De Impact van GDPR op CRM (2): Datadiefstal Voorkomen

Veel bedrijven zijn volop bezig met het implementeren van maatregelen die er toe moeten leiden dat hun processen en systemen compliant zijn met de General Data Protection Regulation (GDPR). Dit moet ook wel, want als zij per 25 mei 2018 nog niet voldoen aan deze nieuwe Europese wetgeving, lopen zij het risico op flinke boetes.

Eén van de zaken waar hierbij veelal de licht over gedacht wordt, is het uitsluiten van de mogelijkheid dat persoonlijke gegevens uit het CRM systeem worden ontvreemd. Als het gaat om beveiliging ligt de focus immers meestal op het beschermen van het netwerk tegen hackers. Het feit dat ook de eigen medewerkers potentiële gegevensdieven kunnen zijn, wordt vaak over het hoofd gezien. En nog afgezien van het feit dat het voldoen aan de GDPR regelgeving hierdoor onmogelijk is, wordt het medewerkers vaak wel heel erg makkelijk gemaakt om voor zichzelf te beginnen op basis van het door uw bedrijf in jaren zorgvuldig en voor veel geld opgebouwd klantenbestand.

datatheft

Het is dus zaak om alle manieren waarop data uit het CRM systeem benaderd kunnen worden goed onder de loep te nemen. Het alleen instellen van een beveiligingsrol, die bepaalt wie welke gegevens via de user interface van het systeem mag inzien en bewerken, is niet voldoende. Er moet ook gekeken worden naar wie mag printen en wie er gebruik mag maken van de mail merge functies. En wat dacht u van die ene makkelijke knop, waarmee in één keer de hele CRM database in Excel gedumpt kan worden? Of van de opties om via een externe rapportage tool rapporten met CRM data te kunnen genereren? Het zijn allemaal manieren om via de API gegevens uit het CRM systeem te benaderen, en dus ook allemaal zaken die in het kader van de GDPR grondig bezien moeten worden.

CRMHOW.COM helpt bedrijven om te zorgen dat zij GDPR compliant zijn. Voor meer informatie kunt u contact opnemen met marc@crmhow.com

 

De impact van GDPR op CRM: (1) Het Recht op Vergetelheid en uw Rapportages

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening vervangt de oude Wet op Bescherming van Persoonsgegevens, en wordt ook vaak aangeduid met de Engelse term General Data Protection Regulation (GDPR).

Helaas beseffen nog maar weinig bedrijven de grote impact die het voldoen aan deze nieuwe verordening heeft op hun processen en systemen. In de komende weken zal ik in deze blog een aantal voorbeelden hiervan nader uitwerken. In deze eerste aflevering belicht ik graag de gevolgen van het ‘Recht op Vergetelheid’ op de omzetrapportages en op de inrichting van de CRM systemen.

De term ‘vergetelheid’ was in de Nederlandse taal al hard op weg om zichzelf eer aan te doen, maar wordt door de AVG nu weer volop in de belangstelling geplaatst. Het behelst hier het recht van een persoon om van een bedrijf/instelling te eisen dat zijn persoonsgegevens uit de administratieve systemen verwijderd worden. En waar er in de oude Wet op de Bescherming Persoonsgegevens nog sprake was van enkele voorwaarden waaraan het verzoek tot verwijdering van gegevens moest voldoen, zijn deze in de nieuwe AVG volledig losgelaten. Dit betekent dat iedereen altijd zonder opgaaf van redenen mag eisen dat zijn gegevens uit de administratieve systemen verwijderd kunnen worden.

delete_button

En wie nu denkt: “Dat is geen probleem, want ik kan in ons CRM systeem met één druk op de knop een persoonsrecord wissen”, vergist zich. Want ten eerste geldt bij de meeste CRM systemen dat die ene druk op de knop weliswaar zorgt dat het record standaard niet meer zichtbaar is; van fysieke verwijdering uit de database is meestal nog geen sprake. De nieuwe regelgeving schrijft het totaal verwijderen van de gegevens echter wel voor.

Mar goed, dit technische probleem valt nog wel relatief simpel op te lossen. Wat echter veel ingewikkelder is, is dat aan het persoonsrecord in de meeste systemen van alles gekoppeld is. Denk aan uitgebrachte offertes, orders, gespreksverslagen, etc. En dus loop je de kans dat je met die ene druk op de knop om het persoonsrecord te verwijderen ook bijvoorbeeld omzetgegevens weggooit, waardoor er geen aansluiting meer bestaat tussen de (historische) omzetrapportages en de onderliggende gegevens. De accountant zal hier niet blij mee zijn. En ook andere rapportages, bijvoorbeeld over de hoeveelheid telefoontjes die uw marketeers gepleegd hebben, zullen niet meer adequaat zijn.

Voor dit probleem zijn diverse oplossingen mogelijk. Zelf ben ik groot voorstander van het anonimiseren van de persoonsrecords binnen het CRM systeem. Deze records, waar zaken als offertes en orders aan gekoppeld zijn, kunnen dan altijd blijven bestaan in het CRM systeem. De AVG/GDPR-gevoelige kenmerken van een persoon worden dan op een apart, gekoppeld record weggeschreven. Deze oplossing biedt ook grote voordelen ten aanzien van het intern kunnen afschermen van AVG/GDPA gevoelige gegevens.

Technisch is de hierboven beschreven oplossing in de meeste grotere CRM systemen relatief eenvoudig te implementeren. Naast het uitvoeren van de benodigde configuratie is een dataconversie van de oude naar de nieuwe inrichting wel noodzakelijk. In veel kleinere of minder flexibele CRM systemen valt de voornoemde oplossing minder goed te implementeren. Dan is een procedurele oplossing vereist.

CRMHOW.COM ondersteunt organisaties met AVG/GDPR compliency issues. Neem voor meer informatie contact op met marc@crmhow.com