Algemene verordening gegevensbescherming (AVG)

Met de inwerkingtreding van de wet Algemene verordening gegevensbescherming (AVG) moeten ook CRM-systemen aan bepaalde eisen voldoen.

Hoe deze eisen omgezet worden, om welke eisen het precies gaat, en waarop ondernemingen sindsdien moeten letten, bespreken we graag in dit artikel. CRM-systemen moeten voldoen aan heel wat vereisten, wat vooral toe te wijten is aan hun aard en functionaliteit. Ze verwerken voornamelijk persoonsgebonden data van klanten en moeten daarom precies documenteren hoe deze opgeslagen, verwerkt en ook verwijderd worden.
Om te begrijpen hoe de GDPR-wet samenhangt met CRM-systemen, verdiepen we ons eerst in enkele begrippen en definities.

Definitie: wat is een CRM-systeem?

CRM staat voor Customer Relationship Management en betekent in principe het beheer van alle betrekking van een onderneming met haar klanten. Het gaat erom de bedrijfsprocessen van een onderneming af te stemmen op deze klanten, met als doel hen langdurig te binden aan de organisatie.
CRM-systemen ondersteunen hierbij softwarematig, doordat ze alle relevante data van klanten en elke communicatie en contactpunt opslaan in een klantendossier op een centrale databank. Dat brengt meteen meerdere voordelen met zich mee. Door de centrale opslagplaats zijn alle gegevens consistent, valide en beschikbaar voor alle geautoriseerde medewerkers. Dat garandeert een gelijke informatiestand, aangezien voortaan iedereen met dezelfde gegevens werkt.

Zo kan bijvoorbeeld de klantendienst meteen alle relevante informatie bekijken zodra een klant opbelt, of op een andere manier contact opneemt met de organisatie. Men kan zijn vraag snel beantwoorden, zonder dat men eerst gedurende lange tijd op zoek moet gaan naar de verantwoordelijke met de laatste stand van zaken. De klantentevredenheid stijgt en de interne communicatie verbetert aanzienlijk. 

Door de strategische verwerking van klantengegevens ontstaan er ook voordelen voor onder andere de marketing en de verkoop. Deze kunnen bijvoorbeeld individueler en persoonlijker aan de slag gaan met een klant, wat opnieuw leidt tot een hogere klantentevredenheid en uiteindelijk meer verkoop.

Wat betekent de GDPR-wet precies?

De wet General Data Protection Regulation ging van kracht in mei 2018 en is meteen van toepassing in alle EU-lidstaten, in tegenstelling tot de vorige richtlijn 95/46/EG, die door de EU-lidstaten eerst nog moest omgezet worden in een nationale wet.

De afzonderlijke lidstaten kunnen nog steeds de wet in overeenstemming brengen met het nationaal geldende recht op vrije meningsuiting of informatievrijheid, zonder hierbij de verordening gegevensbescherming te versterken of te verzwakken. Hierdoor hebben alle onderneming onvermijdbaar te maken met de GDPR-wet. 

Recht om vergeten te worden

Deze wet voorziet een aantal verschillende maatregelen om klantengegevens te beschermen. Zo hebben klanten bijvoorbeeld het recht om vergeten te worden. Ondernemingen moeten ervoor zorgen dat ze beschikken over geschikte verwijdertools, die de intern opgeslagen gegevens onherroepelijk en definitief te verwijderen. Zo heeft de getroffen persoon het recht om te verlangen dat een onderneming, op vraag van de klant, zijn/haar persoonsgebonden data verwijdert.

Recht op gegevensoverdraagbaarheid

De GDPR-wet omvat ook het recht op correctie, beperking van de verwerking en overdraagbaarheid van gegevens. Bij dat laatste heeft een persoon het recht om de persoonsgebonden data, die men voorheen beschikbaar had gesteld aan een verantwoordelijke, te ontvangen. Daarnaast kan men de gegevens laten overdragen naar een ander verantwoordelijk persoon, zonder dat deze gegevens persé moeten verwijderd worden bij de oorspronkelijk verantwoordde persoon. Ook dit is een belangrijk technisch gegeven voor ondernemingen.

