GDPR


Den 25 maj 2018 börjar den nya förordningen GDPR att gälla för alla inom EU. Det innebär att det blir nya regler hur man hanterar gästuppgifter. Den största skillnaden är att gäster nu aktivt måste ge sitt medgivande till alla utskick som de skall få framöver annars riskerar bolaget att drabbas av dryga böter. WaiterAid har anpassat alla sina system där det har varit nödvändigt.

I god tid innan förordningen träder i kraft kommer alla bokningsappar ha tydliga val för samtycke av epotutskick såsom nyhetsbrev. I följande inlägg har vi samlat all information som gäller rörande GDPR.

GDPR i allmänhet
GDPR för WaiterAid
Så här förbereder du dig inför GDPR

Så här förbereder du dig inför GDPR

Såhär förbereder du dig bäst för GDPR – informera mera och spara mindre

Gör följande
– Se över hur du hanterar personuppgifter
– Skapa överblick och underhåll av vem som har godkänt kommunikation och vilken typ av kommunikation de godkände
– Granska alla personuppgifter och bestäm hur länge du ska spara dem. Exempelvis 18-24 månader efter besöket.
– Kartlägg hur du använder personlig information och om du delar den med tredjepart. Tydliggör detta i din integritetspolicy.

Tillåt kunder att få tillgång till sina personuppgifter. När en kund ber om sina uppgifter måste du vara tydlig och lämna ut dem gratis.

Var tydlig med hur man som kund kan ta tillbaka sitt medgivande och att de kan sluta prenumerera på utskick.

Tänk över hur ni delar personuppgifter i en restauranggrupp.

Ta bort alla automatiska medgivanden.

Uppdatera dina terms & conditions och din integritetspolicy så att de blir lättöverskådliga och lättlästa. Glöm inte att du även måste visa vilka cookies du använder dig av.

Utbilda personalen så att de känner till och förstår att kunden har rätt att se ALLT som står i gästkommentarerna.

Läs på ordentligt. Försäkra dig om att du förstår de nya reglerna och håll dig uppdaterad.

Gör inte
Köp inte databaser med e-postadresser. Detta blir olagligt så snart GDPR träder i kraft.

Använd inte förklickade boxar eller automatiserade godkännanden.

Inkludera inte dolda medgivanden i dina villkor eller integritetspolicy.

Vänta inte med att bli GDPR kompatibel och sätta dig in i vad det innebär. Börja nu.

Få inte panik. Om du gör din hemläxa och anpassar dig efter GDPR finns det ingen anledning att oroa sig.

GDPR för WaiterAid

Var förvaras den information som WaiterAid sparar?
Informationen sparas säkert hos Hetzner i Tyskland.

Hur gör WaiterAid för att lagra information enligt GDPR?
Enligt GDPR får organisationer endast lagra information om någon har gett sitt samtycke. WaiterAid lagrar endast information efter att individen gett sitt samtycke. Då personinformation är nödvändig för att veta vem som skall ha en bokning sparas förnamn, efternamn, epostadress och telefonnummer när man bokar ett bord.

Vem delar WaiterAid informationen med?
WaiterAid delar inte sin data externt. När en gäst bokar kan de samtidigt ha samtyckt att finnas med i BokaBords register (BokaBord är en del av FoodFriends AB som även driver WaiterAid). Detta betyder att informationen kommer lagras hos BokaBord. Skulle en gäst av misstag ange att de vill ha information finns en tydlig länk i alla mail som skickas med möjlighet att avprenumerera utskick. Om en gäst avprenumererar kommer inga fler mail att skickas till den gästen, såvida denne inte återigen anger att de vill ha nyhetsbrev från BokaBord.

Hur länge sparar WaiterAid informationen?
Enligt GDPR måste organisationer veta hur länge de ska spara informationen. Så WaiterAid har bestämt sig för att spara personuppgifter i 18 månader efter det att en bokning har ägt rum. Detta innebär att vi kommer radera inaktiva användare efter 18 månader.

