Uw CRM systeem AVG ready?

De komst van de AVG heeft implicaties die specifiek in de CRM/marketing omgeving van toepassing zijn, omdat hier de gegevens over personen (bijvoorbeeld klanten, prospects, partners) vastgelegd worden. De regels voor het verwerken en verzamelen van persoonsgegevens worden aangescherpt door de komst van de AVG. Dit betekent dat CRM systemen opnieuw ingericht moeten worden met oog op deze nieuwe wetgeving.

Is uw CRM systeem AVG ready?
De regels voor het verwerken en verzamelen van persoonsgegevens worden aangescherpt door de AVG omdat hier de gegevens over personen (bv klanten, prospects, partners) vastgelegd worden. De komst van de AVG heeft dan ook implicaties die specifiek in de CRM omgeving van toepassing zijn. Dit kan betekenen dat CRM systemen en/of processen opnieuw ingericht moeten worden met oog op deze nieuwe wetgeving:

CRM implementatie

CRM implementatie Zinnovation 575pxOm de gevolgen van de AVG in het CRM domein goed door te voeren, is het van belang om te bepalen wat de impact van het systeem zal zijn op de privacy van de betrokkenen en op de organisatie. In feite zou dat onderdeel moeten zijn van de procesbeschrijvingen in de CRM Blauwdruk.

In het kader van output vanuit CRM nog een ander aandachtspunt, het zogenaamde ‘Transparantiebeginsel’. Conform dit transparantiebeginsel moeten alle verwerkingen in het CRM systeem gedocumenteerd worden in een ‘verwerkingenregister’. Laat zien wat je doet en doe geen andere dingen dan dat er gezegd wordt. Dat kan uiteraard het beste als de onderliggende processen voor de CRM implementatie goed vastgesteld zijn en de vastlegging vanuit CRM beheer ook worden gemonitord.

De verwerking van bijzondere persoonsgegevens vraagt extra aandacht, want voor de verwerking hiervan is uitdrukkelijk toestemming nodig. Deze extra aandacht wordt gevraagd, omdat deze gegevens de privacy van een persoon erg kunnen beïnvloeden. Met bijzondere gegevens wordt onder andere ras, gezondheid, seksuele leven, Burger Service Nummer, godsdienst, strafrechtelijk verleden en lidmaatschap vereniging bedoeld. Genetische en biometrische data vallen ook onder deze bijzondere persoonsgegevens.

Het is dan ook van belang om vast te stellen welke informatie echt noodzakelijk is en dus vastgelegd mag worden. Het ’voor later’ opbouwen van een database terwijl de personen in deze database daar geen toestemming voor hebben gegeven en/of niet is aangegeven met welk doel de informatie wordt vastgelegd, is niet toegestaan.

Training en gebruikersbegeleiding

De CRM gebruikers moeten bekend zijn met de consequenties van de nieuwe wetgeving en wat dit betekent voor het gebruik van de CRM tools. En uiteraard moet de werkwijze die voor het handhaven en toepassen van de AVG noodzakelijk zijn, in de CRM processen doorgevoerd worden. Denk hierbij bv aan het opbouwen van het klantprofiel of het verkrijgen van de opt-in toestemming.

Schaduwbestanden zoals Excel bestanden in een eigen mapje, moeten ontmoedigd worden omdat het daarmee erg lastig (zo niet onmogelijk wordt) om te voldoen aan de vereisten van de AVG. Denk hierbij aan de eerder genoemde privacy rechten. En dat betekent in feite dat het niet geaccepteerd zou moeten worden binnen een organisatie die een CRM applicatie op de juiste wijze heeft geïmplementeerd, dat medewerkers in bv Excel hun eigen lijstjes met namen en data blijven bijhouden. Het is noodzakelijk om dat (inclusief de consequenties voor de organisatie) in de begeleiding van de gebruikers duidelijk te maken.

CRM autorisatie

In de meeste CRM implementaties hebben niet alle gebruikers toegang tot alle functionaliteiten en data, dat is afhankelijk van de inhoud en verantwoordelijkheden van de werkzaamheden binnen de organisatie. Hiervoor kan gebruik gemaakt worden van autorisatietabellen en autorisatiebeheer binnen het CRM domein. Het is dan ook verstandig om een autorisatiedocument op te stellen waarin staat beschreven welke toegang tot welk type informatie aan welke medewerkers is verleend.

