對於如何對待GDPR的問題,您的客戶關係管理(CRM)系統和營銷自動化系統目前為零,但這還不是全部。
我們都收到了無數的GDPR網絡研討會和產品推介的邀請,所以我不會重複你在那裡能找到的東西。但是,有一些您可能還沒有獲得的重要觀點,將會在這裡被總結。
第一點:與你的律師談談。即使這些條例看起來與你和你的企業無關,但對法律的無知並不是理由......而且絕對不會帶來幸福。即使您在歐洲沒有業務,您的業務也很可能會受到GDPR的影響,並可能會受到懲罰。為什麼?因為歐洲公民有很多方法可以在您不知情的情況下將自己的數據存入您的系統,並且如果他們這樣做了,您應該遵守新的規定。違規的處罰可能會驚人地高。也就是說,考慮到這一切都沒有在法庭或監管機構的呼籲下進行過測試,它會在一段時間內顯得模糊。向您的律師就如何最大限度降低業務風險提供實用建議(儘管您會在下面看到它不能被消除)。
與此相關的是一些基本的免責聲明:我不是律師(我甚至沒有在電視上播放過),而且您不得將本文中的任何內容作為法律建議。
第二點:忽略“我們不符合要求!”的尖叫。雖然從理論上講,貴公司的不合規很可能是真的,但如果您是GDPR的完美主義者,則每個人都是不合規的。沒有任何產品可以使您符合標準,沒有可以保證合規的顧問,也沒有證明合規的“批准印章”,如果有IT供應商願意賠償您的因為不符合規定帶來的損失我會非常驚訝。(不過,你可以根據公司的保險政策得到一些保險。)所以,從分類開始,首先研究致命風險。
第三點:CRM系統、營銷自動化系統和網站是GDPR問題的基礎。這些系統擁有大量有關人員的信息,而且他們幾乎肯定不會掌握有關其公民身份的任何數據。因此,這些系統需要開始持有啟用符合GDPR所需的信息和其他元數據,並同步這些數據,以便您的所有流程始終如一地運作。你的網站註冊表需要為歐洲公民提供特殊的途徑(確保他們接觸到所有正確的免責聲明、通知和複選框),同時排除那些聲稱自己不是歐洲公民的人(這樣他們就不會被無關的信息和選項所困擾)。在研究這些集中式系統的同時,你會意識到存在著更大的分散風險......我們會提到這一點的。
第四點:你可以購買表明你正在對GDPR的合規性進行商業調查的產品。雖然你不能購買合規性,但你可以購買支持服務。任何提供有關安全事件的日誌記錄和警報的產品(例如Salesforce Sentry)都可能是好的。任何幫助檢測系統安全問題的工具(如Splunk)或為系統入侵的數據洩漏提供深入保護的工具都幾乎是必須購買的。如果您採購了這些產品或服務,您至少顯示出了有意遵守的態度。
第五點:合規性的遵從主要關於流程,清單和人員。雖然可以想象,可能您不需要購買任何新產品就可以遵守規定,但是如果沒有明確的流程,程序手冊和激勵/目標讓您的員工真正完成合規工作,您就不可能符合標準。雖然你可以將脆弱性評估和高級別GDPR建議外包出去,但搞清楚所有這些細節問題的實際“瑣碎工作”應該可以在內部完成。
和你的人力資源和法律人員談談:你可能想故意無視GDPR,濫用客戶/潛在客戶的個人數據,這是一種可能觸犯法律的行為。
而且,是的,這是一個漫長的旅程,而不是一個短期事件。可能每當您對營銷團隊進行重大重組或換掉服務提供商時,您都需要重新修改程序。每年進行一次審查可能是有意義的。你可能會驚訝於為什麼我的朋友會稱我為“無聊的指揮官”?
第六點:最大的技術工作可能是在鬆散集成的系統中。如果要考慮GDPR的長期影響,一個關鍵問題就是控制客戶數據的存放位置和使用方式。如果一個歐洲公民要求瞭解所有關於他們的個人信息以及您使用它的各種方式,那麼這可能是一個很大的挑戰。如果他們要求刪除數據,那麼如何確保數據不會從某個周批處理過程中重新出現在系統中?至少,您需要擁有存儲和管理個人數據的所有方式的流程圖,並且您可能會發現一些需要更緊密和更完整地同步的地方。其中一些可能會非常痛苦。
第七點:最大的風險可能在於電子郵件。因為幾乎每個電子郵件客戶端都有一個地址簿功能,可以通過電子郵件自動填充。這是個人信息,而且你不知道他們的公民身份是什麼。在員工的電子郵件地址簿中幾乎可以肯定沒有選擇加入個人數據,並且可能您不知道所有這些地址的來源是什麼。每個電子郵件用戶的地址簿都是潛在的時間炸彈。因此,除了制定新政策,電子郵件簽名,免責聲明和培訓計劃外,您還需要考慮地址簿的技術層面。
不幸的是,大多數用戶將他們的地址簿視為他們的個人財產,他們不習慣將其作為公司的數據資產進行處理。我建議的方法是強制用戶在他們的電子郵件系統中有兩個地址簿:一個用於他們的個人地址,另一個用於公司地址。將企業通訊錄與CRM系統同步,定期掃描個人通訊錄以刪除已從企業通訊錄中竄改的“上當者”。然而,成百上千的電子郵件客戶端地址簿與CRM系統的同步既是人類的挑戰,也是技術上的挑戰——我敦促您不要掉以輕心,因為稍有錯誤就可能導致數據損壞和讓用戶反感。這不是任何人都會稱之為樂趣的事情。
第八點:媽媽的話。雖然你確實需要發表各種關於你努力遵守GDPR的公開聲明(在你的網站上、電子郵件頁腳上等等),但我不建議公開宣佈你的努力。即使你有足夠的智慧來實現合規,也不要愚蠢到公開宣佈它。為什麼?因為你可能會吸引黑客或想敲詐你的人,他們會千方百計尋找讓你不符合規定的方法。沒有人會願意成為第一個引起歐盟委員會監管機構憤怒的人。
閱讀更多 企業網D1Net 的文章
