Drie misvattingen over de AVG-wet voor CRM

Sinds 25 mei 2018 is de AVG-wet van kracht. De Algemene Verordening Gegevensbescherming zorgt ervoor, dat in de gehele EU dezelfde privacywetgeving geldt. Het beschermen van persoonsgegevens is het belangrijkste doel van de wetgeving. De Engelse afkorting van de AVG is GDPR (General Data Protection Regulation).

Er is inmiddels veel gezegd en geschreven over de wet. Er is veel duidelijkheid, maar ook - nog steeds - veel onduidelijkheid. Wat zijn de grootste misvattingen? En wat betekent de wet voor het gebruik van CRM-software? Dit artikel gaat over de 3 grootste misvattingen bij het gebruik van CRM-software.

De meeste bedrijven verwerken persoonsgegevens. Daar gebruiken zij bijvoorbeeld een CRM-systeem voor. Deze bedrijven moeten zich houden aan de AVG-wet. Zij moeten daarom goed nadenken over hoe zij persoonsgegevens vergaren, verwerken, gebruiken en beschermen. Hieronder licht ik 3 belangrijke misvattingen uit:

1. ‘De wetgeving is niet van toepassing op het MKB’

Hoe groot of klein een organisatie ook is. Er wordt altijd wel met persoonsgegevens gewerkt. Van de gegevens van klanten tot (toe)leveranciers. En van oud-medewerkers tot prospects.

Werkt jouw organisatie met persoonsgegevens? Dan heb je automatisch te maken met de Algemene Verordening Gegevensbescherming (AVG). Het begrip ‘persoonsgegevens’ is erg breed. Onderzoek daarom welke persoonsgegevens jouw organisatie precies verwerkt. En wanneer dat is.

Stel dat je Google Analytics gebruikt om de resultaten van je website bij te houden. Dan verzamel je al persoonsgegevens. Het platform verzamelt namelijk IP-adressen voor statistieken. Deze gegevens zijn te herleiden naar een persoon. Dit is dus privacygevoelige informatie.

Je kunt het systeem zo instellen dat jouw Google Analytics gegevens anoniem blijven. Deze persoonsgegevens zijn dan niet meer te herleiden. Op dit punt voldoe je nu wel aan de AVG-wet. Zorg dus voor een goed inzicht en neem de juiste maatregelen!

Verwerkt een ander bedrijf persoonsgegevens voor jouw organisatie? Bijvoorbeeld een CRM-leverancier of een marketingbureau? Let er dan ook op dat je verwerkersovereenkomsten in orde zijn! 

2. ‘Onze CRM-leverancier is AVG-compatibel, dus wij voldoen aan de wetgeving’

Draait jouw CRM-systeem (en daarmee de persoonsgegevens) op een externe server? Ga dan na in hoeverre de hoster van die server AVG-proof is. Host jouw CRM-leverancier jouw data? Voldoet deze partij aan de AVG-wetgeving? Dan houdt dit niet direct in dat jouw organisatie hier ook aan voldoet.

Ook de locatie van de server is belangrijk. De locatie bepaalt namelijk welke wetgeving er voor de CRM-leverancier van toepassing is. Amerikaanse partijen hebben bijvoorbeeld te maken met een andere wetgeving. De servers van Systony staan in een datacenter in Amsterdam. De AVG-wetgeving is dus van toepassing op onze servers. 

Andere partijen moeten dus goed omgaan met de persoonsgegevens van jouw klanten. En jouw organisatie moet ze zelf ook op de juiste manier verwerken. Bijvoorbeeld in je CRM-systeem: 

• Welke persoonsgegevens mag je verwerken?
• Hoe mag je de persoonsgegevens verwerken?
• Heb je toestemming van jouw relaties om bepaalde gegevens te verwerken?
• Hoe lang mag je de persoonsgegevens bewaren?
• Wat mag je met de persoonsgegevens doen?
• Hoe zorg je ervoor, dat je de persoonsgegevens veilig verwerkt?
• Hoe toon je aan dat jouw organisatie aan de AVG-wet voldoet? 

Dat je persoonsgegevens mag verwerken moet je kunnen aantonen. Geven jouw relaties toestemming voor het verwerken van (extra) privacygevoelige informatie? Dan is het dus slim als je dit (automatisch) in jouw CRM-systeem opslaat. Het is van groot belang dat jouw CRM-leverancier goed en veilig omgaat met al deze persoonsgegevens. Wij adviseren je hier graag over.

3. ‘We moeten onze database opnieuw om toestemming vragen’

Bij de AVG-wet draait het dus om het op een juiste manier omgaan van persoonsgegevens. Èn het veilig verwerken hiervan. Het is niet nodig om jouw gehele database opnieuw om toestemming te vragen. De belangrijkste vragen hierbij zijn:

• Hoe ben je aan de gegevens gekomen? 
• En waarom heb je de gegevens nodig? 

Om persoonsgegevens te mogen verwerken moet je minimaal aan één van de zes grondslagen voldoen:

1. Is er toestemming van de betrokken persoon?
   
   
2. Is de gegevensverwerking noodzakelijk voor de uitvoering van een overeenkomst?
   
   
3. Is de gegevensverwerking noodzakelijk voor het nakomen van een wettelijke verplichting?
   
   
4. Is de gegevensverwerking noodzakelijk ter bescherming van vitale belangen?
   
   
5. Is de gegevensverwerking noodzakelijk voor de uitoefening van een taak van algemeen belang of uitoefening van openbaar gezag?
   
   
6. Is de gegevensverwerking noodzakelijk voor de behartiging van gerechtvaardigde belangen.

Is er minimaal één van deze grondslagen aantoonbaar van toepassing is? Dan mag je deze gegevens verwerken. Het moet wel gaan om noodzakelijke gegevens. Of je moet toestemming hebben voor de verwerking van aanvullende persoonsgegevens.

Voorbeeld: Het bijhouden van iemands autokenteken is wel noodzakelijk voor een leasemaatschappij. Maar natuurlijk niet voor een webwinkel, die auto-accessoires verkoopt.

Conclusie

Voldoen aan de wetgeving is belangrijk voor de privacybescherming van jouw klanten. Bovendien controleert de Autoriteit Persoonsgegevens hierop en kan deze organisatie boetes uitdelen. Neem de persoonsgegevens van jouw klanten dus serieus. Ga op een veilige en vertrouwelijke manier om met hun gegevens.

De wetgeving heeft gegevensverwerking een stuk transparanter gemaakt. Zie het nut hiervan in en ga er zo goed mogelijk mee om. Vertel jouw klanten daarom hoe je met hun persoonsgegevens omgaat. Dit helpt jou bovendien om een goede vertrouwensbasis op te bouwen!