar med GDPR 25. mai. Dropbox planlegger nemlig IKKE å gjøre Plus-versjonen GDPR-compliant…!

Hvilke data blir berørt av GDPR?

GDPR går i hovedsak på behandling av personopplysninger, definert av Datatilsynet som:

[…] en opplysning eller vurdering som kan knyttes til deg som enkeltperson [f.eks.] navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer [...] atferdsmønstre […] hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet […]

Du må derfor tenke gjennom hvor og hvordan du oppbevarer slike data i bedriften din, og om du har samtykke til å gjøre det. CRM-systemet ditt er et selvsagt sted å sjekke.

Er CRM-systemet ditt i samsvar med GDPR?

Når GDPR slår inn er det ikke bare personopplysningene du lagrer i CRM-systemet ditt, som er viktig. Selve leverandøren må også være "GDPR compliant".  Dvs. at de må sørge for at de ivaretar GDPR, f.eks. viktige punkter rundt datasikkerhet og hvilke typer informasjon/data en kunde kan legge inn selv.

Med GDPR skal du kun lagre personopplysninger du har behov for, for å kunne levere tjenestene og produktene du selger. Med mindre du har behov for å ringe til en kunde, eller sende noe i posten, skal du verken be om, eller lagre, slike personopplysninger. Kundene bør heller ikke ha anledning til å legge slike opplysninger inn i CRM-systemet eller i påmeldingsskjema for e-postlisten.

Det er ditt ansvar for å sørge for at systemene du bruker i bedriften din, opererer i samsvar med GDPR.

Ikke at du skal sørge for at de blir det, men kun bruke systemer som er det. Som i eksempelet over med Dropbox, når de ikke sørger for at Plus-versjonen sin blir GDPR compliant, kan du ikke oppbevare kundedata/personopplysninger der.

CRM-systemer og GDPR

I listen nedenfor har jeg valgt ut CRM-systemer som er populære blant små- og mikrobedrifter. Det finnes hundrevis av andre systemer, så en komplett oversikt vil bli på størrelse med gule sider! Men om det er noen konkrete systemer du savner, legg igjen en kommentar så skal jeg ta en titt.

Følgende kan gi en indikasjon på hvor seriøst en leverandør jobber med sikkerhet: HTTPS på alle sider (selvfølge!), to- eller multifaktor-autentisering, gjennomført ISO 27001, SOC-sertifiseringer, med i U.S. Privacy Shield.

Om en leverandør (eller hvem som helst som selger produkter/tjenester) ikke har HTTPS på alle sidene sine, bør du uansett skygge unna. HTTPS er et minium av det man bør ha på en seriøs nettside. Les mer her: 6 ting alle profesjonelle nettsider må ha

Hva er poenget med denne artikkelen?

Nedenfor ramser jeg altså opp flere CRM-systemer og det er ikke sikkert at du bruker, eller engang vurderer å bruke, noen av de. Hvorfor burde du så lese resten?

Funnene mine, totalt sett, er det som er interessant her, ikke nødvendigvis hva enkelt leverandør gjør. Og funnene viser at beredskapen til CRM-leverandørene, som for e-post, er sjokkerende dårlig.

Vi er altså noen få uker unna GDPR. Fristen er 25. mai. Den største boten potensielt €20 000 000. For små bedriftseiere høres det nesten tåpelig ut. Men, du risikerer faktisk bøter på 4% av omsetningen din.

Den totale, globale omsetningen - ikke fortjenesten.

Det er imidlertid ikke bøter og skremselspropaganda jeg synes er viktigst i denne sammenhengen. GDPR er det beste som har skjedd vanlige borgere, med hensyn til personvern, noen gang. Det er et stort, viktig og nødvendig skritt i riktig retning. All profileringen som gjøres i dag, uten vår viten, er ikke bra.

Mitt standpunkt er derfor at GDPR er bra, nødvendig, og faktisk vil resultere i bedre bedrifter. Mer om det senere.

I første omgang har jeg valgt ut noen CRM-systemer som er relativt kjent i Norge, noen mer enn andre.

Insightly CRM

La oss likesågodt begynne med dagens versting! Fra første spørsmål om GDPR i Insightlys eget forum, er det tydelig at de ikke har fulgt med i timen. På spørsmål om planene deres for GDPR, svarer de følgende:

Det er mildt sagt urovekkende at dette er holdningen deres så sent som slutten av juli fjor. To dager senere følger samme person opp med å si at de nå har funnet ut at de skal undersøke hva dette GDPR er for noe, likevel. Historien stopper ikke der, og tråden utvikler seg til en skikkelig farse som setter Insightly i svært dårlig lys.

