De Impact van GDPR op CRM (3): Laat Je Niet Gek Maken!

Recent zijn veel bedrijven en instellingen zich een hoedje geschrokken toen zij zich realiseerden hoe dichtbij de GDPR compliance deadline van mei 2018 inmiddels is. De Europese wetgeving is immers onverschrokken en de mogelijke gevolgen voor het niet compliant zijn met de nieuwe privacy regels voor het opslaan van persoonsgegevens kunnen aanzienlijk zijn. Meer dan aanzienlijk zelfs: er kunnen boetes opgelegd worden tot € 20 miljoen, of 4% van de bruto jaaromzet! Dat is nogal wat. En als je je als bedrijf dan verdiept in wat je er allemaal voor moet doen om daadwerkelijk aan alle bepalingen van de nieuwe regulering te voldoen, schrik je helemaal. Maar de vraag is of dat echt nodig is.

Ten eerste is het goed om het belang van goede privacy wetgeving nogmaals te onderschrijven. Niemand wil immers dat zijn of haar persoonlijke gegevens voor andere doelen gebruikt worden dan die waarvoor zij zijn verstrekt. En helaas heeft de geschiedenis herhaaldelijk geleerd dat niet goed beschermde persoonsregistratie tot heel wat ergere zaken kan leiden dan een vervelend telefoontje van een marketeer rond etenstijd… Dat de wet er komt en dat individuen zoals u en ik meer rechten krijgen om zelf te bepalen wat er met hun gegevens gebeurt, is op zichzelf dus een goede zaak. En het zich daarvoor inzetten en het actief meewerken aan het privacy-proof maken van de gegevensregistratie straalt positief af op het imago van een bedrijf.

Maar… voor veel bedrijven betekent dat er veel moet gebeuren. Databases en systemen moeten wellicht worden aangepast, processen moeten worden herzien en de wijze waarop gegevens gevraagd en ontsloten worden is mogelijk ook aan verandering onderhavig. Voor dergelijke complexe operaties is tijd nodig; zeker om de zorgvuldigheid te kunnen waarborgen.

De instantie die straks de boetes voor het niet-compliant zijn mag uitkeren, de Autoriteit Persoonsgegevens, zal bij het uitdelen en vaststellen van de hoogte van een boete zeker rekening houden met de intentie van bedrijven die al een verandering/verbetering ten aanzien van de persoonsregistratieprocessen hebben ingezet. En ook zullen zij niet meteen op 1 juni bij alle Nederlandse bedrijven op de stoep staan om de processen door te lichten. Met andere woorden: voldoen aan de wetgeving is belangrijk en draagt ook bij aan het positieve imago van uw organisatie, maar laat u niet gek maken! Stel u op de hoogte van de nieuwe wet- en regelgeving, inventariseer de onderdelen/processen in uw organisatie die hier nu niet aan voldoen, en stel een veranderplan op. En dat plan mag best doorlopen na mei 2018, want dat is gewoon reëel.

CRMHOW.COM helpt Nederlandse bedrijven en instellingen met het opstellen van een GDPR Compliancy Delta Document.

De Impact van GDPR op CRM (2): Datadiefstal Voorkomen

Veel bedrijven zijn volop bezig met het implementeren van maatregelen die er toe moeten leiden dat hun processen en systemen compliant zijn met de General Data Protection Regulation (GDPR). Dit moet ook wel, want als zij per 25 mei 2018 nog niet voldoen aan deze nieuwe Europese wetgeving, lopen zij het risico op flinke boetes.

Eén van de zaken waar hierbij veelal de licht over gedacht wordt, is het uitsluiten van de mogelijkheid dat persoonlijke gegevens uit het CRM systeem worden ontvreemd. Als het gaat om beveiliging ligt de focus immers meestal op het beschermen van het netwerk tegen hackers. Het feit dat ook de eigen medewerkers potentiële gegevensdieven kunnen zijn, wordt vaak over het hoofd gezien. En nog afgezien van het feit dat het voldoen aan de GDPR regelgeving hierdoor onmogelijk is, wordt het medewerkers vaak wel heel erg makkelijk gemaakt om voor zichzelf te beginnen op basis van het door uw bedrijf in jaren zorgvuldig en voor veel geld opgebouwd klantenbestand.

datatheft

Het is dus zaak om alle manieren waarop data uit het CRM systeem benaderd kunnen worden goed onder de loep te nemen. Het alleen instellen van een beveiligingsrol, die bepaalt wie welke gegevens via de user interface van het systeem mag inzien en bewerken, is niet voldoende. Er moet ook gekeken worden naar wie mag printen en wie er gebruik mag maken van de mail merge functies. En wat dacht u van die ene makkelijke knop, waarmee in één keer de hele CRM database in Excel gedumpt kan worden? Of van de opties om via een externe rapportage tool rapporten met CRM data te kunnen genereren? Het zijn allemaal manieren om via de API gegevens uit het CRM systeem te benaderen, en dus ook allemaal zaken die in het kader van de GDPR grondig bezien moeten worden.

