Drie misvattingen over de AVG-wet voor CRM

Gertjan van Vugt
Door Gertjan van Vugt op 11-09-18

avg crm
Sinds 25 mei 2018 is de AVG-wet van kracht. De Algemene Verordening Gegevensbescherming, ook bekend onder de Engelse afkorting GDPR, zorgt ervoor dat in de gehele EU dezelfde privacywetgeving geldt. De wetgeving heeft als belangrijkste doel het beschermen van persoonsgegevens.

Er is inmiddels veel gezegd en geschreven over de wet. Er is veel duidelijkheid, maar ook - nog steeds - veel onduidelijkheid over de wet. Wat zijn de grootste misvattingen en wat betekent de wet voor het gebruik van CRM-software? In dit artikel ontkracht ik de drie grootste misvattingen over de invloed van wetgeving op de inzet van CRM.

Veel bedrijven verwerken persoonsgegevens, bijvoorbeeld in een CRM-systeem. Deze bedrijven moeten met de AVG goed gaan nadenken over hoe zij persoonsgegevens vergaren, verwerken, gebruiken en beschermen. Hieronder drie misvattingen uitgelicht:

1. ‘De wetgeving is niet van toepassing op het MKB’

Hoe groot of klein een organisatie ook is, er wordt altijd wel met persoonsgegevens gewerkt. De gegevens van klanten tot (toe)leveranciers en van oud-medewerkers tot prospects. Iedere organisatie die werkt met dergelijke persoonsgegevens heeft te maken met de Algemene Verordening Gegevensbescherming. Het begrip ‘persoonsgegevens’ is erg breed, het is daarom goed om uit te zoeken welke persoonsgegevens jouw bedrijf verwerkt. 

Ook wanneer je Google Analytics gebruikt om de resultaten van je website bij te houden, verzamel je al persoonsgegevens. Zo verzamelt het platform IP-adressen voor statistieken. Deze gegevens zijn te herleiden naar een persoon. Zorg er daarom voor dat je het systeem zo instelt dat deze gegevens anoniem worden verwerkt. Zo zijn deze niet te herleiden en dus voldoe je op dit punt aan de wetgeving.

Let er ook op dat je verwerkersovereenkomsten nodig hebt wanneer je met persoonsgegevens voor klanten werkt én wanneer een ander bedrijf dit voor jou doet, zoals bijvoorbeeld je CRM-leverancier.

2. ‘Onze CRM-leverancier is AVG-compatibel, dus wij voldoen aan de wetgeving’

Wanneer jouw CRM (en daarmee de persoonsgegevens) draait op een externe server, is het goed om na te gaan in hoeverre de hoster van die server AVG-proof is. Voorbeeld: als jouw CRM-leverancier jouw data host en voldoet aan de AVG-wetgeving, dan houdt dit niet direct in dat jouw organisatie hier ook aan voldoet. Het is van groot belang dat de CRM-leverancier goed en veilig omgaat met jouw gegevens. Ook de locatie van de server is belangrijk, de locatie bepaalt namelijk welke wetgeving er voor de leverancier van toepassing is. Amerikaanse partijen hebben bijvoorbeeld te maken met een andere wetgeving. De servers van Systony staan in een datacenter in Amsterdam, waardoor de AVG-wetgeving van toepassing is. 

Bij de wetgeving draait het er niet alleen om dat leveranciers en andere partijen goed omgaan met gegevens van jouw klanten, maar ook dat jij deze op een juiste manier verwerkt. Het is dus belangrijk om de gegevens op een juiste manier te verwerken in jouw CRM-systeem. Heb je bijvoorbeeld toestemming van de relatie om bepaalde gegevens te verwerken en voor een bepaalde periode te bewaren? En wat mag je met die gegevens doen. Alle verkregen toestemming (consent) moet worden gelogd in het CRM-systeem. Wij adviseren je hier graag in.

3. ‘We moeten onze database opnieuw toestemming vragen’

Bij de wetgeving draait alles om het op een juiste manier omgaan met persoonsgegevens en deze veilig te verwerken. Hierbij hoeft het niet nodig te zijn om de gehele database opnieuw toestemming te vragen. De belangrijkste vragen hierbij zijn: ‘Hoe ben je aan de gegevens gekomen en waarom heb je de gegevens nodig?’. 

Het verwerken van persoonsgegevens mag als er aan minimaal één van de zes grondslagen van de wet wordt voldaan. De zes grondslagen zijn:

  • Toestemming van de betrokken persoon.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Wanneer minimaal één van de grondslagen aantoonbaar van toepassing is, dan mag je deze gegevens verwerken. Het moet wel gaan om noodzakelijke gegevens, of je moet toestemming hebben voor verdere gegevens. Het bijhouden van iemands kenteken is wel noodzakelijk voor een leasemaatschappij, maar niet voor een webwinkel dat auto-accessoires verkoopt.

Conclusie

Voldoen aan de wetgeving is belangrijk. Niet alleen omdat de Autoriteit Persoonsgegevens hierop controleert en boetes uit kan delen, maar ook voor de privacybescherming van jouw klanten. Je Neem je je klanten hierin serieus en ga op een veilige en vertrouwde manier om met hun gegevens. De wetgeving heeft gegevensverwerking een stuk transparanter gemaakt, wees hierin ook transparant naar klanten.

Download de CRM checklist

Gertjan van Vugt
Geschreven door Gertjan van Vugt
Gertjan is een techneut in hart en nieren, geen ICT-uitdaging is hem te groot. Als medeoprichter van Systony en projectleider CRM weet hij werkelijk alles op het gebied van CRM-implementatie en maatwerk softwareontwikkeling. Zo maakt Gertjan ieder softwareproject tot een succes.
In zijn vrije tijd bevaart Gertjan graag de Nederlandse rivieren in zijn bootje of bekijkt hij een blockbuster op het witte doek.

Gerelateerde artikelen

Het verschil tussen Microsoft Dynamics 365/CRM in eigen beheer en de cloud

Net als Maximizer CRM biedt Microsoft Dynamics 365 de keuze om het CRM in eigen beheer of in de cloud te draaien. In dit blog...

Maarten de Wit
Door Maarten de Wit - 11 september, 2019
Succesvol CRM-software implementeren

Wil je gebruik maken van CRM-software die bij jouw organisatie past om de relatie met jouw prospects en klanten te verbeteren?...

Gertjan van Vugt
Door Gertjan van Vugt - 9 september, 2019
Wat is het verschil tussen Microsoft Dynamics CRM en Microsoft Dynamics 365

Ben jij benieuwd naar het verschil tussen Microsoft Dynamics CRM en Microsoft Dynamics 365? In dit blogartikel praat ik je bij...

Martijn Rijnders
Door Martijn Rijnders - 9 september, 2019