Ondertussen is de GDPR al meer dan één jaar in voege. Toch blijken veel organisaties nog steeds niet aan de nieuwste privacywetgeving te voldoen. Ook het CRM-pakket blijkt maar al te vaak een probleem te vormen. En niet alleen wanneer er gekozen wordt voor buitenlandse CRM-pakketten die niet compliant zijn. Zelfs met reguliere CRM software is het immers opletten geblazen: je mag dan ook niet zomaar alle gegevens in jouw CRM-pakket opnemen. Bovendien zijn er nog een aantal andere zaken waar je op moet letten.
Toestemming als basisregel
Wanneer je persoonsgegevens verwerkt en opslaat, moet je daarvoor een geldige rechtsgrond hebben. Over het algemeen zal je je baseren op de toestemming. In dat geval moet het gaan om een (i) vrije, (ii) specifieke, (iii) geïnformeerde en (iv) ondubbelzinnige toestemming. En dat heeft verschillende consequenties:
- (i) De toestemming moet vrij zijn: Aan de toestemmingsweigering mogen geen negatieve gevolgen worden gekoppeld. Zo kan het niet dat alleen klanten die toestemmen op jouw diensten mogen rekenen. En ook bij een gezagsverhouding komt de vrije toestemming al snel in het gedrang;
- (ii) De toestemming moet specifiek zijn: Je moet duidelijk het doel van de verwerking uitleggen en je moet telkens een afzonderlijke toestemming vragen indien het een verwerking met meerdere doeleinden betreft;
- (iii) De klant of prospect moet geïnformeerd zijn: Je dient informatie te bieden over de identiteit van de verwerkingsverantwoordelijke, het doel van de verwerking, de verzamelde data, het recht om de toestemming in te trekken, de mogelijke risico’s van doorgifte van persoonsgegevens naar derde landen en het gebruik van de gegevens i.h.k.v. een geautomatiseerde besluitvorming;
- (iv) De toestemming moet ondubbelzinnig zijn: Impliciete akkoorden en met name de preticked boxes zijn niet toegelaten.
In de praktijk zal je bijna altijd uitkomen bij een online formulier waarmee je de toestemming vraagt. Een double-opt-in-systeem, waarbij de klant of prospect eerst nog even op een linkje van een bevestigingsmail moet klikken, krijgt wat mij betreft de voorkeur.
Soms moet de toestemming uitdrukkelijk zijn
In sommige gevallen koppelt men een extra voorwaarde aan de toestemming. In zo’n geval moet het gaan om een uitdrukkelijke toestemming. Een schriftelijke verklaring, een ingevuld formulier of een mail is dan noodzakelijk. Dat is onder andere het geval indien het gaat om de verwerking van gevoelige persoonsgegevens. Denk bijvoorbeeld aan een verzekeraar die ook de medische voorgeschiedenis wenst op te slaan en te verwerken.
Opletten bij kinderen
Vooral indien kinderen jouw doelpubliek zijn, wordt het een stuk lastiger. Kinderen kunnen volgens de Belgische wetgeving immers pas rechtsgeldig hun toestemming verlenen van zodra ze 13 jaar oud zijn. In het andere geval heb je de toestemming van een ouder nodig. Het loont met andere woorden de moeite om steeds de leeftijd te vragen.
Weet bovendien dat de toestemming pas rechtsgeldig is wanneer de minderjarige voldoende is geïnformeerd. Ook hier zal je met andere woorden voldoende informatie moeten verstrekken. Maar bovendien zal de verstrekte informatie ook nog eens aangepast moeten zijn aan de leeftijd van het kind. Juridisch vakjargon laat je dus maar beter achterwege.
Niet meer data verzamelen dan nodig
Vooraleer je gegevens mag opnemen in jouw CRM-pakket, heb je dus eerst een toestemming nodig. Toch is de toestemming nog niet zaligmakend. Je mag immers niet meer gegevens verwerken dan nodig. Stel jezelf daarom een aantal kritische vragen en ga na welke gegevens je nu wel of niet nodig hebt. De naam, het mailadres en zelfs het geslacht (cf. de aanspreekvorm) valt bijvoorbeeld eenvoudig te onderbouwen. Maar moet je echt het beroep, het hoogst behaalde diploma of de geloofsovertuiging weten? Indien het antwoord negatief is, laat je dergelijke zaken maar beter achterwege.
Respecteer de rechten van jouw klanten
Bovendien is het belangrijk om te weten dat de tegenpartij ook op een aantal andere rechten mag rekenen. Zo heeft de partij een gratis inzagerecht. En dus moet je eenvoudig de gegevens uit jouw CRM-pakket kunnen exporteren. Wanneer bedrijven CRM-software vergelijken, houden ze daar maar beter rekening mee. Ga dan meteen ook even na of je de persoonsgegevens eenvoudig kan corrigeren of verwijderen. Want ook dat kan de tegenpartij van jou verlangen.
Voorzie een stugge bescherming
Met persoonsgegevens spring je niet lichtzinnig om. Anders loop je niet alleen tegen kwalijke schadeclaims aan, maar zal ook de Gegevensbeschermingsautoriteit hardhandig ingrijpen. Niet voor niets kende het recent nog een eerste GDPR-boete toe. Zorg er daarom voor dat je eenvoudig kan bouwen aan een stug toegangsbeheer. Vooral CRM-software waarbij verschillende toegangsrechten heel gewoon zijn of waarbij MFA kan worden geïntegreerd, hoort de voorkeur te krijgen.
