MTR Legal Rechtsanwälte Logo
Header
Header

Legal Lexikon

CRM-system

CRM-system

Definition och klassificering

Ett CRM-system (Customer Relationship Management-system) är en mjukvaruapplikation som hjälper företag att hantera och underhålla relationer till klienter samt andra kontaktsparter. Begreppet CRM står för ”Customer Relationship Management”, vilket på svenska betyder ”kundrelationshantering”. CRM-system erbjuder en rad funktioner för att registrera, organisera, utvärdera och tillgängliggöra information som uppstår i samband med uppdrags- och byråarbete. De bidrar till att kontakter hanteras strukturerat, att kommunikation dokumenteras på ett spårbart sätt och att affärsprocesser effektiviseras.

Till skillnad från vanliga adressdatabaser samlar CRM-system många verktyg för central styrning av klient- och projektrelationer samt deras historik. Därför är de oumbärliga inom många branscher, även inom advokatbyråers vardag.

Roll i byråns vardag: Betydelse och typiska användningsområden

I byråns vardag stödjer ett CRM-system den strukturerade hanteringen av klientdata, kommunikationshistorik och kontaktförfrågningar. Det fungerar som en central informationskälla för medarbetare och möjliggör snabb tillgång till aktuell information om pågående och avslutade uppdrag.

Typiska användningsområden inkluderar:

  • Underhåll av klientdata: Enhetlig registrering, hantering och uppdatering av kontaktuppgifter, inklusive adress, telefonnummer, e-postadress och annan relevant information.
  • Kommunikationshistorik: Fullständig dokumentation av e-post, telefonsamtal, möten eller skriftlig korrespondens med klienter och affärspartners.
  • Hantering av tidsfrister och uppgifter: Hantering av tidsfrister, påminnelser och uppgifter som kan kopplas till specifika ärenden, personer eller team.
  • Uppdragsanskaffning och marknadsföring: Stöd vid riktad kontakt av potentiella klienter, genomförande av kampanjer eller utskick av cirkulärbrev.
  • Rapporter och utvärderingar: Skapande av översikter, statistik eller rapporter för att övervaka arbetsprocesser och analysera uppdragsstrukturer.

Processer, förlopp och metoder relaterade till CRM-system

CRM-systemet digitaliserar olika processer och arbetsflöden. Centrala metoder är:

  • Central datainsamling: All relevant data och dokument lagras i en gemensam applikation och är alltid tillgängliga för behöriga medarbetare.
  • Stöd för arbetsflöden: Uppgifter, tider och deadlines genereras automatiskt, tilldelas och påminns vid behov till ansvariga personer.
  • Automatiserad kommunikation: Standardbrev, påminnelser eller statusrapporter kan skickas direkt från systemet till klienter eller interna teammedlemmar.
  • Uppdragshistorik: Alla tidigare steg, åtgärder och kommunikationsaktiviteter gällande respektive uppdrag sparas i systemet och kan när som helst granskas.
  • Integrering av gränssnitt: Moderna CRM-system kan kopplas till andra byråprogram, till exempel ärendehantering, tidrapportering eller fakturering.

Användningen av ett CRM-system främjar samarbetet mellan alla involverade genom transparens och spårbarhet.

Ramar och standarder

Införande och användning av ett CRM-system kräver vissa organisatoriska och tekniska förutsättningar samt efterlevnad av standarder:

  • Behörigheter och dataskydd: Endast behöriga personer får åtkomst till känsliga data. Efterlevnad av dataskyddslagstiftning, såsom dataskyddsförordningen (GDPR), är absolut nödvändig.
  • Reglering av behörigheter: Noggrann tilldelning av åtkomsträttigheter styr vem som kan se eller redigera vilken information.
  • Regelbunden datavård: Löpande och noggrann hantering av data i systemet är avgörande för att säkerställa aktualitet och korrekthet.
  • Teknisk infrastruktur: Användning av CRM-system förutsätter en lämplig teknisk infrastruktur. Det inkluderar enheter, kraftfulla nätverk samt regelbunden underhåll och uppdatering av CRM-programvaran.
  • Utbildning och dokumentation: Medarbetare bör utbildas så att de kan använda CRM-systemet effektivt och säkert. Tydliga instruktioner och enhetliga arbetssätt är lämpliga.
  • Arkiveringsskyldigheter: Vid behov måste viss information och dokument arkiveras enligt lagstadgade krav, vilket kan stödjas av CRM-systemet.

Praktik: Hantering av CRM-systemet i arbetsvardagen

I byråns vardag använder medarbetare regelbundet CRM-systemet – exempelvis för att söka aktuella kontaktuppgifter, registrera dokumentation eller följa uppdragsstatus. Nya ärenden läggs normalt in direkt i systemet, inklusive all relevant data och dokument. Berörda personer registrerar anteckningar, lägger in minnesanteckningar från samtal och underhåller inkommande och utgående korrespondens.