Hur kan man ändra eller lägga till i gästdatabasen?
Det kan göras direkt i WaiterAid. Notera att användare i WaiterAid tilldelas olika behörigheter, och att särskild behörighet behövs för att ändra i gästinformationen.

När och hur tas information bort?
Information kan raderas antingen av dig eller av oss. Gäster kan kontakta restaurangen direkt eller info@waiteraid.com för att få sina uppgifter borttagna.

Hur jobbar WaiterAid med back up och säkerhet för sin information?
WaiterAid har automatiserad backup som sker var fjärde timme.

Vad händer med den informationen som WaiterAid har lagrat om vi avslutar vårt samarbete?
Informationen raderas 12 månader efter kontraktet löper ut. Vi sparar den i 12 månader utifall att samarbetet skulle återupptas.

Vi behöver särskild medgivande för att kunna använda personuppgifter i marknadsföringssyfte. Kommer den funktionen finnas med när vi lägger till nya gäster?
Vi har redan tagit bort det automatiska medgivandet. Vi har påbörjat arbetet med att lägga till en tydlig funktion där kunden kan välja om den vill godkänna marknadskommunikation.

Måste vi uppdatera företagets integritetspolicy (Privacy Policy)?
Om ni redan har en integritetspolicy kommer ni behöva uppdatera den så att den är förenlig med GDPR. Om du inte redan har en måste du skapa en. Om du skickar vidare personuppgifter till en tredjepart som gör dina mailtuskick, måste du ange detta i din integritetspolicy.

Måste vi radera personuppgifterna om en gäst bokar av?
Nej det är inte nödvändigt.Om de har samtyckt till att få nyhetsbrev gäller detta medgivande även om de har bokat av.

Vi är en grupp restauranger, vad gäller för oss?
Ni får inte använda personuppgifter från en gäst som har bokat på en av restaurangerna för marknadsföring på en av de andra restaurangerna för det har de inte godkänt. Du får endast skicka marknadsföring om de godkänt det. Ju mer specifik du är i dina alternativ mot kunden, desto bättre. Vi rekommenderar att du skickar separat marknadsföring till de olika restaurangerna.

Är bekräftelsemail fortfarande OK att skicka?
Ja. De klassas som servicemail och faller inom ramen för vad som är godkänt enligt GDPR.

Får vi skicka uppföljningsmail efter besöket?
Ja. I WaiterAids integritetspolicy står det tydligt att vi inte bara använder personuppgifter för att genomföra bokningar, utan även för ”skicka information om produkter och tjänster, inklusive bokningsbekräftelser och uppdateringar, kvitton, teknisk information, säkerhetsvarningar, kundtjänst samt administrativa meddelanden.”

Måste vi radera vår marknadsföringsdatabas?
Vi rekommenderar att du ser över din databas, börja med att uppdatera dina godkännanden. För att vara på den säkra sidan vore det klokt att maila alla som engagerat sig i ditt företag och be dem uppdatera sina marknadsföringspreferenser. Välj alla som på något sätt engagerat sig med dina utskick, antingen öppnat eller klickat sig vidare från utskicken. Kontakta inte dem som redan avsagt sig kommunikation från dig.

WA följer bestämmelserna för när personuppgifter får samlas in. Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”, säger förordningen. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften.
Man måste också ha stöd i förordningen för att hantera personuppgifter. Det finns ett par olika ”rättsliga grunder” som företag kan använda. De viktigaste är:

SAMTYCKE
Ett annat alternativ är att be personen ifråga att få registrera uppgifter om honom/henne. Det kallas för att få personens samtycke. Ett samtycke är enligt förordningen ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”. På litet enklare svenska: man måste få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att man sedan ska kunna ge sitt godkännande.

INTRESSEAVVÄGNING
Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privat liv. Enligt personuppgiftslagen, som gäller i skrivande stund, kan företag i många fall använda intresseavvägning som grund för att hantera personuppgifter
som används vid marknadsföring och direktreklam. OBS! Man får inte skicka direktreklam till någon som sagt nej till det.