Verwerken van persoonsgebonden data

Reeds in de richtlijn 95/46/EG werden ruime regelingen voor de verwerking van persoonsgebonden data vastgelegd. Met de nieuwe GDPR-wet werden deze nog meer uitgewerkt en gepreciseerd. Zo geldt ten eerste dat een persoon uitdrukkelijke toestemming moet geven om gegevens te mogen verwerken. Daarna zijn in totaal zes verschillende verwerkingsprincipes van toepassing.

Zo moet de verwerking rechtmatig zijn. Daarnaast mag de verwerking enkel voor de vastgelegde, éénduidige en legitieme doelen dienen. Het principe van dataminimalisatie geldt. Men mag enkel gegevens verzamelen die nodig zijn om de doelen te bereiken. De verzamelde gegevens moeten ook correct zijn. Bedrijven zijn verplicht om dit technisch te garanderen.

Wat moeten CRM-systemen doen

Hoe kunnen CRM-systemen nu helpen om deze vereisten en regelingen om te zetten? Daarvoor hebben de ontwikkelaars van dergelijke systemen de laatste jaren en maanden enkele oplossingen bedacht. Zo zijn er bijvoorbeeld CRM-tools met functies, die ondersteuning bieden bij het verzamelen en documenteren van de wettelijk conforme toestemming voor het verwerken van de persoonsgegevens.

Ook bij de documentatie van gegevensstructuren voor persoonsdata, de gegevensherkomst, de wettelijke toestemmingen en diverse andere rechtsgrondslagen en verwerkingsdoelen voorziet een CRM-systeem bijhorende functies. Daarnaast kan een CRM-systeem alle aanvragen van een persoon, zoals bijvoorbeeld informatieaanvragen of verwijderingsverzoeken, documenteren. Daardoor gaat niets meer verloren en kan een onderneming de wetgevingen nakomen.

Daarnaast ondersteunen CRM-systemen met bepaalde functies ook de beperking tot het verwerken en het verwijderen van data. Zo kan bijvoorbeeld een specifieke gebruiker slecht beperkte gegevens bekijken, verwerken of verwijderen. Tegelijkertijd kijkt het CRM-systeem erop toe dat de periodes om te verwijderen of anonimiseren nageleefd worden, en bereidt het de juiste follow-up voor. 

Providers reageren

Veel providers hebben diverse nieuwe tools op de markt gebracht, die van een technische kant helpen om de GDPR-wet om te zetten. Via Add-Ons kan men deze speciale functies ook in reeds bestaande systemen integreren, zodat men niet verplicht wordt om een geheel nieuw systeem aan te schaffen.
Bij een CRM-systeem in de Cloud moeten providers en gebruikers de contracten aanpassen naar de wettelijke vereisten van de GDPR-wetgeving. Dat is in de meeste gevallen reeds gebeurd. De angst was te groot om niet voldoende beschermd te zijn en uiteindelijk de focus te worden van de gegevensbeschermingsautoriteiten. 

Tenslotte klinkt de GDPR-wetgeving als veel werk en zorgt voor grote onzekerheden. Toch mag men het nut ervan niet vergeten. Gegevens zijn het goud van de toekomst, dus wil men de soevereiniteit in de eigen handen houden. Niemand mag zomaar vrij over de data van anderen beschikken, zonder deze persoon hier uitdrukkelijk toestemming voor gaf. Dat kan alleen wanneer iedereen zich hieraan moet houden en de rechten van anderen respecteert. Men wil namelijk de eigen soevereiniteit niet verliezen aan anderen, die hier dan voordeel uit kunnen halen.

De GDPR-wetgeving moet men daarom niet beschouwen als een beperking, maar veeleer als een kans. Ondernemingen kunnen hierdoor het vertrouwen van hun klanten winnen, die dit uiteindelijk zullen belonen met loyaliteit.