Teammedlemmar koordinerar sitt arbete via gemensamma att-göra-listor och håller sig informerade om framsteg. Tidsfrister och påminnelser hanteras och planeras i systemet så att inga viktiga datum missas. Samarbete med andra avdelningar eller externa tjänsteleverantörer kan också organiseras via CRM-systemet.

Möjligheter och utmaningar i byråns vardag

Möjligheter:

  • Ökad effektivitet: Central datalagring och automatiserade processer leder till minskad administrativ arbetsbörda och bättre översikt över pågående uppdrag.
  • Förbättrat samarbete: Informationen är enkelt tillgänglig för alla behöriga medarbetare, vilket underlättar lagarbetet.
  • Transparens: Spårbar dokumentation av alla kontakter och aktiviteter ökar transparensen gentemot klienter och inom teamet.
  • Bättre tidsfristshantering: Automatiska påminnelser och uppgifter säkerställer att viktiga ärenden hanteras i tid.

Utmaningar:

  • Initial arbetsinsats: Införandet av ett CRM-system kan vara förknippat med betydande organisatorisk och teknisk ansträngning.
  • Utbildningsbehov: För att dra nytta av systemets styrkor krävs grundlig introduktion och regelbunden utbildning för medarbetarna.
  • Dataskyddskrav: Hanteringen av känsliga uppgifter kräver särskild uppmärksamhet kring dataskydd och datasäkerhet.
  • Aktualitet och noggrannhet: Ofullständiga eller inkorrekta uppgifter kan leda till fel och missförstånd.

Ett CRM-system kan därmed ge ett viktigt bidrag till en modern, klientorienterad byråorganisation om det väljs, införs och används på rätt sätt.

Vanliga frågor (FAQ)

Vad är ett CRM-system och vad används det till på en advokatbyrå? Ett CRM-system är ett program för hantering av kontakter, klientinformation och kommunikationshistorik. Det stödjer strukturerad organisering av ärenden och bidrar till effektiva arbetsflöden.Vem använder vanligtvis CRM-systemet i byråns vardag? Alla medarbetare som underhåller klientkontakter, koordinerar tider eller dokumenterar arbetsframsteg använder CRM-systemet. Det gäller vanligtvis handläggare, nyanställda, administrativ personal och chefer.Vilka fördelar ger användningen av ett CRM-system? Fördelarna omfattar tidsbesparing genom central datalagring, förbättrat samarbete i teamet, automatiserad övervakning av tidsfrister samt högre transparens gentemot klienter.Krävs det särskilda förkunskaper för att arbeta med ett CRM-system? Grundläggande datorvana är önskvärd, men användningen av CRM-systemet lärs i regel ut genom utbildningar eller handledning i arbetsvardagen.Hur garanteras säkerheten för känsliga uppgifter i CRM-systemet? Skydd av känsliga uppgifter säkerställs genom tilldelning av åtkomsträttigheter, krypterad lagring och konsekvent efterlevnad av dataskyddsbestämmelser.Hur aktuella måste uppgifterna i CRM-systemet hållas? Aktualiteten är avgörande för systemets funktionalitet. Därför bör alla ändringar, som nya kontaktuppgifter eller avslutade uppgifter, registreras utan dröjsmål.Vad händer om CRM-systemet inte fungerar? Byråer vidtar normalt åtgärder som säkerhetskopiering och nödfallsplaner för att snabbt kunna agera vid tekniska störningar och återställa viktig information.

Vanliga frågor

Vilka dataskyddskrav måste uppfyllas vid användning av ett CRM-system?

Vid användning av ett CRM-system måste alla krav från dataskyddsförordningen (GDPR) samt kompletterande nationella dataskyddsbestämmelser beaktas. Detta inkluderar särskilt kravet på rättslig grund för databehandling: Personuppgifter om klienter och kontakter får endast behandlas med uttryckligt samtycke från den berörda personen, för fullgörande av avtal eller vid berättigat intresse. CRM-systemet ska tekniskt och organisatoriskt utformas så att konfidentialitet, integritet och tillgänglighet för personuppgifter säkerställs (Art. 32 GDPR: ”teknikens ståndpunkt”). Dessutom krävs omfattande dokumentation av behandlingsprocesserna, inklusive ett register över behandlingsaktiviteter (Art. 30 GDPR). Det måste även säkerställas att de registrerade har rätt till tillgång, rättelse, radering (”rätten att bli bortglömd”), begränsning av behandling och återkallelse. Slutligen måste det kontrolleras om en konsekvensbedömning av dataskydd (Art. 35 GDPR) krävs – särskilt när omfattande behandling av känsliga uppgifter sker.

Måste ett avtal om personuppgiftsbehandling (biträdesavtal) tecknas om ett externt CRM-system används?

