Teamleader Blog Article

Hoe de GDPR het beheer van klantgegevens beïnvloedt

Hoe de GDPR het beheer van klantgegevens beïnvloedt

Op 25 mei 2018 gaat de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) van kracht. De GDPR waarborgt betere controle over persoonlijke data en betere beveiliging van gegevens in heel Europa. Wat dit betekent voor het beheer van klantgegevens voor jou, lees je in deze blog.

De GDMA (de Global Alliance of Data-Driven Marketing Associations) en Winterberry Group hebben onderzoek gedaan naar klantgegevens. 92 procent van de respondenten gaf aan informatie over klanten, prospects en andere contacten te bewaren. Deze informatie zijn voornamelijke persoonsgegevens: namen, e-mailadressen, interesses, digitale voetafdrukken en meer.

Persoonsgegevens worden vaak in een CRM bewaard. De invoering van de GDPR vraagt om een nieuwe strategie m.b.t. het verzamelen en bewaren van klantgegevens.

Voorbeeld: de impact van de GDPR op het beheer van klantgegevens

GDPR beheer klantgegevens

Wat betekent de GDPR voor jou als klein of middelgroot bedrijf? We kunnen niet iedereen van een specifiek antwoord voorzien, maar er zijn een aantal belangrijke wijzigingen die voor iedereen gelden. We geven je een voorbeeld aan de hand van transactie en commerciële e-mails.

In de GDPR wordt onderscheid gemaakt tussen twee soorten e-mails:

  • Zonder commercieel aspect: een digitale kerstkaart, informatie over de GDPR, enzovoort.
  • Met commercieel aspect of direct marketing: prijsinformatie, kortingen, promoties, enzovoort.

 

Meer leren over de GDPR en hoe jouw mkb erop voor te bereiden? Download ons gratis e-book

 

Vraag expliciete toestemming

Om persoonlijke gegevens te mogen opslaan, heb je toestemming nodig van de persoon in kwestie. Dit moet je bovendien ook vastleggen. Zorg voor een geschreven of gesproken verklaring, zodat er geen ruimte is voor misvattingen. Als jouw bedrijf bijvoorbeeld voornamelijk telefonisch contact heeft met klanten, kun je het gesprek opnemen waarin je expliciete toestemming ontvangt. Koppel dit aan je CRM om de geluidsopname gemakkelijk terug te vinden.

Voorbeeld: je moet je contacten (met uitzondering van klanten) expliciet vragen of ze jouw promotionele e-mails willen blijven ontvangen. Dat betekent dat je niet langer een “zachte opt-in” kan gebruiken - bijvoorbeeld een automatisch aangevinkt vakje waarmee toestemming wordt verleend.

Geef contacten in plaats daarvan de vrije keus om zich in te schrijven voor verschillende soorten content (nuttige productinformatie, aanbiedingen of speciale promoties) en communicatiemethoden (e-mail, telefoon, WhatsApp, post).

Bij klanten kun je er vanuit gaan dat zij belang hebben bij het ontvangen van commerciële content. Om die reden heb je van hen geen expliciete toestemming nodig. Je bent ze wel verplicht een eenvoudige en transparante manier te bieden om zich te allen tijde uit te kunnen schrijven.

 

Doelbinding

Je mag alleen persoonlijke gegevens verzamelen voor specifieke, expliciete en legitieme doeleinden. Geef in je privacyverklaring duidelijk aan hoe je de persoonsgegevens van je contactpersoon gaat gebruiken. Vervolgens mag je de gegevens ook enkel en alleen voor deze doeleinden inzetten. Een bedrijf dat alcoholische dranken verkoopt bijvoorbeeld, heeft een gewettigde reden om klanten om hun geboortedatum te vragen; ze mogen hun product niet aanbieden aan personen onder een bepaalde leeftijd. Deze informatie mogen ze vervolgens niet gebruiken voor (persoonlijke) marketingcampagnes.

Wettelijke basis voor de verwerking van persoonlijke data

Bedrijven moeten over een wettelijke basis beschikken voor het verwerken van persoonsgegevens. Dit betekent dat je niet onnodig gegevens mag bewaren of naar eigen wens mag gebruiken. Bovendien mag je gegevens niet langer bewaren dan nodig is voor het vooropgestelde doel.

Voorbeeld: je mag niet langer e-mails versturen naar mensen die zich jaren geleden hebben aangemeld voor het ontvangen van promotionele communicatie. Wanneer mensen zich voor het eerst inschrijven voor je e-maillijst, moet je opgeven hoe lang je hun gegevens gaat bewaren en hen regelmatig vragen om hun aanmelding opnieuw te bevestigen.

Recht om vergeten te worden

GDPR beheer klantgegevens - recht om vergeten te worden

Ieder bedrijf moet over een systeem beschikken om persoonsgegevens automatisch te verwijderen zodra de verplichte bewaarperiode is verstreken. Dit systeem moet ook in staat zijn om klantgegevens op verzoek te verwijderen. De betrokkenen (klanten en andere contactpersonen) hebben het recht om jou op ieder moment te vragen hun gegevens te verwijderen. Op dat moment moet je hen een kopie van hun persoonsgegevens kunnen aanleveren. Als een persoon het verzoek om vergeten te worden elektronisch doet, kun je de persoonsgegevens gewoon per mail versturen. Daarna moet je al hun persoonsgegevens permanent uit al je systemen en dossiers verwijderen. Vergeet daarbij niet je oude systemen en eventuele back-ups, die misschien wel tien jaar oud zijn, te doorzoeken. Wanneer de opdracht voltooid is, ben je verplicht de contactpersoon te bevestigen dat zijn/haar gegevens permanent verwijderd zijn.