Til stor frustrasjon og sinne blant kundene sine, velger Insightly "copy & paste"-metoden og svarer på alle oppfølgende spørsmål med denne setningen: Insightly is aware of the update to GDPR & EUs regulations surrounding data privacy and are working towards being fully complaint before the enforced date of May 25, 2018. We'll be sure to keep you updated.

Flere blir faktisk så provosert, at de velger å avslutte kundeforholdet sitt. Noen har vært kunde i flere år. Tråden startet i juli i fjor og pågår ennå. Siste innlegg er fra torsdag, og selskapet klarer fortsatt ikke å si tydelig til kundene sine om de blir GDPR-klare eller ikke. De har lagt ut en generisk artikkel her, men den er heller ikke til veldig mye hjelp: Insightly's GDPR readiness

Mitt råd? Styr unna!

Salesforce CRM

Ved første øyekast så det ut til at Salesforce var den eneste som fokuserer på å hjelpe kundene sine. Salesforce har flere sider med informasjon om GDPR, snakker om deres "GDPR Commitment" og hvordan de skal hjelpe kundene sine å blir klare for GDPR. På alle sidene refererer de til hva øverste leder sier;

“We are committed to our customers' success, including compliance with the GDPR.”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER

Men igjen så finner jeg lite om hvordan kundene enkelt skal kunne samle inn nye samtykker og hvordan man i ettertid kan dokumentere at disse er innhentet i tråd med GDPR.

Et eksempel er at du må kunne dokumentere GDPR compliance. Her skriver Salesforce at du bør: Compile copies of privacy notices and consent forms (…). Men de forteller deg ikke hvordan du skal gjøre dette.

Det at de har så mye informasjon og så mange sider om GDPR på nettsidene sine, gjør det hele faktisk mer forvirrende enn oppklarende. Til slutt klarte jeg å grave frem en side om håndtering av samtykker for de ulike delene av plattformen deres, der Consent Management for Marketing Cloud ser ut til å være mest relevant for e-postmarkedsføring.

Lime CRM

Jeg har ikke hørt om Lime CRM før, men som svensk selskap med nordisk nedslagsfelt, måtte de med. Etter å ha sett på nettsidene deres er jeg nysgjerrig. De har mye god informasjon om GDPR, mer enn de fleste andre sidene jeg har besøkt. Jeg liker også at de har en positiv holdning til GDPR!

De har siden slutten av desember skrevet flere artikler om GDPR, og har, ifølge de selv, hatt stor fokus på å utvikle CRM-løsningen sin for GDPR. De mangler likevel informasjon på sidene sine om hva de konkret har gjort og skal gjøre frem mot 25. mai. Om GDPR-funksjoner/verktøy ligger i produktveikartet/backlog, burde de delt dette åpent på sidene sine. Ny funksjonalitet skal vissnok være klar allerede (de har oppgitt "Q1 2018" i en forumdiskusjon).

Les mer om Lime og GDPR på sidene deres her. De har også lagt ut webinaret Lime CRM och GDPR (okt. 2017).

Podio for CRM

Podio er opprinnelig en dansk start-up, som ble kjøpt opp av selskapet Citrix i 2012 for ikke mindre enn $53 millioner. Som flere CRM-systemer som er del av en større produktpakke, er det litt knotete å finne GDPR-informasjonen på sidene deres. Et googlesøk er bedre enn søk på siden (!).

Og der jeg skryter av andres holdninger til GDPR, som Zoho og Lime, faller Podio litt gjennom. I avsnittet Why does this matter, er fokus kun på bøtene - og ikke personvern, som faktisk er det sentrale med GDPR. Nå har de helt sikkert fokus på det også, men det var litt påfallende.

På samme side kan du lese mer om hvordan Podio planlegger å bistå kundene sine med å bli GDPR-klar. De nevner konkret artiklene 25 og 32 i forordningen, som går på innebygget sikkerhet "fra bunnen av" og som standard, og sikkerhet i prosessering av data.

Morselskapet Citrix har også mer informasjon på sine sider her: General Data Protection Regulation (GDPR) FAQ. Podio virker å være et populært valg her hjemme. Er du en fan?

Pipedrive CRM

Mange skryter av Pipedrive i flere forumer, men jeg må si at jeg blir umiddelbart skeptisk når et selskap skriver på dårlig norsk på nettsiden sin. "Prøve det gratis"? Det er nesten så jeg lar være å "prøve det gratis" fordi skrivefeilen gjentas til det kjedsommelige nedover hele siden. Men jeg skal ikke la OCD-en min avgjøre om Pipedrive er et godt GDPR-klart CRM-system, eller ikke! (Også er de tross alt et amerikansk selskap.)