Ja, om CRM-systemet tillhandahålls av en extern leverantör (molnlösning eller IT-tjänsteleverantör) och personuppgifter behandlas på uppdrag, föreskriver Art. 28 GDPR att ett personuppgiftsbiträdesavtal (biträdesavtal) ska upprättas. Detta avtal måste reglera vilka uppgifter som behandlas, för vilka ändamål och vilka tekniska samt organisatoriska åtgärder som vidtas för att skydda uppgifterna. Dessutom måste CRM-leverantören garantera efterlevnad av GDPR, lyda under instruktioner från ansvarig och får inte använda underleverantörer eller överföra uppgifter till tredje part utan samtycke. Allmänna villkor räcker inte – biträdesavtalet måste vara separat och GDPR-anpassat. Det är också tillrådligt att regelbundet kontrollera leverantörens tekniska utrustning och säkerhetsåtgärder.

Vilka skyldigheter gäller angående lagring och radering av uppgifter i CRM-systemet?

Lagring av personuppgifter i CRM-systemet får bara ske så länge som det är nödvändigt för respektive ändamål (till exempel kundhantering, avtalshantering). När detta ändamål inte längre föreligger, ska uppgifterna enligt Art. 17 GDPR omedelbart raderas, såvida inte lagstadgade bevarandekrav talar emot (t.ex. skatterättsliga bestämmelser enligt § 257 HGB, § 147 AO). CRM-systemet måste därför kunna hantera raderings- och spärrrutiner, inklusive loggning av alla raderingar. Företagare är skyldiga att regelbundet granska och rensa sin databas i CRM. En automatisk raderingsrutin samt möjligheten att radera enskilda poster selektivt ska också finnas.

Får personuppgifter överföras utomlands om CRM-systemet är hostat utanför EU?

Överföring av personuppgifter till så kallade tredjeländer utanför Europeiska ekonomiska samarbetsområdet (EES) – till exempel om servern till CRM-leverantören finns i USA – är i grunden möjligt men omfattas av strikta lagkrav enligt GDPR (särskilt Art. 44 ff. GDPR). Det krävs en adekvat skyddsnivå i mottagarlandet. Detta kan säkerställas genom EU-kommissionens adekvansbeslut, standardavtalsklausuler eller andra lämpliga garantier. För USA krävs särskild försiktighet efter upphävandet av Privacy-Shield-avtalet – nya avtalslösningar och ytterligare skyddsåtgärder måste nu införas. Ansvarig måste dessutom informera de registrerade och göra riskerna med en dataöverföring tydliga.

Vilken rapporterings- och informationsplikt gäller vid dataintrång i CRM-systemet?

Om det sker ett intrång i skyddet av personuppgifter i CRM-systemet – exempelvis på grund av obehörig åtkomst, förlust eller manipulering – måste detta enligt Art. 33 GDPR utan dröjsmål (vanligtvis inom 72 timmar) anmälas till ansvarig tillsynsmyndighet. Om incidenten sannolikt medför hög risk för de registrerades rättigheter och friheter, ska dessa också informeras utan onödigt dröjsmål (Art. 34 GDPR). Anmälan ska beskriva omfattning och typ av incidenten, specificera de drabbade uppgifterna, bedöma den potentiella skadan och dokumentera vidtagna eller planerade åtgärder. Ett fungerande internt ledningssystem för dataskyddsincidenter ska därför finnas.

Måste interna åtkomsträttigheter i CRM-system regleras juridiskt?

Interna åtkomsträttigheter i CRM-systemet styrs av principerna om dataminimering och ”need-to-know” enligt Art. 5 GDPR. Det innebär att varje medarbetare endast får tillgång till de kunduppgifter som behövs för arbetsuppgifterna. Behörigheter ska vara dokumenterade och ses över regelbundet. Idealiskt implementeras rollbaserad åtkomstkontroll (Role-Based Access Control, RBAC), där rättigheter tilldelas och hanteras centralt. Vid personalavslut eller intern omplacering ska behörigheter omedelbart anpassas eller tas bort. Arbetsgivaren måste reglera dessa processer i en IT-policy eller intern dataskyddspolicy.

Krävs en dataskyddskonsekvensbedömning (DPIA) vid användning av ett CRM-system?

En dataskyddskonsekvensbedömning enligt Art. 35 GDPR är obligatorisk särskilt när användningen av CRM-systemet innebär omfattande behandling av känsliga uppgifter (t.ex. hälsouppgifter, politiska åsikter) eller systematisk övervakning eller profilering av personer. Syftet med DPIA är att i ett tidigt skede identifiera risker för de registrerades rättigheter och friheter samt att fastställa lämpliga motåtgärder. DPIA omfattar en systematisk beskrivning av behandlingen, en bedömning av nödvändighet och proportionalitet, en riskbedömning samt redovisning av planerade åtgärder. Resultatet ska dokumenteras och vid behov stämmas av med tillsynsmyndigheten.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen