Toegangsrechten

Waarom zijn toegangsrechten relevant in een CRM-systeem?

Klantrelatiebeheersystemen - ook CRM-systemen genoemd - worden gebruikt om alle klantspecifieke processen in een bedrijf te verwerken. Over het algemeen verwijzen deze naar gebieden zoals contactbeheer, productiviteitsverbetering of verkoopbeheer.

De gegevens die zijn vastgelegd en verwerkt in CRM-systemen zijn onder meer stamgegevens, quota of jaarlijkse inkoophoeveelheden en bestellingen, maar sommige CRM-systemen met de bijbehorende functionaliteit of met de juiste add-on bevatten ook facturen of herinneringen.

Het wordt duidelijk dat sommige van de in CRM-systemen verwerkte informatie zeer gevoelige gegevens zijn. Gevoelige gegevens worden niet alleen gevonden op het gebied van CRM-systemen - DMS-, HRM- of BI-systemen vereenvoudigen ook processen door centraal beheer van gedeeltelijk gevoelige gegevens.

Persoonlijke gegevens

Met name in het geval van persoonlijke gegevens, die vaak worden verwerkt met behulp van een CRM-systeem, is de wet sinds de inwerkingtreding van de AVG in mei 2016 of uiterlijk sinds de inwerkingtreding ervan in mei 2018 aan strenge regels onderworpen. Het hoofddoel is een transparantere verwerking van persoonlijke gegevens. Dit definieert de algemene term 'persoonlijke gegevens' in artikel 4 nr. 1 als 'alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon'.

Dienovereenkomstig voorziet de wetgever enerzijds in een duidelijk onderscheid tussen een natuurlijke persoon, d.w.z. een privépersoon, en een persoon in juridische zin, bijvoorbeeld een stichting of een bedrijf. Dienovereenkomstig zijn vertrouwelijke informatie met betrekking tot rechtspersonen uitdrukkelijk geen "persoonlijke gegevens". Dit omvat echter bijvoorbeeld de volledige naam, woonplaats of identiteitskaartnummer van een particulier.

Aangezien de uitdrukking "alle informatie" in de definitie voorkomt, vallen minder persoonsgebonden gegevens, waardoor een particulier niet duidelijk kan worden geïdentificeerd, onder de Algemene verordening gegevensbescherming. Zo wordt bijvoorbeeld de registratie van de werktijd van een werknemer genoemd, dat wil zeggen het exacte tijdstip van aanwezigheid of afwezigheid met nauwkeurige specificatie van de respectieve datum of tijd.

Bovendien tellen subjectieve informatie zoals beoordelingen van werknemers, meningen, persoonlijke feedback of andere beoordelingen ook als zogenaamde "persoonlijke gegevens".

CRM in overeenstemming met de AVG

De verwerking van persoonsgegevens met betrekking tot CRM-systemen wordt relevant in artikel 30 van de Algemene verordening gegevensbescherming (AVG). Het is verplicht om schriftelijke documentatie of een overzicht te verstrekken van alle procedures waarin de verwerking van persoonsgegevens vereist is - alles tegen de achtergrond van een zo transparant mogelijke gegevensverwerking. Als de verplichting om een directory van verwerkingsactiviteiten bij te houden niet wordt nageleefd, kan in extreme gevallen een boete van 10 miljoen euro of 2% van de jaaromzet van de respectieve onderneming worden opgelegd door de verantwoordelijke toezichthoudende autoriteit.

Bovendien moet sinds mei 2018 schriftelijke toestemming van de klant worden verkregen om persoonsgegevens te verwerken met behulp van een CRM-systeem. Evenzo moeten de gebruikte gegevens op uitdrukkelijk verzoek van de klant worden verwijderd.

Toewijzingsrechten

Met de inwerkingtreding van de AVG zullen ook nieuwe eisen worden gesteld aan bestaande CRM-systemen. De meeste gangbare CRM-systemen hebben al een rol- en autorisatieconcept dat verwerkt welke gebruiker toegang heeft tot klantgegevens of deze kan exporteren of verwijderen.

Het systeem verleent een gebruiker dus niet automatisch toegang tot bepaalde gegevens, tenzij dit wordt bepaald door zijn rol en de bijbehorende toewijzingsrechten. Dit zorgt er niet alleen voor dat gevoelige, klantspecifieke gegevens veilig worden verwerkt, maar voorkomt ook dat de belangrijke klantgegevens van de klant onbedoeld worden bewerkt of verwijderd in het CRM-systeem.

De toewijzing van de respectieve rol is idealiter gebaseerd op het profiel van de respectieve werknemer, volgens crm-now.de. Het werknemersprofiel bepaalt of hij toegang heeft tot CRM-gegevens van verkoop, klantenondersteuning of een andere afdeling. Daarnaast zijn de hiërarchische positie van de werknemer binnen het bedrijf en de bijbehorende taken bij het toewijzen van een rol opgenomen. Dit geeft een verkoopmanager een andere rol dan een stagiair in de verkoop.

Dynamics 365 voor klantbetrokkenheid

Microsoft Dynamics 365 voor klantbetrokkenheid is een voorbeeld van de inkooprechten binnen een CRM-systeem. Hier wordt onderscheid gemaakt tussen verschillende beveiligingsrollen die toegang tot verschillende soorten gegevensrecords toestaan of weigeren. Het is mogelijk om meerdere beveiligingsrollen toe te wijzen aan een enkele gebruiker. Dit geeft hem alle rechten op elk van de rollen die hem zijn toegewezen.

Microsoft maakt onderscheid tussen rechten op gegevensrecordniveau en taakgebaseerde rechten. Recordniveau-rechten bepalen welke taken elke gebruiker met een bepaald record kan uitvoeren. Dit betekent dat een groot aantal gebruikers het gegevensrecord kan bekijken, terwijl slechts een klein aantal werknemers gemachtigd is om het te bewerken of te verwijderen. Op taken gebaseerde rechten zijn het algemene recht om een specifieke taak uit te voeren, zoals het recht om de productcatalogus te wijzigen.

Ongeacht het respectieve CRM-systeem, speelt een extra onderverdeling in groepen of teams vaak een rol, vooral voor grotere bedrijven. In de verkoop kan het bijvoorbeeld logisch zijn voor internationaal actieve bedrijven om groepen af te stemmen op geografische regio's of andere bedrijfsspecifieke criteria. In dit geval hebben gebruikers die klanten in Noord-Europa bedienen geen toegangsmachtiging tot klantgegevens van het Aziatische klantenbestand nodig om redenen van duidelijkheid en efficiënter werken.

Cloudgebaseerde CRM-systemen en de GDPR

Desondanks kunnen beveiligingslekken optreden ondanks het bestaande rol- en autorisatiesysteem. Omdat bij het gebruik van een Cloud CRM-systeem voor het beheren en verwerken van persoonlijke gegevens - met name gezondheidsgegevens of iets dergelijks, ervoor moet worden gezorgd dat de cloudprovider voldoet aan de toepasselijke richtlijnen voor gegevensbescherming. Dit is niet het geval bij een aanbieder wiens maatschappelijke zetel buiten de EU ligt en dus buiten het toepassingsgebied van de AVG.