Teamleader Blog Article

GDPR: de impact en gevolgen op het beheer van je klantgegevens

GDPR: de impact en gevolgen op het beheer van je klantgegevens

Op 25 mei 2018 gaat de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) van kracht. De GDPR biedt betere controle over persoonlijke data en betere beveiliging van gegevens in heel Europa. Lees verder en ontdek de grootste veranderingen voor het beheer van je klantgegevens.

Volgens onderzoek van de GDMA en Winterberry Group bewaart 92% van alle respondenten informatie over klanten, prospecten en andere contacten. Gewoonlijk bevat dit soort informatie veel persoonlijke gegevens: namen, (e-mail)adressen, interesses, digitale voetafdrukken en meer.

Deze gegevens bewaren doe je vaak in een CRM-systeem. Door de GDPR heb je een nieuwe strategie nodig om klantgegevens te verzamelen en te bewaren.

Voorbeeld: de impact van de GDPR op het beheer van klantgegevens

Impact GDPR op klantgegevens - voorbeeld e-mail

Wat betekent de GDPR voor jou als kleine tot middelgrote onderneming? Het is niet eenvoudig om een begrijpelijke verklaring te vinden, op maat van jouw bedrijf. Daarom vertellen we je meer over enkele belangrijke wijzigingen in verband met de GDPR. We gebruiken hiervoor een promotionele of commerciële e-mail als voorbeeld.

De GDPR maakt een onderscheid tussen twee verschillende soorten e-mails:

  • Zonder commercieel aspect: een kerstkaartje via e-mail, informatie over de GDPR, enzovoort.
  • Met commercieel aspect of direct marketing: bevat prijsinformatie, kortingen, promoties, etc.

New Call-to-action

Ontvang uitdrukkelijke toestemming

Om persoonlijke gegevens op te slaan heb je toestemming nodig en moet je dit bovendien ook duidelijk documenteren. Zorg voor een geschreven of gesproken verklaring, zodat er geen ruimte is voor misvattingen. Als jouw bedrijf bijvoorbeeld voornamelijk telefonisch contact heeft met klanten, neem je best het gesprek op waarin je een expliciete toestemming ontvangt. Koppel dit aan je CRM om de geluidsopname gemakkelijk terug te vinden.

Voorbeeld: je moet je contacten (met uitzondering van je klanten) expliciet vragen of ze jouw promotionele e-mails willen blijven ontvangen. Dat betekent dat je niet langer een zachte opt-in voor e-mails kan gebruiken - bijvoorbeeld een vooraf aangevinkt vakje dat de toestemming van jouw contactpersoon vastlegt. Denk in plaats daarvan aan een nieuwe manier om mensen om uitdrukkelijke toestemming te vragen.

Geef ze bijvoorbeeld de keuze om zich in te schrijven op verschillende soorten content (nuttige productinformatie, aanbiedingen of speciale promoties) en communicatiemethoden (via e-mail, telefoon, sms of per post).

Wat klanten betreft, kan je ervan uitgaan dat zij een gewettigd belang hebben bij het ontvangen van commerciële content, zodat je hun uitdrukkelijke toestemming niet nodig hebt. Je moet hen echter een eenvoudige en transparante manier bieden om zich uit te schrijven.

Doelbinding

Je kan alleen persoonlijke gegevens verzamelen voor specifieke, expliciete en legitieme doeleinden. Geef in je privacyverklaring duidelijk aan hoe je de persoonlijke gegevens van je contactpersoon gebruikt. Vervolgens mag je de gegevens enkel voor deze doeleinden gebruiken. Een bedrijf dat alcoholische dranken verkoopt heeft bijvoorbeeld een gewettigde reden om je geboortedatum te vragen, omdat ze hun product niet mogen aanbieden aan personen onder een bepaalde leeftijd. In het andere geval mogen e-commercebedrijven deze gegevens niet vragen om bijvoorbeeld mensen op hun verjaardag een e-mail te sturen.

Wettelijke basis voor de verwerking van persoonlijke data

Je moet over een wettelijke basis beschikken voor het verwerken van persoonlijke gegevens. Dat betekent dat je geen onnodige gegevens mag bewaren of naar eigen wens mag gebruiken. Bovendien mag je de gegevens enkel bewaren voor de tijd die nodig is voor het vooropgestelde doel.

Voorbeeld: je mag niet langer e-mails verzenden naar personen die zich jaren geleden hebben ingeschreven voor je promotionele e-mails. Wanneer personen zich voor het eerst inschrijven voor je e-maillijsten, moet je opgeven hoe lang je hun gegevens zal bewaren en hen regelmatig vragen om hun inschrijving opnieuw te bevestigen.

Recht om vergeten te worden

Impact GDPR op klantgegevens - recht om vergeten te worden

Je moet over een systeem beschikken om persoonsgegevens automatisch te verwijderen zodra de verplichte bewaarperiode is verstreken. Bovendien moet dit systeem je in staat stellen om klantgegevens op verzoek te verwijderen. De betrokkenen, zoals je contacten of klanten, hebben het recht om op elk moment contact met je op te nemen om hun gegevens op te vragen deze te verwijderen. Je moet bovendien ook een kopie van de persoonlijke data die je in hun naam verwerkt verstrekken. Als een persoon het verzoek op elektronisch manier doet, kan je de nodige informatie via e-mail versturen. Daarna moet je al hun informatie 'vergeten' en permanent hun gegevens uit al je dossiers verwijderen.

