Verwijderingsperioden
Hoe CRM-systemen de naleving van de verwijderingsperioden en deadlines voor verwijdering kunnen ondersteunen naar richtlijnen van de AVG.
Meer en meer bedrijven vertrouwen op CRM-systemen om al hun klantgegevens centraal op te slaan en te beheren. Met de definitieve inwerkingtreding van de AVG in mei 2018 is het veilige beheer en de verwerking van gevoelige gegevens de aandacht van het publiek geworden. Gezien de richtlijnen voor gegevensbescherming die nu van toepassing zijn, kunnen CRM-systemen op het eerste gezicht een groot beveiligingsrisico lijken, omdat als gegevensbescherming onvoldoende is, ze mogelijk een grote hoeveelheid zeer gevoelige gegevens in verkeerde handen kunnen brengen.
Maar er is een andere manier - speciale functies binnen een CRM-systeem maken het mogelijk om het bedrijf te ondersteunen bij het naleven van richtlijnen voor gegevensbescherming. Het debat over de AVG was ook gericht op hoofdstuk 3, artikel 17 - recht op gegevenswissing. Bij informeel gebruik wordt dit artikel ook wel het 'recht om te worden vergeten' genoemd.
CRM-systemen en het recht om te worden vergeten
Hoofdstuk 3, Artikel 17 van de AVG, dat sinds mei 2018 bindend is, bepaalt dat een betrokkene het recht heeft
"(...) De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is: (...)".
Bovendien worden als mogelijke redenen bijvoorbeeld gegeven dat de gegevens overbodig zijn geworden voor het doel waarvoor ze oorspronkelijk werden verzameld, dat ze werden gebruikt voor onwettige doeleinden of dat de betrokkene bezwaar maakt tegen de verdere verwerking met terugwerkende kracht.
Bewaartermijn
Wettelijke termijnen zijn van toepassing op het verwijderen van de gegevens. Het bedrijf is verplicht om de betreffende gegevens onmiddellijk te verzenden na ontvangst van een overeenkomstig verzoek van de betrokkene, met andere woorden om te verwijderen zonder "verwijtbare vertraging". Dit kan problemen opleveren voor veel bedrijven die hun klantgegevens op een gedecentraliseerde manier beheren, omdat er bij twijfel geen uniform overzicht beschikbaar is voor alle verantwoordelijke werknemers over welke applicaties al zijn verwerkt. Dit kan leiden tot interne vertragingen bij de juiste verwijdering, wat in geval van twijfel een nasleep kan hebben voor het bedrijf.
Straffen voor overtredingen
Volgens artikel 25, lid 2, is het bedrijf dat de gegevens verwerkt zelfs verplicht maatregelen te nemen in de vorm van technische standaardinstellingen. In geval van inbreuk kan dit worden bestraft met een boete van 10 miljoen euro of 2% van de jaaromzet van het voorgaande jaar - welke van beide het hoogste is.
In geval van schending van een of meer van de in artikel 5 genoemde punten kan de boete zelfs oplopen tot 20 miljoen EUR of 4% van de jaaromzet van het afgelopen boekjaar. Uiteindelijk wordt het bedrag van de boete vastgesteld door de verantwoordelijke toezichthoudende autoriteiten in de respectieve federale staat.
Dus welke maatregelen kan een bedrijf in detail nemen om zichzelf te beschermen tegen schendingen van de AVG en mogelijke boetes?
AVG-compatibele CRM-systemen - wat zijn de vereisten?
Een bedrijf dat zijn klantgegevens beheert met behulp van CRM-systemen, heeft verschillende opties voor het maken van aanpassingen in het systeem zelf om naleving van de AVG te waarborgen.
Voorstellen voor algemene maatregelen die bedrijven kunnen nemen, staan vermeld in overweging 78 van de AVG. Hier staat dat dergelijke maatregelen bijvoorbeeld kunnen bestaan uit:
"(...) de verwerking van persoonsgegevens wordt geminimaliseerd, persoonlijke gegevens worden zo snel mogelijk gepseudonimiseerd, er wordt transparantie gecreëerd met betrekking tot de functies en verwerking van persoonlijke gegevens, de betrokkene wordt in staat gesteld om de verwerking van persoonlijke gegevens te controleren en de verwerkingsverantwoordelijke is ingeschakeld om beveiligingsfuncties te maken en te verbeteren. ”.
Dit is bijvoorbeeld mogelijk door de documentatie van verzoeken van betrokkenen te automatiseren. Het verzoek om informatie of verwijdering van de gegevens kan hier bijvoorbeeld worden opgenomen. Door de binnenkomende vragen te dateren, houden de gebruikers van het CRM-systeem bij welke klantgegevens vervolgens moeten worden verwijderd.
Er is bijvoorbeeld ook de mogelijkheid om het systeem automatisch te laten rapporteren (inclusief via e-mail) aan wie de wettigheid van gegevensbeheer en -verwerking binnenkort vervalt. De verantwoordelijke gebruiker wordt onmiddellijk op de hoogte gebracht dat er dringend actie nodig is. Op deze manier kan hij het bijbehorende gegevensrecord permanent verwijderen.
Het correct verwijderen van verzamelde gegevens
Maar wat betekent "verwijderen" precies in tijden van digitale transformatie? De term zelf wordt niet verder gedefinieerd in de algemene verordening gegevensbescherming. Het is echter belangrijk dat wanneer de verwijdering eenmaal is uitgevoerd, er geen mogelijkheid meer is om achteraf "zonder onevenredige inspanning" toegang te krijgen tot de gegevens.
Verantwoordelijkheid voor fabrikanten
Volgens de GDPR is het de verantwoordelijkheid van de gebruiker van een Cloud CRM-systeem om ervoor te zorgen dat de toepasselijke richtlijnen voor gegevensbescherming van de systeemprovider overeenkomen met die van de AVG. Desalniettemin vereist de AVG in overweging 78 van fabrikanten dat zij ook maatregelen nemen om de gebruikers van de software tijdens de gegevensverwerking te ondersteunen in overeenstemming met de toepasselijke richtlijnen voor gegevensbescherming. Hier staat:
"Wat betreft de ontwikkeling, het ontwerp, de selectie en het gebruik van applicaties, diensten en producten die ofwel zijn gebaseerd op de verwerking van persoonsgegevens of die persoonsgegevens verwerken om hun taken te vervullen, moeten de fabrikanten van de producten, diensten en applicaties worden aangemoedigd om dit te doen over gegevensbescherming bij de ontwikkeling en het ontwerp van producten, diensten en toepassingen en rekening houdend met de stand van de techniek om ervoor te zorgen dat de verantwoordelijken en verwerkers in staat zijn hun verplichtingen inzake gegevensbescherming na te komen.”.
Sommige softwareproviders hebben bijvoorbeeld al middelen geïnvesteerd in de ontwikkeling van geschikte add-ons die helpen om te voldoen aan de AVG binnen bestaande CRM-systemen.
Start uw CRM selectie
Ontdek welke CRM systemen het beste passen bij uw onderneming
De voordelen van Cloud CRM voor het mkb
Ontdek waarom een Cloud CRM bijzonder geschikt is voor het midden- en kleinbedrijf.
Lees verderIs een on-premises CRM geschikt voor zelfstandigen?
Ontdek waarom ook deze ondernemers kunnen profiteren van een CRM-systeem en of een on-premises oplossing interessant is.
Lees verder