CRMHOW.COM helpt bedrijven om te zorgen dat zij GDPR compliant zijn. Voor meer informatie kunt u contact opnemen met marc@crmhow.com

 

De impact van GDPR op CRM: (1) Het Recht op Vergetelheid en uw Rapportages

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening vervangt de oude Wet op Bescherming van Persoonsgegevens, en wordt ook vaak aangeduid met de Engelse term General Data Protection Regulation (GDPR).

Helaas beseffen nog maar weinig bedrijven de grote impact die het voldoen aan deze nieuwe verordening heeft op hun processen en systemen. In de komende weken zal ik in deze blog een aantal voorbeelden hiervan nader uitwerken. In deze eerste aflevering belicht ik graag de gevolgen van het ‘Recht op Vergetelheid’ op de omzetrapportages en op de inrichting van de CRM systemen.

De term ‘vergetelheid’ was in de Nederlandse taal al hard op weg om zichzelf eer aan te doen, maar wordt door de AVG nu weer volop in de belangstelling geplaatst. Het behelst hier het recht van een persoon om van een bedrijf/instelling te eisen dat zijn persoonsgegevens uit de administratieve systemen verwijderd worden. En waar er in de oude Wet op de Bescherming Persoonsgegevens nog sprake was van enkele voorwaarden waaraan het verzoek tot verwijdering van gegevens moest voldoen, zijn deze in de nieuwe AVG volledig losgelaten. Dit betekent dat iedereen altijd zonder opgaaf van redenen mag eisen dat zijn gegevens uit de administratieve systemen verwijderd kunnen worden.

delete_button

En wie nu denkt: “Dat is geen probleem, want ik kan in ons CRM systeem met één druk op de knop een persoonsrecord wissen”, vergist zich. Want ten eerste geldt bij de meeste CRM systemen dat die ene druk op de knop weliswaar zorgt dat het record standaard niet meer zichtbaar is; van fysieke verwijdering uit de database is meestal nog geen sprake. De nieuwe regelgeving schrijft het totaal verwijderen van de gegevens echter wel voor.

Mar goed, dit technische probleem valt nog wel relatief simpel op te lossen. Wat echter veel ingewikkelder is, is dat aan het persoonsrecord in de meeste systemen van alles gekoppeld is. Denk aan uitgebrachte offertes, orders, gespreksverslagen, etc. En dus loop je de kans dat je met die ene druk op de knop om het persoonsrecord te verwijderen ook bijvoorbeeld omzetgegevens weggooit, waardoor er geen aansluiting meer bestaat tussen de (historische) omzetrapportages en de onderliggende gegevens. De accountant zal hier niet blij mee zijn. En ook andere rapportages, bijvoorbeeld over de hoeveelheid telefoontjes die uw marketeers gepleegd hebben, zullen niet meer adequaat zijn.

Voor dit probleem zijn diverse oplossingen mogelijk. Zelf ben ik groot voorstander van het anonimiseren van de persoonsrecords binnen het CRM systeem. Deze records, waar zaken als offertes en orders aan gekoppeld zijn, kunnen dan altijd blijven bestaan in het CRM systeem. De AVG/GDPR-gevoelige kenmerken van een persoon worden dan op een apart, gekoppeld record weggeschreven. Deze oplossing biedt ook grote voordelen ten aanzien van het intern kunnen afschermen van AVG/GDPA gevoelige gegevens.

Technisch is de hierboven beschreven oplossing in de meeste grotere CRM systemen relatief eenvoudig te implementeren. Naast het uitvoeren van de benodigde configuratie is een dataconversie van de oude naar de nieuwe inrichting wel noodzakelijk. In veel kleinere of minder flexibele CRM systemen valt de voornoemde oplossing minder goed te implementeren. Dan is een procedurele oplossing vereist.

CRMHOW.COM ondersteunt organisaties met AVG/GDPR compliency issues. Neem voor meer informatie contact op met marc@crmhow.com