För att följa GDPR får en organisation endast lagra/bearbeta den data som är nödvändig för
-En laglig process (som att leverera en tjänst)
-Som någon har samtyckt till att ge. Detta är vad WaiterAid gör.

Delas informationen utanför WaiterAid?
WaiterAid delar inte information externt, men om en gäst bokar genom tredje part kan de ha godkänt tredje parts marknadsföringsvillkor. Det innebär att information kommer lagras även på deras system.

Hur länge lagras informationen?
Huvuddragen i GDPR är att du måste veta hur länge du har lagrat information, så WaiterAid har beslutat att lagra data i 18 månader. Det innebär att vi kommer radera prenumeranter efter 18 månaders inaktivitet. Vi hjälper dig att skapa din egen lagringspolicy. Beroende på typ av etablissemang kan företags policys komma att se annorlunda ut. Om en gäst gör en ny bokning kommer historiken på äldre bokningar att sparas. Däremot kan gästen be om att bli borttagen.

Kan man ändra/komplettera informationen?
Ja, via ändra gäst i WaiterAid. WaiterAid erbjuder ett rollbaserat behörighetssystem så du kan styra vilka anställda som kan uppdatera information.

När och hur raderas informationen?
Information kan raderas på begäran, antingen av dig eller av oss. Inaktiva gäster raderar efter 18 månader.

Vad använder WaiterAid för säkerthetskopieringsalternativ för lagrad information?
Vigör dagliga backuper för detta ändamål. Utöver dagliga backuper gör vi även backup en gång i veckan respektive en gång i månaden.

Vi behöver ett uttryckligt samtycke till användandet av personuppgifter i marknadsföringssyfte. Kommer det finnas en inställning för detta när man lägger till nya gäster?
Det stämmer att ni behöver ett uttryckligt godkännande för marknadsföring till enskilda personer. Vi har redan tagit bort de automatiska inställningarna från våra widgets som en del av att bli GDPR-kompatibel. Det kommer att finnas tydliga och separata opt-ins för WaiterAid och restauranger för samtycke. Detta arbete pågår och kommer att levereras under de kommande månaderna.

Måste vi uppdatera restaurangens integritetspolicy?
Om ni redan har en integritetspolicy måste den uppdateras för att bli förenlig med GDPR. Om ni inte redan har en privacy policy måste ni skapa en. Om ni vidarebefordrar gästinformation till tredje part för i e-postmarknadsföringssyfte måste denna information ingå i din privacy policy. WaiterAid har en standard privacy policy för restauranger som finns tillgänglig. Helst bör du länka privacy policyn från alla widgets du har, och i alla e-postmarknadsföringsmeddelanden du skickar.

Måste vi radera personuppgifterna om en gäst bokar av?
Om du hämtar e-post från systemet och en gäst avbryter behöver inte deras information tas bort från systemet. Om de samtyckt till marknadskommunikation kan du skicka reklam till dem även om de bokat av.

Vi är del av en restauranggrupp. Hur ska vi göra?
Om en gäst bokade en av restaurangerna i en grupp kan du inte använda deras uppgifter för att marknadsföra andra restauranger i gruppen. Detta eftersom de endast har godkänt marknadsföring från den restaurangen där de gjort sin bokning. Du får endast skicka marknadsföring till dem om de godkänt marknadsföring från restaurangen. Ju mer specifika du gör dina alternativ för gäster som ska godkänna reklam desto bättre. Vi rekommenderar dig att skilja din marknadsföring mellan restaurangerna. Under de närmsta månaderna kommer vi att skapa ett verktyg för att hjälpa dig med detta.

Går det fortfarande bra att skicka bekräftelsemail?
Bekräftelsemail är klassade som servicemail och dessa typer av mail går fortfarande bra att skicka enligt GDPR. Det ses som ett bekräftelsemail som du får efter att du har gjort ett köp online.

