Op dit punt willen we de verschillende veiligheidsvragen op het gebied van CRM-systemen nader bekijken en in het proces de vraag beantwoorden wat u precies moet observeren bij de omgang met uw CRM-systeem onder de wetgeving inzake gegevensbescherming. Maar niet alleen de richtlijnen die voortvloeien uit de Algemene Verordening Gegevensbescherming spelen een rol bij de beveiliging van het CRM-systeem. Over het algemeen wil men zichzelf voldoende beschermen tegen externe aanvallen of het verlies van gegevens. Ontdek waar rekening mee moet worden gehouden op het gebied van beveiliging van CRM-systemen.

Wat is een CRM-systeem?

Maar eerst en vooral is het de moeite waard om naar algemene definities te kijken om te begrijpen in welke gebieden we ons eigenlijk bewegen. CRM staat voor Customer Relationship Management en beschrijft de oriëntatie van een bedrijf of zijn bedrijfsprocessen op de klant. Kort gezegd gaat CRM over holistisch klantrelatiebeheer voor de lange termijn engagement van de klant.

In een centrale database worden alle relevante klantgegevens en contacten opgeslagen in bijbehorende klantbestanden en kunnen deze door elke geautoriseerde medewerker worden bekeken. Dit heeft verschillende voordelen.

Voordelen van een CRM-systeem

Enerzijds kan de klantenservice sneller en met hogere kwaliteit reageren op vragen. Aan de andere kant kunnen marketing en verkoop profiteren van de verschillende gecentreerde gegevens. Vooral als ze worden geëvalueerd door verschillende analysehulpmiddelen. Op dit moment zijn er veel nieuwe inzichten die de reis van de klant nog aantrekkelijker en aangenamer maken. Kortom, CRM-systemen zijn een belangrijke sleutel in de digitalisering van bedrijven.

Aangezien verschillende gegevens worden opgeslagen in een CRM-systeem, en in het geval van een Cloud-oplossing worden deze op externe servers, meestal in het buitenland, rijst al snel de vraag naar gegevensbeveiliging.

Een kwestie van veiligheid

In deze serie willen we de belangrijkste aspecten van beveiliging in CRM-systemen behandelen en onderzoeken. Enerzijds gaat het om de beveiliging van de gegevens tegen toegang door derden, maar ook om de interne afhandeling hiervan, de opslag en de wettelijke eisen die bijvoorbeeld voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).

Toegangsrechten en roltoewijzing

Een CRM-systeem bevat een veelheid aan verschillende gegevens, die er uiteindelijk voor zorgen dat een compleet 360 ° -beeld van de klant ontstaat. Afhankelijk van de branche kunnen deze gegevens vrij gevoelig zijn, zodat hun bescherming moet worden gegarandeerd - zowel extern als intern. Om dit te kunnen garanderen, heeft een CRM-systeem de mogelijkheid om verschillende rollen van gebruikers te definiëren.

Niet elke werknemer heeft toegang nodig tot alle gegevens en niet alle gegevens moeten door iedereen kunnen worden bewerkt. Dit resulteert meestal in drie verschillende rollen binnen een CRM-systeem. Een beheerder kan in principe rollen bekijken, bewerken, verwijderen en ook toewijzen en definiëren. Gebruikers hebben ook toegang tot de gegevens en kunnen deze ook bewerken. Of ze ook gegevens kunnen verwijderen, is een individuele vraag. Gasten hebben dan alleen leestoegang tot de gegevens. Zoals reeds vermeld, zijn bovendien niet alle gegevens toegankelijk voor alle werknemers.

Personeelsbestanden kunnen bijvoorbeeld alleen worden bekeken door de HR-afdeling en het management en of belangrijke verkoopcijfers worden gereserveerd voor het management. Bij de introductie van een CRM-systeem is het daarom belangrijk om te zorgen voor een verreikend en functionerend roltoewijzingssysteem. Dit beschermt gegevens binnen een bedrijf.

Beveiliging van de database

Normaal gesproken worden de gegevens van een CRM-systeem opgeslagen in op SQL gebaseerde databases. Vaak wordt bijvoorbeeld een Microsoft SQL-server gebruikt, die vervolgens wordt ondersteund door de bekende Windows-infrastructuur en die gemakkelijk door de gebruiker of de beheerder kan worden onderhouden en beheerd.

Een SQL-database kan intern worden beheerd, op zijn eigen servers of via een VPN-tunnel beveiligd in een extern datacenter. Als gevolg hiervan heeft het bedrijf uiteindelijk volledige controle over de gegevens van het CRM-systeem en kan het voldoen aan alle gegevensbeschermingsvereisten van de EU met betrekking tot gegevensbeveiliging.

Algemene Verordening Gegevensbescherming (AVG)

Met de inwerkingtreding van de AVG moeten ook CRM-systemen aan hoge eisen voldoen. De bescherming van klantgegevens moet permanent worden gegarandeerd, zodat de rechten van de betrokkene worden beschermd. Naast het recht om te worden vergeten, omvat dit het recht om de verwerking te beperken, het recht op gegevensportabiliteit, gegevensminimalisatie of de uitvoering van toestemming en verschillende andere wettelijke grondslagen voor de verwerking van persoonsgegevens.

Ondertussen is dit bij het grootste deel van de CRM-systemen geïntegreerd. Ze kunnen bijvoorbeeld speciale functies gebruiken om de wettelijk conforme toestemming van klanten te garanderen om deze te verkrijgen en te documenteren, of ze kunnen verwijderings- en anonimiserings-perioden implementeren.

Beveiliging in de Cloud

Een van de grootste kritieken op Cloud services is altijd de beveiliging. Het is vaak nog onduidelijk of dit voldoende kan worden gewaarborgd. Opgemerkt moet worden dat de meeste Cloud leveranciers zich specialiseren in hosting en in de meeste gevallen een veel hoger beveiligingsniveau bieden dan bedrijven zelf kunnen garanderen. Volgens een BitKOM-onderzoek staat trouwens 85% van alle IT-geregistreerde IT-aanvallen los van cloudapplicaties.

Toch blijft gegevensbescherming een actueel onderwerp. De datacenters van de grote Cloud aanbieders bevinden zich meestal in de VS. In dit geval is gegevensbescherming moeilijk en moeten er afspraken worden gemaakt voor de verwerking van ordergegevens. Hosting in binnenlandse datacenters is daarom altijd een beetje eenvoudiger. De meeste CRM-cloudoplossingen voldoen ook aan de vereisten van de AVG en de bijbehorende hosters zorgen voor een overeenkomstig beveiligde infrastructuur. Omwille van de basisregelgeving voor gegevensbescherming is het echter niet nodig om de Cloud te gebruiken.

Schending van privacy

Als privacyregelgeving optioneel zou zijn, zouden bedrijven daar niet zo veel mee bezig zijn als nu het geval is. Maar aangezien er nu een verscheidenheid aan verschillende regels en wetten zijn is het verstandig om dit uit te zoeken. Overtreding hiervan is dan ook zeker niet zonder gevolgen.

Onlangs werd de hoogste straf opgelegd in Duitsland voor schendingen van de AVG. 14,5 miljoen euro was Deutsche Wohnen (DW) verschuldigd. Maar ook in Groot-Brittannië en Frankrijk zijn er al zware boetes opgelegd. Reden genoeg voor bedrijven om zich in te dekken. Eén ding is zeker: de tot nu toe opgelegde straffen zijn nog maar het begin. Maar niet alleen de boete zelf doet pijn, een onherstelbaar imagoverlies kan veel dieper gaan en een bedrijf duurzaam schaden.