Outsourcing är något som praktiskt taget alla företag gör för att spara pengar. I den digitala tidsåldern är så mycket av det som flyttas utomlands information. På så sätt kan företag förbli konkurrenskraftiga samtidigt som de betalar mindre för tjänster de är beroende av. När EU:s GDPR träder i kraft den 25 maj 2018 är det dags att ta en närmare titt. Att säga att det kommer att förändra saker och ting är en underdrift.
Vad är EU:s GDPR?
Europeiska unionens (EU) General Data Protection Regulation (GDPR) är en nyutarbetad integritetsförordning som påverkar hur information hanteras. Det har varit vanligt i flera år för företag att lägga ut specifika tjänster på entreprenad till betrodda tredje parter. En betydande del av outsourcingen sker i form av informationstjänster, vilket resulterar i att stora mängder data lämnar EU. Från och med den 25 maj kommer företag att få allt svårare att göra detta på grund av den nya GDPR. Men varför händer det?
Varför händer det?
GDPR är delvis en reaktion från lagstiftare på de växande kraven från individer att veta vad som händer med deras data. Med massiva säkerhetsintrång som ofta rapporteras i media har det aldrig varit ett större problem än just nu. Man tror att GDPR kommer få företag att bestämma hur de hanterar kunddata. Den uppenbara frågan som ställer sig är: vad utgör personuppgifter?
Vad är personuppgifter?
GDPR-direktivet är ganska tydligt och föreskrivande om vad personuppgifter är. Kort sagt, det utgör alla uppgifter som är relaterade till en individ. Det inkluderar fotografier, e-postadresser, ekonomiska detaljer, IP-adresser och medicinsk information. Intressant nog med tanke på de senaste händelserna som involverar Facebook, innehåller det också inlägg på sociala medier och platsinformation. Det är verkligen en omfattande lista och en som varje företag måste bekanta sig med.
Hur är det med personaldata?
En av de långtgående sakerna med det nya direktivet är att det behandlar alla som individer. Oavsett om uppgifterna avser någon på arbetstid eller är privata, är de fortfarande kopplade till individen. Det tar bort alla gråzoner över huruvida uppgifter som erhållits genom någons jobb är personliga uppgifter: det är det alltid.
Vilka befogenheter finns på plats?
Från och med den 25 maj måste alla företag be om tillstånd om de har för avsikt att flytta data utanför EU. Samtycket kan endast beviljas av enskild kund, vilket direktiv planerar att göra hörnstenen i sitt tillvägagångssätt. På grund av den kostsamma och tidskrävande naturen att fråga varje enskild kund är detta opraktiskt. Det förväntas att utbredd outsourcing till Indien, Filippinerna och Vietnam kommer att upphöra över en natt. Om inte kan böter på upp till 4 % av den årliga inkomsten utdömas.
Hur beviljas kundens samtycke?
Hittills har företag kunnat agera först och sedan lägga till ansvarsfriskrivningar för att täcka samtycke senare. Det har räckt med att lägga till opt-outs som skickas med marknadsföringsmaterial och anta att kunder kommer att lämna om de vill. Vad GDPR gör är att ändra allt detta. Företag måste visa att de har fått samtycke för varje åtgärd. Det kommer inte att finnas någon generell täckning och inget retroaktivt beviljande av opt-outs. Kunder kommer också att ha rätt att när som helst återkalla sitt samtycke. Mycket mer data kommer att stanna i EU.
Vilka nya rättigheter kommer kunderna att ha?
Kunder kommer nu att ha rätt att få tillgång till sina uppgifter utan kostnad. Företag kommer att vara skyldiga att tillhandahålla en elektronisk kopia och förklara hur de har använt den. Det kommer också att finnas rätt att få personuppgifter raderade om en kund skulle vilja avsluta sin relation. Tillsammans kommer dessa kunder att ha rätt att enkelt flytta sin data över plattformar. Det ger mer frihet att välja en ny leverantör och ger makten tillbaka i händerna på individen.
Hur kan kunder utöva sina rättigheter?
Om en kund önskar att behandlingen av dennes uppgifter ska upphöra är företaget skyldigt att göra det omedelbart. Detsamma gäller när en begäran görs om ändring av felaktiga eller inaktuella uppgifter. Kanske mest pressande i det nuvarande klimatet; företag har 72 timmar på sig att informera alla parter om dataintrång. Det är utformat för att sätta stopp för storskaliga intrång som Yahoo som inte rapporterats i flera år.
Effekten på företag
Istället för att vara en IT-teknik, är GDPR ett långtgående direktiv som alla företag behöver förstå. Det kommer att påverka marknadsförings- och försäljningsaktiviteter för företag av alla storlekar. Företag kan inte längre skörda e-postadresser och använda dem hur de vill. Det kommer att finnas restriktioner för att sälja information till andra företag, och kunden kommer att ha äganderätten till sina uppgifter. Även om du köper en marknadsföringslista från ett annat företag tar du på dig ansvaret för att säkerställa efterlevnaden av GDPR.
Även något så enkelt som att lägga till kundinformation i en central databas efter en mässa kommer att förändras. Direktivets långtgående karaktär säkerställer att det inte finns några kryphål eller gråzoner. Uppgifter kopplade till en individ är alltid personliga; om det samlades på arbetstid eller inte. Det kan inte längre säljas på vår outsourcade med förmodat samtycke. Detta gör det till en övertygande lagstiftning som inget företag har råd att ta lätt på.
Utsikterna för outsourcingbranschen
Med en hel rad nya restriktioner på plats, förväntas det att outsourcing utanför EU kommer att bli opraktisk. Det skulle kunna skapa en växande industri inom EU. Eller det kan se företag ta på sig mer av arbetet internt för att säkerställa strikt efterlevnad. Det är tydligt att tyngdpunkten under 2018 kommer att ligga på att tillhandahålla transparens och ansvarighet med personuppgifter.
Det kommer att ta en betydande mängd makt från storföretagen och lägga den tillbaka i händerna på konsumenten. Nedfallet av detta kan mycket väl vara en dramatisk krympning av storleken på outsourcingbranschen.