GDPR og ERP
Indsamling af data
Alle moderne virksomheder skaber og indhenter data, hovedsageligt gennem forskellige IT-systemer, ikke mindst ERP systemet. Indsamling, lagring og tilgængeliggørelse af denne data er blevet essentiel for virksomhederne, når de eksempelvis skal udvikle nye produkter og services samt lægge forretningsmæssige strategier for fremtiden. Efter EU har indført sin nye Databeskyttelsesforordningen kaldet GDPR (General Data Protection Regulation), som omhandler personoplysninger, samt hvordan de behandles af virksomheder, er det blevet særdeles vigtigt for virksomhederne at være opmærksomme på, hvordan disse data behandles.
Forbered dit ERP-system på GDPR
GDPR har til formål at ændre måden hvorpå mange virksomheder, herunder de der sælger og bruger ERP systemer i EU og som opererer inden for EU, driver forretning. Formålet med GDPR er kort sagt at følge med den digitale udvikling og virkelighed hvor data registreres og anvendes overalt og værne om privatlivets fred og beskyttelse af den enkelte borgers personlige data.
Dataforordningens formål
Hovedformålet med GDPR er kort sagt data beskyttelse. I en tid hvor virksomhederne er blevet bedre til at indsamle og udnytte data og EUs befolkning i stadig højere grad involvere sig i diverse online netværk hvorfra en stor del af disse data indsamles, har man fra EU side set sig nødsaget til at sikre sig, at borgerne har præcist kendskab til, hvornår deres data bliver eksponeret og hvordan. Ud over at give brugerne større kendskab til hvornår og hvordan deres data bruges, har forordningen også til formål at gøre virksomhedernes datahåndtering mere gennemskuelig, altså at synliggøre hvordan borgerens data indsamles og behandles.
Der er en række spørgsmål virksomhederne bør stille sig selv. Disse omfatter:
- Hvordan og hvornår indsamles personoplysninger?
- Hvor opbevares data?
- Hvorfor er den nødvendig for virksomheden at opbevare?
- Hvordan er det sikret?
- Hvordan kan anmodninger om at få slettet sin data indsendes?
- Hvordan kan en individuel anmodning om at få sin data udleveret besvares?
- Hvordan kan data slettes på anmodning?
Alle virksomheder bør altså se på, hvordan GDPR forordningen påvirker dem og deres IT systemer og infrastruktur. Her er en række bud på, hvordan GDPR vil påvirke dit ERP-system.
1. Synlighed omkring dine kunders data
Hvis dine kunder kan kræve at få fjernet deres personlige data fra dit system, er det vigtigt, at denne data er både til rådighed og tilgængelig. Overholdelse af GDPR forordningen vil altså kræve bedre synlighed omkring og tilgængelighed til kundedata inden for ERP-systemet, så alle data nemt kan findes og fjernes, når det ønskes. Udfordringen, i ofte komplekse ERP systemer, kan være, at identificere hvor alle de personfølsomme oplysninger befinder sig.
2. Bedre forståelse for datastrømmene i din virksomhed
Som virksomhed og bruger af et ERP system, er det også vigtigt at have en klar forståelse af systemets datastrømme. Hvordan bevæger dine kunders data sig igennem systemet og hvor bliver den gemt? Virksomheden bør altså have kontrol over håndteringen af de personlige oplysninger og hvordan de håndteres og revidere eller gennemføre politikker der har til formål at bevare privatlivets fred for deres kunder.
3. Tilpasning af dine data håndteringsprocesser
Udover at kortlægge datastrømme både inden og uden for ERP systemet, bør virksomhederne også justere deres håndteringsprocesser for at kunne imødekomme kravene fra GDPR i ERP systemet. Man bør altså anvende standardiserede processer der bedst muligt og mest hensigtsmæssigt kan håndtere de registreredes data, eksempelvis håndtering af retten til adgang til data for den registrerede, retten til berigtigelse, retten til at få slettet data osv. På den måde kan man minimere risikoen for at lægge data og bryde med forordningen samtidig med, at man som virksomhed udviser ansvarlighed.
4. Bedre databeskyttelse
En del af de nye regulativer indebærer et krav til virksomheder der lagrer data fra EU-borgere om, at deres data arkiver skal være fuldstændig sikret. Straffen for ikke at leve op til de nye regler og sikre data og dermed privatliv for brugerne straffes hårdt, helt op til 4 procent af virksomhedens verdensomspændende omsætning.
De data som ERP systemet skal beskytte under GDPR kan være alt fra helt grundlæggende identitetsoplysninger såsom navn, adresse og ID-numre, til web relateret data såsom placeringsoplysninger, IP-adresser, cookie data og RFID tags, men inkluderer også særligt personfølsomme oplysninger vedrørende alt fra den enkeltes sundhedstilstand, genetisk og biometrisk data til data vedrørende race eller etnicitet, politiske holdninger og seksuel orientering.
5. Større betydning for ERP systemet
Indførslen af GDPR vil formentlig øge efterspørgslen efter ERP systemer der kan håndtere de store mængder af data sikkert og effektivt.
I et ERP system lagres data på et enkelt sted, hvilket gør det lettere at håndtere kundernes forespørgsler vedrørende deres data. Derfor kan GDPR øge fokus på ERP, da forordningen tvinger virksomhederne til at strømline deres IT infrastruktur, ikke mindst ved at reducere antallet af de softwareapplikationer, der understøtter virksomhedens daglige drift.
Centraliseret system
De nye krav der er blevet indført som en del af GDPR kan være en stor mundfuld for nogle virksomheder, men omkostningerne ved ikke at leve op til dem kan være betydelige. Selv om at lokalisering og sletning af personlige data i et ERP-system ikke nødvendigvis er så ligetil som man kunne ønske sig, kan et ERP system i den forbindelse være en stor hjælp og ressource, da det trods alt er nemmere at håndtere de personfølsomme data i et centraliseret system frem for hvis data er spredt ud i flere forskellige systemer.