De GDPR is intussen al even van kracht. Het legt een aantal strikte privacyregels op, waardoor u niet zomaar vrijelijk klantgegevens mag opnemen in uw CRM-systeem. Wij leggen uit hoe u GDPR-proof omgaat met uw CRM-systeem en waarop u dient te letten.
Uitdrukkelijke toestemming is vereist
U mag niet zomaar de prospectgegevens opnemen in uw CRM-systeem. Daarvoor heeft u de uitdrukkelijke toestemming van uw klant nodig. Tijdens het telefonisch gesprek vraagt u om die toestemming. En bij een online aanmelding wordt daarvoor een aan te vinken vakje voorzien. Een zachte opt-in is niet toegestaan.
Uitdrukkelijke toestemming voor verwerking persoonsgegevens
Niet alleen voor het opnemen van die gegevens heeft u de uitdrukkelijke toestemming nodig, maar bovendien is dat ook het geval voor het verwerken ervan. U moet dus vooraf aangeven waarvoor u die persoonsgegevens gaat gebruiken en u mag het vervolgens ook enkel voor die doelstellingen gebruiken. Daarnaast moet het ook verdedigbaar zijn waarom u de gegevens opneemt. Voor de verkoop van alcoholische dranken is het vragen en registreren van de geboortedatum bijvoorbeeld niet zo gek. En ook het geslacht (of beter: de aanspreektitel) is voor commerciële communicatie niet gek. Maar andere nutteloze gegevens zoals de religie, de geboortestad of de seksuele voorkeuren zijn uiteraard irrelevant en mag u niet opnemen in uw database.
Ten slotte mag u de gegevens enkel opslaan voor de termijn die nodig is voor uw doel. Is dat enkel voor het afronden van één bestelling? Dan moet u het in principe, na het verstrijken van de verjaringstermijn, uit uw bestanden verwijderen. U geeft daarbij vooraf aan hoe lang de persoonsgegevens worden bewaard.
Voorbeeld
Wilt u de persoonsgegevens gebruiken voor commerciële mailings? Dan zult u dus vooraf de uitdrukkelijke toestemming moeten verkrijgen om de noodzakelijke gegevens op te nemen (naam, mailadres en aanspreektitel) én om die gegevens te gebruiken voor uw commerciële mailing. Indien er nooit respons komt op uw commerciële mailing? Dan kunt u de gegevens verwijderen, bijvoorbeeld na twee jaar zonder bestelling.
Nieuwe rechten op basis van de GDPR
Wanneer de bewaarperiode is verstreken, moet u de persoonsgegevens verwijderen. Maar dat moet u ook doen op verzoek van de betrokkene. Dat is één van de rechten waarover men door de GDPR beschikt. Daarnaast moet u op hun verzoek een kopie bezorgen van de persoonsgegevens die u heeft verwerkt en hebben de betrokkenen ook het recht om hun gegevens te laten corrigeren.
Goede beveiliging van persoonsgegevens
De GDPR verplicht u ten slotte om persoonsgegevens goed te beveiligen. Hoe u dat doet, daar bent u in principe vrij in. Maar indien na een inbreuk blijkt dat u niet voldoende aan uw beveiligingsplicht heeft voldaan, riskeert u niet alleen schadeclaims maar ook fikse boetes. Daarom voorziet u uw systemen maar beter van een goede firewall en laat u zich technisch ondersteunen.
Het belang van een compliant CRM-systeem
Een goed CRM-systeem is aangepast aan de bepalingen van de GDPR. Daarom nemen wij van Cloudhints enkel CRM-systemen op die voldoen aan de strikte vereisten van de GDPR. Ook CRM-systemen die de gegevens buiten Europa verwerken, zijn niet in ons overzicht opgenomen. Vergelijk compliant CRM-systemen en zoek de software die bij uw organisatie past.