Får vi skicka uppföljning-på-besöket-mail?
Du får skicka ett mail till en gäst för att följa upp besöket på restaurangen. I Waiter Aids privacy policy beskrivs hur information används. Waiter Aid använder inte enbart personlig information för bordsbokning utan även för att skicka email till gäster med information om våra produkter och tjänster, inklusive bokningsbekräftelser och uppdateringar, kvitton, uppdateringar, tekniska meddelanden, säkerhetsvarningar samt support- och administrativa meddelanden.

Vi berättar också att vi kommer ”be om din feedback på de tjänster vi tillhandahåller” samt ”samla in data, inklusive utan begränsning från dig, i syfte att förbättra bokningstjänsten och ge feedback till restaurangen”.

Precis som bekräftelsemail klassificeras detta som ett servicemail och denna typ av bekräftelsemail är fortfarande okej att skicka enligt GDPR. Som restaurang måste du även inkludera information om uppföljning-på-besöket-mail i dina villkor.

Måste jag radera min marknadsföringsdatabas?
Vi rekommenderar att du börjar på nytt med din databas, men det behöver inte innebära att du helt och hållet tar bort den. Börja med att uppdatera dina opt-ins. En lågriskstrategi är

GDPR i allmänhet

Vad är GDPR?
EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Den kommer att stärka skyddet och rättigheterna för den som får sina personuppgifter behandlade. Förordningen börjar gälla den 25 maj 2018 och kallas Dataskyddsförordningen eller GDPR (General Data Protection Regulation). Förordningen kommer gälla direkt i alla EU:s medlemsländer och ersätter nationella regler, som till exempel svenska personuppgiftslagen PUL (personuppgiftslagen).

Vem berörs?
GDPR gäller för alla som behandlar personuppgifter, både när man bestämmer själv över behandlingen som personuppgiftsansvarig (restaurangen) och när man utför den på uppdrag av någon annan som personuppgiftsbiträde (WaiterAid).

Det mesta är oförändrat
Mycket i GDPR liknar de regler som finns i PUL. På samma sätt som idag får man behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning till exempel. De registrerade kommer även i fortsättningen att ha rätt till information om den personuppgiftsbehandling som sker – och den som behandlar personuppgifter måste ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på rätt sätt. Om det är frågan om hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.

Varför ändras lagstiftningen?
Ett av syftena med dataskyddsförordningen är just att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen. Andra syften med att ta fram en ny dataskyddsförordning har varit att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället.

Vad händer om jag inte följer GDPR?
Du kan behöva betala böter. Om du inte följer de här nya reglerna kan din verksamhet få böta ett mycket högt belopp. Avgifterna är olika beroende på hur stort lagbrottet är, men kan vara upp till 4% av din årliga globala omsättning eller 20 miljoner euro.

En nyhet i GDPR är kännbara sanktionsavgifter om man bryter mot reglerna. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.

Vad är det som förändras?

Samtycke
När du ber om kunders medgivande för att skicka mail från ditt företag måste du vara tydlig och specifik med vad det är de samtycker till. Du måste använda ett tydligt och vanligt språk som alla förstår. Samtycke till marknadskommunikation från din restaurang måste vara frivilligt och du får inte länge använda förklickade boxar eller automatiserade godkännanden.

Waiteraid har löst detta. I god tid innan GDPR träder i kraft kommer vi bokningswidget att göra det tydligare när gästen skall bekräfta sin bokning. Gästen kommer att godkänna villkor och sedan därutöver aktivt tala om huruvida de vill ha marknadsföring från restaurangen och/eller från BokaBord.

Användarvillkor
Villkor och integritetsmeddelanden på till exempel din hemsida får inte ha dolda automatiska medgivanden, måste vara lättlästa och får inte vara fulla av jargong eller komplicerade lagtekniska ord och formuleringar.

WaiterAid har i uppdaterat sina villkor så att det är tydligt hur vi samlar in uppgifter (vid bokning), när och hur de kan användas (för bekräftelser och kommunikation rörande restaurangbokning) och vilka möjligheter som finns att anmäla sig för nyhetsbrev (något som i framtiden aktiv handling från gästen.)

