Ett CRM-system handlar om en enda sak: att samla alla dina kundkontakter på ett ställe. Men i samma stund som du sparar namn, e-post och telefonnummer på en levande människa lyder du under GDPR. Det här är något de flesta hoppar över när de väljer system — men det är precis vad du behöver ha koll på. Om du fortfarande funderar på grunderna kan du börja med vår guide Vad är ett CRM-system . Den här artikeln tar vid där och förklarar dataskyddet i klartext. Vi är inte jurister, så se vår guide som en praktisk genomgång, ej som juridisk rådgivning.
För en mer detaljerad genomgång av det juridiska hänvisar vi till Integritetsskyddsmyndigheten (IMY).
GDPR i korthet
GDPR (Dataskyddsförordningen) är EU:s lag om hur personuppgifter får hanteras. En personuppgift är all information som kan kopplas till en levande person: namn, e-post, telefonnummer, IP-adress. Lagen gäller alla företag oavsett storlek; det finns ingen undantagsgräns för små bolag.
- Du måste ha en rättslig grund för att spara uppgifterna.
- Du får bara samla in det du faktiskt behöver (uppgiftsminimering).
- Du ska bara spara uppgifterna så länge du behöver dem (lagringsminimering).
- Personen har rätt att få veta vad du sparar, och att få det rättat eller raderat.
Bryter du mot reglerna kan IMY besluta om en sanktionsavgift. För ett småföretag är det dock sällan böterna som är den verkliga risken — det är att tappa kundernas förtroende.
Så hänger GDPR ihop med ditt CRM
Ett CRM är i praktiken en databas full av personuppgifter. Här är de fyra sakerna som faktiskt rör dig som småföretagare.
1. Du är ansvarig – leverantören är ditt biträde
I lagens ögon är du personuppgiftsansvarig för dina kontakter. CRM-leverantören (HubSpot, Pipedrive, Zoho …) är ditt personuppgiftsbiträde — de behandlar uppgifterna åt dig, på dina instruktioner. Det betyder att du behöver ett personuppgiftsbiträdesavtal (PUB-avtal, på engelska DPA) med leverantören. Det är ett krav enligt artikel 28 i GDPR, inte en formalitet.
Den goda nyheten: alla seriösa CRM-leverantörer har ett färdigt DPA. Hos de flesta godkänner du det digitalt i kontoinställningarna, eller så ingår det i användarvillkoren. Din uppgift är att se till att det finns och är aktivt och godkänt, du behöver inte skriva något avtal själv.
2. Du behöver en rättslig grund
Du måste kunna svara på varför du sparar en kontakt. För B2B är den vanligaste grunden berättigat intresse. Det innebär att du har en affärsrelation och därför ett rimligt behov av att hålla kontakt. För befintliga kunder räcker ofta att uppgifterna behövs för att fullgöra ett avtal. Du behöver alltså inte alltid be om uttryckligt samtycke för att lägga in en kund i ditt CRM, men du ska kunna motivera varför uppgiften finns där.
3. Var lagras uppgifterna?
Många CRM-system är amerikanska och lagrar data på servrar utanför EU. Sedan den 10 juli 2023 är det tillåtet att överföra personuppgifter till USA förutsatt att leverantören är ansluten till EU–U.S. Data Privacy Framework (DPF).
Står leverantören med på den listan är du i praktiken trygg utan några extra åtgärder. Gör de inte det krävs särskilda skyddsåtgärder, som standardavtalsklausuler. Många europeiska leverantörer erbjuder dessutom datalagring helt inom EU. Det är något att fråga om direkt om du vill vara helt säker och slippa denna diskussion helt.
4. Städa i registret
GDPR säger att du inte ska spara uppgifter i all evighet. Ett CRM gör det enkelt att samla in kontakter och lätt att glömma att radera kontakter du inte behöver längre.
Gör det till en vana att gallra döda leads och kontakter du inte längre har en relation med. Ett bra system hjälper dig dessutom att hitta och radera en persons alla uppgifter på begäran, vilket du är skyldig att göra.
Vad ska du leta efter när du väljer?
När du jämför system, kryssa av:
- Erbjuder leverantören ett DPA?
- Var lagras datan?
- Finns DPF-anslutning eller EU-servrar?
- Kan du enkelt exportera och radera en enskild kontakt?
Allt detta är faktorer vi väger in i vår jämförelse av bästa CRM för småföretag .
Vanliga frågor
Får jag lagra EU-kontakters uppgifter i ett amerikanskt CRM?
Ja. Sedan EU:s adekvansbeslut i juli 2023 är överföring till USA tillåten om leverantören är ansluten till EU–U.S. Data Privacy Framework. De flesta stora CRM-leverantörer är det. Vill du vara på den säkra sidan väljer du en leverantör med datalagring inom EU.
Behöver jag ett personuppgiftsbiträdesavtal (DPA) med min CRM-leverantör?
Ja, det är ett krav enligt GDPR. I praktiken tillhandahåller leverantören ett färdigt avtal som du godkänner — du behöver sällan göra mer än att bekräfta att det finns och är aktiverat på ditt konto.
Måste jag ha kundens samtycke för att lägga in den i CRM:et?
Inte nödvändigtvis. För befintliga kunder och affärskontakter räcker oftast berättigat intresse, eller att uppgifterna behövs för ett avtal. Samtycke behövs främst för till exempel marknadsföringsutskick till personer du inte redan har en relation med.
Gäller GDPR ens för mitt lilla enmansföretag?
Ja. GDPR gäller oavsett företagets storlek. Driver du enskild firma har du samma grundansvar. Att göra det enklare att följa GDPR kan till och med vara ett starkt argument till att du kan behöva ett CRM för din enskilda firma. Se även vår guide om CRM för enskild firma
.
Sammanfattning
GDPR ska inte avskräcka dig från att skaffa ett CRM. Tvärtom gör ett bra system det enklare för dig att följa regelverket. Tre saker räcker långt: se till att det finns ett DPA med leverantören, ha koll på var datan lagras, och städa i registret med jämna mellanrum. Det mesta av jobbet sköter ett bra CRM åt dig.
Vill du gräva djupare i den juridiska delen är IMY:s vägledning om GDPR den bästa svenska källan.