Doorzoek jouw data (inclusief in je oude systemen of back-ups) om vast te stellen of je over de vereiste gegevens beschikt. Op verzoek van de eigenaar van de gegevens moet je de gegevens verwijderen en bevestigen dat de verwijdering voltooid is.

Voorbeeld: wil iemand zich uitschrijven op jouw mailinglijst? Maak het uitschrijven zo gemakkelijk en transparant mogelijk, bijvoorbeeld door een voettekst met een duidelijke afmeldoptie toe te voegen aan je e-mail.

Recht op dataportabiliteit

Naast het ‘recht om vergeten te worden’, hebben betrokkenen het recht om hun persoonlijke data naar een andere gegevensbeheerder over te dragen. Wanneer ze bijvoorbeeld van telecomaanbieder veranderen, kunnen betrokkenen verzoeken om hun persoonlijke gegevens over te dragen van de ene aanbieder naar de andere.

Welke invloed heeft de GDPR op je CRM-systeem?

Je kan de GDPR onmogelijk negeren als je een database gebruikt voor het opslaan en verwerken van contactgegevens, waaronder persoonlijke gegevens. Door met je CRM-strategie aan de GDPR te voldoen, kan je bouwen aan het vertrouwen en loyaliteit van klanten door hun persoonlijke gegevens op een professionele manier te verwerken.

Kies een CRM-tool die aan de GDPR voldoet

Als gebruiker is het belangrijk voor een provider te kiezen die de nodige stappen onderneemt om GDPR-conform te zijn. In je zoektocht naar het juiste systeem kunnen de volgende acties aangeven dat tools grondig voorbereid zijn:

  • Het systeem biedt de nodige resources (zoals blogposts, checklists, e-mails, webinars en e-books) om klanten te helpen bij de voorbereiding.
  • Er is een duidelijk engagement om de juiste beveiligings- en GDPR-maatregelen te treffen. Een leverancier onderzoekt op welke manieren de GDPR van toepassing is op het product en bedrijf, ontwikkelt een strategie om dit aan te pakken en voert de nodige veranderingen door. Bijvoorbeeld: een bedrijf zorgt ervoor dat medewerkers die in contact komen met persoonlijke gegeven, goed opgeleid worden en de beveiliging van die data vooropstellen.
  • De tool is (of wordt) aangepast aan 'privacy by design'. Per definitie betekent dit dat de CRM-software vanuit een praktisch perspectief voldoet aan de GDPR. De software moet je bijvoorbeeld in staat stellen om eenvoudig persoonlijke gegevens te delen, bewerken en verwijderen.
  • Ze hebben een functionaris voor gegevensbescherming (DPO of data protection officer) aangesteld.

Ze hebben de overeenkomst over gegevensbescherming (DPA of data protection agreement)  herschreven en hun naleving gemeld.

Hoe bereidt Teamleader CRM zich voor op de GDPR?

Teamleader zal uiterlijk op 25 mei 2018 volledig voldoen aan de GDPR. Onze webapplicaties, communicatie, database-servers en al onze klantgegevens worden opgeslagen op Europese servers gevestigd in Ierland en beheerd door Amazon Web Services, Inc. Daarom vallen deze servers onder de GDPR. Om te voldoen aan de normen en verplichtingen zoals vastgelegd in de GDPR heeft Teamleader het 'AWS Data Processing Addendum' al ondertekend. Veiligheid wordt gewaarborgd door, bijvoorbeeld, encryption of versleuteling via SSL (kort gezegd, een methode om gegevens in een geheime code om te zetten).

Via zowel externe als interne communicatie treffen we de nodige voorbereidingen: onder andere door trainingen voor het hele bedrijf, technische audits van onze beveiligingsmaatregelen en de hulp inroepen van externe juridische adviseurs.

Bovendien bewijzen de juiste documenten ook dat Teamleader klaar zal zijn: een interne procedure voor het beheer van incidenten, de Technische en Organisatorische Maatregelen voor de gegevensbeveiliging (TOM), de privacyverklaring en overeenkomst voor gegevensverwerking tonen aan dat Teamleader voorbereid is om op 25 mei 2018 te voldoen aan de GDPR.

Wat is jouw verantwoordelijkheid?

Wanneer gebruikers persoonlijke gegevens in hun CRM-software invoeren, heeft een softwareleverancier de rol van gegevensbeheerder. In dit geval is een gebruiker een gegevensverwerker die moet voldoen aan de privacyvereisten. Dit betekent dat je nog steeds een aantal verplichtingen hebt, bijvoorbeeld:

  • Analyseer je organisatie in detail, identificeer je proces voor het verzamelen van gegevens en evalueer je bestaande activiteiten om privacy te waarborgen
  • Zorg voor aangepaste privacyprocessen en -controles
  • Documenteer de naleving van de GDPR-wetgeving

Daarbovenop, zorg je er ook voor dat je strategie voor het beheer van klantgegevens voldoet aan alle bovenstaande standaarden zoals: uitdrukkelijke toestemming krijgen, het doel en de wettelijke basis voor het verwerken van gegevens toelichten en een systeem bezitten om gegevens op verzoek te verwijderen of over te dragen.

Dit is slechts een greep uit de maatregelen die je moet nemen om aan de privacyregels te voldoen. Naast jouw eigen inspanningen heb je ook de geknipte CRM-software nodig die voldoet aan de GDPR om persoonlijke gegevens veilig te verzamelen en te beheren. Op die manier zorg je ervoor dat het beheer van je klantgegevens voldoet aan het nieuwe wettelijke kader.

E-book: GDPR - bereid je onderneming voor Download e-book