Her er du:

GDPR og ERP

EUs personopplysningsreglement, kalt GDPR, er ment for å beskytte EU-borgernes personvern mot den pågående digitale transformasjonen. Men hvordan påvirker GDPR forskriften bedriftens ERP-system og annen forretningssoftware? Og kan et ERP-system på toppen av det bidra til virksomhetenes evne til å leve opp til GDPR forordningen?

Innsamling av data

Alle moderne bedrifter lager og samler data, hovedsakelig gjennom ulike IT-systemer, ikke minst ERP-systemet. Innsamling, lagring og tilgjengeliggjøring av disse dataene har blitt avgjørende for selskapene når de er for eksempel utvikler nye produkter og tjenester så vel som å sette forretningsstrategier for fremtiden. Etter at EU har innført sin nye databeskyttelsesforordning, kalt GDPR (General Data Protection Regulation), som omhandler personopplysninger, samt hvordan de behandles av selskapene har det blitt svært viktig for selskapene å være klar over hvordan disse data behandles.

Forbered ditt ERP-system på GDPR

GDPR tar sikte på å endre måten mange selskaper, inkludert de som selger og bruker ERP-systemer i EU og opererer innenfor EU, gjør forretninger. Kort sagt, formålet med GDPR er å følge digital utvikling og virkelighet hvor data registreres og brukes overalt og ta vare på personvernet og beskyttelse av de individuelle borgernes personlige data.

Formålet med data reguleringen

Hovedformålet med GDPR er databeskyttelse. I en tid da selskapene har blitt bedre til å samle inn og utnytte data, og EUs befolkning blir stadig mer involvert i diverse online nettverk hvorfra en stor del av disse dataene samles inn, har EU følt seg tvunget til å sikre at innbyggerne har nøyaktig kjennskap til når deres data blir eksponert og hvordan. I tillegg til å gi brukerne en bedre forståelse av når og hvordan dataene blir brukt, har forordningen også til formål å gjøre selskapenes databehandling  mer gjennomsiktig, dvs. å visualisere hvordan borgerens data samles inn og behandles.

Det er en rekke spørsmål bedrifter bør spørre seg selv. Disse inkluderer:

  • Hvordan og når vil personopplysninger bli samlet inn?
  • Hvor lagres data?
  • Hvorfor er det nødvendig for selskapet å lagre dataene?
  • Hvordan sikres data?
  • Hvordan forespørsler om sletting av data sende inn?
  • Hvordan kan en individuell forespørsel om å motta dataene besvares?
  • Hvordan kan data slettes på forespørsel?

Alle selskaper bør se på hvordan GDPR-forordningen påvirker dem og deres IT-systemer og infrastruktur. Her er en rekke forslag til hvordan GDPR vil påvirke ditt ERP-system.

1. Synlighet om kundens data
Hvis kundene dine kanskje trenger å fjerne personopplysninger fra systemet ditt, er det viktig at disse dataene er tilgjengelige. Overholdelse av GDPR-forskriften vil derfor kreve større synlighet og tilgjengelighet av kundedata i ERP-systemet, slik at alle data lett kan bli funnet og fjernet når det ønskes. Utfordringen, i ofte komplekse ERP-systemer, kan være å identifisere hvor all personlig sensitiv informasjon er lokalisert.

2. Bedre forståelse av datastrømmene i virksomheten din
Som selskap og bruker av et ERP-system er det også viktig å ha en klar forståelse av systemets datastrømmer. Hvordan beveger kundens data seg gjennom systemet og hvor blir det lagret?Selskapet bør ha kontroll over håndtering av personopplysninger og hvordan de håndteres, og revidere eller gjennomføre retningslinjer som er rettet mot å opprettholde deres kunders personvern.

3. Tilpasse dine datahåndteringsprosesser

I tillegg til kartlegging av datastrømmer både innenfor og utenfor ERP-systemet, bør selskapene også tilpasse sine håndteringsprosesser for å oppfylle kravene til GDPR i ERP-systemet. Man bør derfor anvende standardiserte prosesser som best og mest hensiktsmessig kan håndtere den registrerte data, for eksempel som å behandle retten til tilgang til data for den registrerte, rett til rektifisering, rett til å ha sine data slettet og så videre. Dette minimerer risikoen for datalekkasje og brudd på forordningen og på samme tid utviser selskapet ansvarlighet.

4. Bedre databeskyttelse

En del av de nye forskriftene innebærer krav til selskaper som lagrer data fra EU-borgere om, at deres dataarkiver må være fullt sikret. Straffen for ikke å leve opp til de nye reglene og sikre data og dermed privatliv for brukerne kan straffes hardt, helt opptil 4 prosent av selskapets verdensomspennende omsetning.

Dataene som ERP-systemet må beskytte under GDPR, kan variere fra helt grunnleggende identitetsinformasjon, for eksempel navn, adresser og ID-numre, til webrelaterte data som posisjonsinformasjon, IP-adresser, informasjonskapsler og RFID-tagger, men innbefatter også personfølsom informasjon om alt fra individets helse, genetiske og biometriske data til ras eller etnisitet, politiske holdninger og seksuell orientering.

5. ERP-systemet får større betydning

Innføringen av GDPR vil trolig øke etterspørselen etter ERP-systemer som kan håndtere store mengder data trygt og effektivt.

I et ERP-system lagres data på et enkelt sted, noe som gjør det enklere å håndtere kundenes forespørsler om deres data. Derfor kan GDPR øke fokuset på ERP, ettersom forskriften tvinger bedrifter til å strømlinjeforme deres IT-infrastruktur, ikke minst ved å redusere antall programvare som støtter selskapets daglige drift.

Sentralisert system

De nye kravene som er innført som en del av GDPR kan være en stor munnfylt for noen selskaper, men kostnaden ved å ikke leve opp til dem kan være betydelig. Selv om plassering og sletting av personopplysninger i et ERP-system kanskje ikke er så enkelt som man kunne ønske seg, kunne et ERP-system være en stor hjelp og ressurs, ettersom det er lettere å håndtere person sensitive data i et sentralisert system snarere enn hvis data spres i flere forskjellige systemer.

Your Challenge. Our Passion Nordic Business Central / Dynamics NAV partner