CRM beheer

Het beheren van klantdata en het CRM systeem is van extreem groot belang. Dat is niet veranderd en voorwaarde om een succesvolle CRM implementatie te realiseren. De vertaalslag van de privacy aspecten die uit de AVG naar voren komen, moeten dan in feite in de CRM beheerorganisatie, meegenomen worden.

In de gebruikte CRM systemen mogen niet meer gegevens worden verwerkt en bewaard dan strikt noodzakelijk. Daarnaast mogen gegevens niet langer worden bewaard dan nodig. De bewaartermijnen moeten vastgelegd worden en hier moet de organisatie zich dan ook aan houden. Ook bewaartermijnen zouden onderdeel van het CRM beheer moeten zijn. Het CRM systeem moet het mogelijk maken dat per categorie data een eigen bewaartermijn ingesteld kan worden. In de beheerafspraken moeten deze beheertermijnen dan ook gecontroleerd en behartigd worden.

Toezichthouder

Organisaties met meerdere vestigingen binnen Europa hebben met de komst van de AVG een toezichthouder van het land waar de hoofdvestiging is gevestigd. De Algemene Verordening Gegevensbescherming (AVG) gaat uit van de zogeheten onestopshop-regel. Onestopshop houdt in dat organisaties die in meerdere Europese landen actief zijn en daarom grensoverschrijdende gegevensverwerkingen uitvoeren, nog maar met één privacytoezichthouder zaken hoeven te doen. Dit wordt de ‘leidende toezichthouder’ genoemd (lead supervisory authority). Deze toezichthouder moet dan ook toezien op het naleven van de wet, inclusief het geven van boetes bij overtredingen. Het is dan ook aan te bevelen dat het toepassen en het beheer van de privacy wetgeving op het CRM domein door deze lead supervisory authority wordt aangestuurd.

Als een land buiten Europa aan bijvoorbeeld een zoekmachine of cloudprovider vraagt om persoonsgegevens uit de EU te verstrekken, dan moet de aangezochte partij hiervoor eerst toestemming vragen bij zijn nationale toezichthouder.
Bij sommige Cloud CRM software oplossingen wordt de data in de VS vastgelegd. Het zogenaamd Privacy Shield dat in de VS van toepassing is, is door de EC gecertificeerd en biedt de nodige waarborg voor gebruik. Uiteraard kunnen klanten gewoon eisen dat de data binnen de EU blijft. Het is dan aan de leverancier om deze vraag te beantwoorden en eventueel op te lossen.

Privacy Management training

Om te voorkomen dat je hoge boetes krijgt omdat je organisatie en/of je CRM domein niet op tijd voldoet aan de eisen van de AVG, is het verstandig om een Privacy Management training te volgen tot privacy manager of tot privacy professional en leidt tot het CIPM examen (Certified Information Privacy Manager).

In deze training wordt o.a. het Privacy Maturity Model behandeld, waarmee je een beargumenteerde checklist opstelt met afgestemde in te zetten middelen en uren om voor een bepaalde datum (bv. 25 mei 2018) compliant te worden (en daarna te blijven). De CIPM trainingen worden verzorgd door opgeleide professionals die lid zijn van de IAPP (International Association of Privacy Professionals)

Het is een logische conclusie dat organisaties door de ophanden zijnde strengere regelgeving aandacht moeten besteden aan hun CRM omgeving, hun marketing, de communicatie met de doelgroepen en aan het CRM beheer. Organisaties die op dit moment reeds een CRM oplossing gebruiken, doen er verstandig aan om de komende periode een scan door te voeren die de benodigde aanpassing in processen en dataopslag duidelijk maakt, zodat 25 mei met opgeheven hoofd tegemoet kan worden gezien.

Download ons whitepaper voor meer informatie over deze nieuwe privacywetgeving op het gebied van uw CRM systeem voor AVG!

 

 

 

Volg ons!

Klik hieronder en blijf geïnformeerd!