Informasjon om GDPR er vanskelig å finne, og det er ikke før jeg kommer til bloggen (og må søke) at jeg klarer å grave opp en relevant artikkel. De peker imidlertid på noen sentrale problemstillinger, i motsetning til de generiske artiklene mange av de andre selskapene skriver, bare for å ha noe om GDPR på sidene sine. Pipedriver skriver blant annet:

Otherwise, you must ask for consent. Don’t underestimate the difficulty of this task. Gathering the proof points you need for consent is much more complicated than it sounds. (Kilde)

Før du setter i gang med "samtykke-kampanjer" bør du være helt sikker på at du har en god strategi på plass. I verste fall risikerer du, som mange allerede har, å måtte be abonnentene dine om å samtykke TO ganger. Og vi vet alle hvor utfordrende det er å få folk til å klikke ÉN gang.

Pipedrive skriver ellers om hvordan de som selskap skal bli GDPR-klar, i denne artikkelen: Pipedrive and GDPR. Jeg savner imidlertid mer informasjon om hvordan de hjelper kundene sine å bli GDPR-klare.

Zoho CRM

Zoho gir et godt førsteinntrykk med å ha GDPR på førstesiden, om enn i veeeldig små bokstaver, helt nederst til høyre. Men den er i alle fall der, i motsetningen til de fleste andre. De har også god og tydelig informasjon på siden Zoho's GDPR readiness. Se spesielt presentasjonen de lenker til litt under midten på siden.

Zoho CRM er ett av produktene i en stor portefølje tilhørende Zoho Corporation. De gjør det ikke enkelt å finne informasjon om hvordan de støtter kundene deres i GDPR-reisen, men når man finner den, er den bra! For en knapp uke siden annonserte de i Zohos community (forum) nye funksjoner og råd rundt e-postmarkedsføring.

Om du er Zoho-kunde kan du nå dra fordel av følgende:

  • Consent Campaigns: Skreddersydde e-poster og kampanjer for å innhente nye samtykker (om de også har gjort det enkelt å bevise samtykkene i ettertid, er dette svært bra!)
  • Deny option in confirmation emails: Lagt til lenke for å "nekte" samtykke på standard bekreftelsesmailer
  • Privacy policy in all sign-up forms: Denne er uklar, de skriver at de har lagt til en personvernerklæring til alle skjemaer, men det eneste skjermdumpen viser er en setning som sier at personvernet blir godt ivaretatt. Setningen er likevel gjort obligatorisk på alle skjemaer, så det er i alle fall bra

Sjekk ut denne siden for de øvrige nyhetene og mer informasjon: GDPR-related feature updates from Zoho Campaigns

Alt i alt virker det som at Zoho CRM ligger langt foran konkurrenter når det gjelder GDPR.

HubSpot CRM

HubSpot skrev jeg om i forrige innlegg, siden flere bruker systemet kun til å sende ut nyhetsbrev o.l. De starter bra med en dedikert side med god oversikt over GDPR og hva loven innebærer, både for deres egen del, og for din del som kunde av HubSpot. I tillegg har de lagt ut et veikart (product roadmap) for hva de gjør for å hjelpe kundene sine å implementere GDPR-kravene innen fristen 25. mai. De sier blant annet:

In HubSpot, we're adding features to make collecting, tracking, and managing consent in a GDPR-compliant way as straightforward as possible. Once [a subscriber] submits her information, we will store a copy of the notice that [she] was provided, information about which consent she provided, and the timestamp of the interaction.

HubSpot jobber nå med å lage funksjonalitet som vil gi deg mulighet for å bevise at du har innhentet samtykker fra kundene dine, samt innfri andre GDPR-krav. Ifølge veikartet skal dette bli tilgjengelig i begynnelsen av mai.

PS: Nederst på siden, under FAQ, ligger det mye nyttig informasjon som du kan sjekke ut. Se spesielt lenkene under spørsmålet What else is HubSpot doing to prepare customers and partners for the GDPR?

Andre CRM-systemene dekket i forrige artikkel; Slik løser e-postleverandørene GDPR for e-postlister

  • Infusionsoft
  • ActiveCampaign

Bruker du en av disse, som ikke kom med på dagens liste?

  • Sugar CRM
  • Less Annoying CRM
  • Dynamics 365
  • ProsperWorks CRM
  • Salesforce CRM
  • SuperOffice CRM
  • Odoo CRM

GDPR-nyheter enkelt forklart

Et nyhetsbrev i ny og ne med relevante oppsummeringer (og kanskje et tilbud her og der). Meld deg av når som helst.
Personvernerklæring