De registrerades rättigheter
Gäster (de registrerade) måste kunna spåra eventuella förändringar i den information som restaurangen har samlat in och lagrat. Kunder har också rätt att kräva en elektronisk kopia på informationen utan kostnad. Kunder kan närsomhelst och utan anledning dra tillbaka sitt samtycke och få sin information raderad.

WaiterAid har tjänster i admin som kommer att göra det lätt att hitta vilken information som finns sparad och samtidigt en möjlighet att radera information om gästen.

Globalt
Dataskyddsförordningen gäller för alla företag som samlar information om EU-medborgare oavsett de är inom EU för tiden vid insamlandet eller ej.

Personuppgifter
Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter. Till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i in spelningen. Ett bolagsnummer är ofta inte en personuppgift men är det om det handlar om en enskild näringsverksamhet. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kan ske inte är en personuppgift. Nytt med GDPR är att även IP-nummer klassas som personuppgift.

WaiterAid

test

NKs största förändring någonsin

Paddeltennis på taket och ökat fokus på lyxmärken och sportmärken under förändringen som genomförs under de kommande tre åren. Våra premium- och lyxsegment går bra, medan mellansegmentet har det betydligt tuffare. NK har redan många styrkor som vi ska utnyttja mer. En sådan är att vi har en byggnad i världsklass, säger Bo Wikare, tillförordnad vd på NK.

Läs mer på Veckans affärer

Meddelandefunktion

Nu har vi lanserat den första versionen av vårt meddelandesystem. Det första steget innebär att ni kan skicka meddelanden mellan användare i systemet. Dessutom kan ni skicka meddelanden mellan restauranger. Detta gäller för dem som har flera restauranger i en och samma grupp.

När det finns ett oläst meddelande kommer ikonen att bli mörkblå och ni ser en indikator i övre högra hörnet som visar att det finns olästa meddelanden.

Realtidsvy

För er som arbetar i bordsvyn har det från tid till annan kommit önskemål om att kunna se aktuell status i restaurangen. Vi har därför tagit fram en möjlighet att se hur det ser ut på borden “just nu”. Ikonen finner ni uppe till höger, ovanför bordsplanen.

När ni klickar på den ser ni alla bord som någon just nu sitter på. De visas då med samma färg som staplarna i överblicken. Sedan finns det en indikator-symbol:

 

Gästundersökning

Nu kan ni skicka ut gästundersökningar till dem som har besökt er restaurang. Dels går det att skicka en undersökning med frågor som ni själva väljer ut. Dels kan ni skicka NPS-undersökning (Net Promoter Score) där gäster ger besöket/restaurangen ett betyg mellan 1-10. De får ett mail med 10 knappar. De trycker på valt betyg och sedan är allt klart. Ni kan se resultatet av undersökningen i admin.

NPS tas fram genom att man subtraherar andelen som ger betyget 9-10 (ambassadörerna) från andelen som har gett betyget 1-6 (kritikerna). Ni kan sedan mäta hur detta mått ändras över tid.

Ni finner båda dessa under “Kundundersökningar” i avdelningen “kommunikation” i admin.

 

Årets Affärskrog Tak/Unn

Dagens industri och Di Weekend har under året besökt ett stort antal av Sveriges bästa restauranger. Årets Affärskrog 2017 är Frida Ronges restauranger Tak & Unn. 

Frida Ronge öppnade huvudrestaurangen Tak i slutet av mars och den lilla exklusiva minirestaurangen Unn i augusti. Restaurangerna ligger högt belägna vid Brunkebergstorg med utsikt över Stockholm. Här serveras japaninspirerad mat sju dagar i veckan.

Behovet av en affärskrog i området är stort. Restaurangerna kan tillsammans ta emot cirka 350 gäster på en kväll. Frida Ronge är en välkänd krögare och kock med flera fina meriter så som  exempelvis Årets Rising Star av White Guide 2013, Karin Franssons Mentorpris 2014, vinnare av Nöjesguidens Göteborgspris med Restaurang vRÅ 2013 samt silvermedalj i världsmästerskapet Seven Sushi Samurai i London.