Voorbeeld: Wil iemand zich uitschrijven voor je mailinglijst? Maak het uitschrijfproces zo makkelijk en transparant mogelijk. Bijvoorbeeld door een voettekst met een duidelijke afmeldoptie toe te voegen aan je e-mails.

Recht op dataportabiliteit

Naast het recht om vergeten te worden, hebben betrokkenen ook het recht om hun persoonsgegevens aan een andere gegevensbeheerder over te dragen. Bijvoorbeeld wanneer zij van telecomaanbieder overstappen.

De invloed van de GDPR op je CRM-systeem

Je kunt de GDPR onmogelijk negeren als je een database gebruikt voor het opslaan en verwerken van contactgegevens. Door met je CRM-strategie aan de GDPR te voldoen, bouw je aan het vertrouwen en de loyaliteit van klanten door hun persoonsgegevens op een professionele manier te verwerken.

Kies een CRM die aan de GDPR voldoet

Als gebruiker is het belangrijk een provider te kiezen die de nodige stappen (heeft ge-) zet om GDPR-conform te zijn. In je zoektocht naar het juist systeem kun je deze checklist gebruiken:

  • Het systeem biedt de nodige resources (zoals blogposts, checklists, e-mails, webinars en e-books) om klanten te helpen bij de voorbereiding op de GDPR.
  • Er is een duidelijk engagement om de juiste beveiligings- en GDPR-maatregelen te treffen. Een leverancier onderzoekt op welke manier de GDPR van toepassing is op het product en bedrijf, ontwikkelt een strategie om dit aan te pakken en voert de nodige veranderingen door. Voorbeeld: Het bedrijf zorgt ervoor dat de medewerkers die in contact komen met persoonsgegevens goed opgeleid worden en de beveiliging van de data vooropstellen.
  • De tool is (of wordt) aangepast aan privacy by design. Dit betekent dat de CRM-software per definitie voldoet aan de GDPR. De software moet je bijvoorbeeld in staat stellen om persoonsgegevens te kunnen delen, bewerken en verwijderen.
  • Er is een functionaris voor gegevensbescherming (DPO: Data Protection Officer) aangesteld.
  • Ze hebben de overeenkomst over gegevensbescherming (DPA: Data Protection Agreement) herschreven en hun naleving gemeld.

Hoe bereidt Teamleader CRM zich voor op de GDPR?

Teamleader zal op uiterlijk 25 mei 2018 volledig voldoen aan de GDPR. Onze webapplicaties, communicatie, database-servers en klantgegevens worden opgeslagen op Europese servers. Deze zijn gevestigd in Ierland en worden beheerd door Amazon Web Services Inc, daarom vallen ze onder de GDPR. Om te voldoen aan de nieuwe wetgeving, heeft Teamleader het AWS Data Processing Addendum al ondertekend. Veiligheid van persoonsgegevens worden o.a. gewaarborgd door versleuteling via SSL (een methode om gegevens in een geheime code om te zetten).

Via zowel externe als interne communicatie treffen we de nodige voorbereidingen: onder andere door trainingen te geven aan het volledige personeel, technische audits op onze beveiligingsmaatregelen uit te voeren en de hulp in te roepen van externe juridische adviseurs.

Met enige trots kunnen wij melden dat een interne procedure voor het beheer van incidenten, de Technische en Organisatorische Maatregelen voor de gegevensbeveiliging (TOM), de privacyverklaring en overeenkomst voor gegevensverwerking aantonen dat Teamleader voorbereid is om op 25 mei 2018 te voldoen aan de GDPR.

Wat is jouw verantwoordelijkheid?

Wanneer gebruikers persoonsgegevens in een CRM-systeem invoeren, heeft de softwareleverancier de rol van gegevensbeheerder. In dit geval is de gebruiker de gegevensverwerker die moet voldoen aan de privacy-vereisten. Dit betekent dat je de volgende verplichtingen hebt:

  • Het tot in detail analyseren van je organisatie: identificeer het proces van gegevensverzameling en evalueer bestaande activiteiten om privacy te waarborgen.
  • Het aanpassen van privacyprocessen en -controles.
  • Documenteer de naleving van de GDPR-wetgeving.

Bovendien ben je verplicht om te voldoen aan alle bovenstaande regels: expliciete toestemming, het doel en de wettelijke basis voor het verwerken van gegevens toelichten en een systeem bezitten om gegevens op verzoek direct te kunnen overdragen of verwijderen.

Dit is slechts een greep uit de maatregelen die je moet nemen om aan de nieuwe privacywetgeving te voldoen. Wil je meer weten over de GDPR, de inspanningen die jij moet verrichten vóór 25 mei of de voorwaarden waar een CRM aan zou moeten voldoen? Lees dan ons e-book om je echt goed voor te bereiden.

E-book: GDPR - bereid je bedrijf voor