De impact van GDPR op CRM: (1) Het Recht op Vergetelheid en uw Rapportages

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening vervangt de oude Wet op Bescherming van Persoonsgegevens, en wordt ook vaak aangeduid met de Engelse term General Data Protection Regulation (GDPR).

Helaas beseffen nog maar weinig bedrijven de grote impact die het voldoen aan deze nieuwe verordening heeft op hun processen en systemen. In de komende weken zal ik in deze blog een aantal voorbeelden hiervan nader uitwerken. In deze eerste aflevering belicht ik graag de gevolgen van het ‘Recht op Vergetelheid’ op de omzetrapportages en op de inrichting van de CRM systemen.

De term ‘vergetelheid’ was in de Nederlandse taal al hard op weg om zichzelf eer aan te doen, maar wordt door de AVG nu weer volop in de belangstelling geplaatst. Het behelst hier het recht van een persoon om van een bedrijf/instelling te eisen dat zijn persoonsgegevens uit de administratieve systemen verwijderd worden. En waar er in de oude Wet op de Bescherming Persoonsgegevens nog sprake was van enkele voorwaarden waaraan het verzoek tot verwijdering van gegevens moest voldoen, zijn deze in de nieuwe AVG volledig losgelaten. Dit betekent dat iedereen altijd zonder opgaaf van redenen mag eisen dat zijn gegevens uit de administratieve systemen verwijderd kunnen worden.

En wie nu denkt: “Dat is geen probleem, want ik kan in ons CRM systeem met één druk op de knop een persoonsrecord wissen”, vergist zich. Want ten eerste geldt bij de meeste CRM systemen dat die ene druk op de knop weliswaar zorgt dat het record standaard niet meer zichtbaar is; van fysieke verwijdering uit de database is meestal nog geen sprake. De nieuwe regelgeving schrijft het totaal verwijderen van de gegevens echter wel voor.

Mar goed, dit technische probleem valt nog wel relatief simpel op te lossen. Wat echter veel ingewikkelder is, is dat aan het persoonsrecord in de meeste systemen van alles gekoppeld is. Denk aan uitgebrachte offertes, orders, gespreksverslagen, etc. En dus loop je de kans dat je met die ene druk op de knop om het persoonsrecord te verwijderen ook bijvoorbeeld omzetgegevens weggooit, waardoor er geen aansluiting meer bestaat tussen de (historische) omzetrapportages en de onderliggende gegevens. De accountant zal hier niet blij mee zijn. En ook andere rapportages, bijvoorbeeld over de hoeveelheid telefoontjes die uw marketeers gepleegd hebben, zullen niet meer adequaat zijn.

Voor dit probleem zijn diverse oplossingen mogelijk. Zelf ben ik groot voorstander van het anonimiseren van de persoonsrecords binnen het CRM systeem. Deze records, waar zaken als offertes en orders aan gekoppeld zijn, kunnen dan altijd blijven bestaan in het CRM systeem. De AVG/GDPR-gevoelige kenmerken van een persoon worden dan op een apart, gekoppeld record weggeschreven. Deze oplossing biedt ook grote voordelen ten aanzien van het intern kunnen afschermen van AVG/GDPA gevoelige gegevens.

Technisch is de hierboven beschreven oplossing in de meeste grotere CRM systemen relatief eenvoudig te implementeren. Naast het uitvoeren van de benodigde configuratie is een dataconversie van de oude naar de nieuwe inrichting wel noodzakelijk. In veel kleinere of minder flexibele CRM systemen valt de voornoemde oplossing minder goed te implementeren. Dan is een procedurele oplossing vereist.

CRMHOW.COM ondersteunt organisaties met AVG/GDPR compliency issues. Neem voor meer informatie contact op met marc@crmhow.com