Black flat screen tv turned on near green plant f3e8d9237df211e1a5d0054ccf9bd5ba 2000

Hoe werken AVG en een CRM-systeem samen?

Femke
Femke Bakker

Volgens de Algemene Verordening Gegevensbescherming (AVG) moet een CRM-systeem voldoen aan bepaalde eisen. Bij het gebruikmaken van CRM (Customer Relationship Management) is er namelijk sprake van het verwerken van persoonsgebonden data. Je gebruikt CRM vooral voor het beheer van alle relaties waar je bedrijf mee te maken heeft.

Het is belangrijk om te weten dat er regels gelden voor de wijze van documenteren, opslaan en verwijderen van deze privacygevoelige gegevens. Controleer daarom of je met jouw CRM-systeem aan de regels van de AVG voldoet.

AVG en CRM-systeem: verwerking van gegevens

Persoonsgegevens bestaan uit informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Onder de AVG vallen bijvoorbeeld naam, adres, telefoonnummer, e-mailadres, maar ook gevoelige informatie zoals ras, religie, politieke voorkeur of gezondheid. In een CRM-systeem moet, volgens de AVG, een reden zijn voor de verwerking van persoonsgegevens. Bijvoorbeeld bij het vastleggen van een overeenkomst is het nodig dat de betreffende persoon toestemming geeft voor de verwerking van zijn of haar persoonsgegevens. Neem deze toestemming bijvoorbeeld op in een offerte bij acceptatie van de algemene voorwaarden of het privacybeleid. Het is belangrijk om op te merken dat deze persoon ook het recht heeft om deze toestemming op elk moment in te trekken.

Een CRM-systeem biedt vaak de mogelijkheid om extra velden toe te voegen bij de persoonsgegevens. Hiermee kun je vermelden waarom je persoonsgegevens verwerkt. Een andere handige optie is het genereren van een lijst met personen waarvoor je nog geen reden voor de verwerking van persoonsgegevens hebt vastgelegd. Het is aan te raden om te checken of jouw CRM-systeem deze opties biedt.

AVG en CRM: recht op inzage gegevens

Volgens de AVG hebben betrokkenen recht op inzage in hun eigen gegevens. Een CRM-systeem moet eenvoudig mogelijk maken om naar een persoon te zoeken en de vastgelegde persoonsgegevens op te vragen. Dit maakt het eenvoudig om deze informatie te delen met degene die recht op inzage heeft gevraagd.

Er is ook de optie om de betreffende informatie te exporteren via een exportfunctie. Hiermee kun je tegemoet komen aan het recht op het overdragen van gegevens. De informatie kan dan worden gebruikt in andere situaties.

Beveiliging van persoonsgegevens

Bij het verwerken van persoonsgegevens is het door de AVG en gebruik van CRM belangrijk dat je de informatie beveiligt. Er dient sprake te zijn van een waarborg van de beveiliging van persoonsgegevens. Krijgt je bedrijf te maken met een datalek? In dat geval geldt dat je als bedrijf de verplichting hebt om binnen een periode van 72 uur daar melding van te doen. Hierop geldt een uitzondering. Als het datalek geen bedreiging vormt voor de vastgelegde persoonsgegevens, hoeft de melding niet plaats te vinden.

Het is van belang om na te gaan of de softwareleverancier voorzieningen treft om de persoonsgegevens veilig te stellen, zoals het scheiden van de omgeving en database per klant en het gebruik van een versleutelde verbinding binnen dataverkeer. Verder is het nuttig om te weten of er een autorisatiemodule beschikbaar is voor het regelen van toegangsrechten tot persoonsgegevens.

Hoelang mag je gegevens bewaren op grond van AVG bij CRM?

De AVG schrijft niet concreet voor wat de termijn is om persoonsgegevens te bewaren. Je gaat daar als bedrijf zelf over, maar moet wel met een belangrijk aspect rekening houden. Bij het bewaren van persoonsgegevens beoordeel je voor welke periode deze gegevens nodig zijn in relatie tot het doel waarvoor je deze hebt opgeslagen en wilt gebruiken. Indien de informatie niet meer noodzakelijk is dan schrijft de AVG voor dat je de gegevens moet vernietigen.

Voldoende beheersing van bewaartermijnen is een belangrijk onderdeel van AVG-compliant CRM-beheer. Overweeg de mogelijkheid om de bewaartermijn bij de persoonsgegevens in te stellen en een notificatie te koppelen voor de datum van vernietiging. Hiermee houd je de AVG-eisen in acht en bewaak je de privacy van jouw klanten.