Documentatie eisen

Hoe aan de documentatievereisten kan worden voldaan met behulp van een CRM-systeem.

De algemene verordening gegevensbescherming - afgekort AVG - is in mei 2018 van kracht geworden. De regelgeving bepaalt wanneer bedrijven gegevens mogen verzamelen, hoe deze kunnen worden verwerkt en opgeslagen en wanneer deze moeten worden verwijderd. 

Overeenkomstig artikel 30 (lijst van verwerkingsactiviteiten) is dit echter ook verplicht.

"Voor het bijhouden van schriftelijke documentatie en een overzicht van procedures waarin persoonsgegevens worden verwerkt".

Deze documentatie moet essentiële informatie over gegevensverwerking bevatten. Dit omvat onder meer het verwerkingsdoel, de ontvanger van de gegevens (bijvoorbeeld ook in het geval van overdracht van de gegevens aan derden), de gegevenscategorie en de groep betrokkenen. "Betrokkenen" in de AVG verwijst naar die mensen van wie gegevens worden verzameld.

Afschaffing van de vereiste documentatie voor het MKB

Aangezien dit met name voor kleine bedrijven een bijzonder grote bureaucratische last vormt, stelt de AVG bedrijven en instellingen met minder dan 250 werknemers (d.w.z. bedrijven die de EU-Commissie als MKB’s definieert) vrij van het bijhouden van deze lijst met verwerkingsactiviteiten.
Aan de vrijstelling zijn echter bepaalde voorwaarden verbonden. Er is bijvoorbeeld alleen een uitzondering als gegevens slechts incidenteel worden verzameld en verwerkt. Bovendien mag de verwerking van de gegevens de vrijheid en rechten van de betrokkene niet in gevaar brengen. Het is fundamenteel uitgesloten dat de door het bedrijf verwerkte informatie gegevens zijn van zogenaamde "speciale gegevenscategorieën".

Dit zijn gevoelige, persoonlijke gegevens waaruit bijvoorbeeld etnische afkomst, religie of overtuiging kan worden afgeleid. Daarnaast zijn er ook genetische of biometrische gegevens voor de unieke identificatie van een persoon of informatie over de gezondheidstoestand of seksuele geaardheid.

In principe zal deze vrijstelling van het bijhouden van een map in de praktijk waarschijnlijk slechts incidenteel worden gebruikt. Bovendien bespreekt de wetgever niet wat precies wordt bedoeld met "incidentele verwerking". Aangezien dit ter beoordeling van de verantwoordelijke toezichthoudende autoriteit is, is het raadzaam om de nodige stappen te nemen voor de juiste documentatie.

Omdat naast de verplichting om verwerkingsactiviteiten te documenteren, artikel 5, lid 2, AVG ook het beginsel van verantwoording beschrijft. Hierin staat dat bedrijven niet alleen verplicht zijn om hun gegevens te behandelen in overeenstemming met de Algemene Verordening Gegevensbescherming, maar ook om dit te kunnen bewijzen. Het wordt duidelijk dat de verplichting tot documentatie en die van verantwoording hand in hand gaan. Als u uw gegevensverwerkingsprocessen documenteert in overeenstemming met de AVG, moet u deze documenten ook kunnen gebruiken om de wettigheid van de gegevensverwerking te bewijzen.

Minimaliseer de bureaucratische inspanning met het CRM-systeem

De zorgvuldige, handmatige documentatie van alle gegevensbeschermingsprocessen vertegenwoordigt een enorme bureaucratische inspanning, die op zijn beurt verbonden is met een enorme hoeveelheid middelen binnen het bedrijf.

Een voorbeeld van de bureaucratisering is een recente demonstratie door bakkers tegen de verplichting tot contante ontvangst in 2020 in Duitsland. Maar dit is slechts een van de vele factoren die met name kleine bedrijven tot het uiterste duwen. Regelmatige, handmatige controles van de koelketen vormen al jaren een groot obstakel voor veel kleine bedrijven - vooral omdat kleine bedrijven meestal tijdrovende, handmatige gegevensinvoer hebben. Een centraal, technisch geautomatiseerd systeem voor gegevensverzameling kan in dit geval helpen.

Agile CRM-systemen maken automatisch vastleggen van wijzigingen mogelijk

Dit geldt ook voor de naleving van de documentatie-eisen met behulp van een CRM-systeem. Om de AVG-conforme gegevens te verwerken, moeten alle processen die persoonlijke informatie bevatten volledig in het CRM worden gedocumenteerd. Menig bestaand CRM kan hier zijn limiet bereiken. In deze gevallen is de implementatie van nieuwe CRM-functies en processen raadzaam. Vooral Agile CRM-systemen die automatisch wijzigingen in gegevens registreren, zijn hier voordelig.

Verantwoording kan ook worden bereikt met behulp van bepaalde functies binnen het CRM-systeem. Als een betrokkene informatie opvraagt over de door het bedrijf verwerkte persoonsgegevens, moeten deze worden verstrekt in een formaat dat geschikt en importeerbaar is voor de betrokkene. Voor dit doel laten sommige CRM-systemen de documentatie van alle persoonlijke gegevens van een bepaalde privépersoon toe.

Documentatie van de technische en organisatorische maatregelen

Naast verantwoordings- en documentatievereisten, is er ook een documentatievereiste voor beveiliging van gegevensverwerking in overeenstemming met de AVG. Dienovereenkomstig moet niet alleen worden gedocumenteerd hoe en met welk doel persoonlijke gegevens worden verwerkt en opgeslagen, maar ook welke technische en organisatorische maatregelen (TOM) het bedrijf heeft genomen om de veiligheid van de gegevens te waarborgen. De zogenaamde TOM worden steeds belangrijker als zich onverwachts een datalek of een schending van de AVG voordoet. In dit geval kan correcte documentatie van alle genomen beveiligingsmaatregelen laten zien wat het bedrijf van tevoren heeft gedaan om een dergelijk scenario te voorkomen.

Technische en organisatorische maatregelen in CRM

In de documentatie van de TOM moet vooral worden vermeld welke maatregelen u in de CRM hebt genomen om de gegevens van betrokkenen te beschermen. Over het algemeen wordt een onderscheid gemaakt tussen privacy standaard en privacy by design.

Standaard verwijst Privacy naar de privacyvriendelijke standaardinstellingen die in het CRM-systeem zijn gemaakt. Het is bijvoorbeeld raadzaam dat alleen gegevens die onvermijdelijk nodig zijn, op een gestandaardiseerde manier door het systeem worden vastgelegd. Als de betrokkene instemt met uitgebreide gegevensverwerking, kan dit achteraf in het CRM-systeem worden gewijzigd.

Privacy by design verwijst rechtstreeks naar de keuze van een geschikt CRM-systeem. Dit moet ervoor zorgen dat de software die is geselecteerd voor het verwerken van persoonlijke gegevens ook voldoende gegevensbescherming mogelijk maakt. Als er nog geen CRM-systeem beschikbaar is, moet u letten op gegevensbeschermingscriteria bij het kiezen van een geschikt systeem.