Doeltreffende CRM

Transcriptie

1 Doeltreffende CRM

2 Doeltreffende CRM GDPR: is jouw CRM systeem al voorbereid? Op 25 mei 2018 treedt de GDPR (General Data Protection Regulation) in werking. Na een transitieperiode van 2 jaar is het dan zo ver. De AVG is bedoeld om een kader te scheppen waarin het voor iedereen duidelijk is wat de rechten en plichten zijn met betrekking tot opslag, gebruik en verwerking van persoonsgegevens. Ben je hier al helemaal op voorbereid? Wat gaat er precies veranderen? En wat betekent dit voor je CRM systeem en de manier waarop je met klanten en de markt communiceert? In dit white paper leggen we de belangrijkste aandachtspunten uit, zodat je de komende maanden GDPR compliant kunt worden. Een persoonsgegeven is een gegeven over een geïdentificeerd natuurlijk persoon. Deze informatie is te herleiden naar de persoon of gaat direct over een persoon. Met natuurlijk wordt bedoeld dat gegevens over een organisatie geen persoonsgegevens zijn en wanneer iemand overleden is zijn het ook geen persoonsgegevens. Ook zakelijke telefoonnummers en adressen horen hierbij.

3 Doeltreffende CRM GDPR in het algemeen GDPR is een wetgeving voor gegevensbescherming. In het Nederlands wordt dit AVG genoemd, de Algemene Verordening Gegevensbescherming. Vanaf 25 mei 2018 zal in de hele EU dezelfde privacywetgeving gelden. Het doel van deze nieuwe wetgeving is dat de persoonsgegevens waarover organisaties beschikken, worden beschermd. Op dit moment geldt in Europa de Richtlijn Bescherming Persoonsgegevens, ontstaan in Elk land heeft een privacywetgeving die hierop gebaseerd is. In Nederland is dat de Wet Bescherming Persoonsgegevens. Onder andere door de opkomst van het digitale tijdperk is het noodzakelijk om de wet te vervangen. Volgend jaar treedt de GDPR (General Data Protection Regulation) in werking in de hele EU. Waarom? Het doel van deze nieuwe wetgeving is dat alle privacygevoelige gegevens die organisaties hebben, worden beschermd. Hoe? Het wordt verplicht om toestemming te krijgen voor het verkrijgen en verwerken van gegevens van klanten. Er is een strengere regelgeving opgesteld. De belangrijkste aandachtspunten van de AVG in het kort: 1. De activiteiten waarbij gegevens worden vastgelegd, vallen sneller dan vroeger onder de privacy wetgeving. 2. De privacy verklaring richting de personen waar gegevens van worden vastgelegd, moet nóg transparanter 3. Álle datalekken moeten intern worden vastgelegd. 4. Alle verwerkingen van persoonlijke gegevens moeten worden vastgelegd 5. Samenwerking met leveranciers waar persoonlijke data verwerkt worden, moet in een bewerkersovereenkomst worden vastgelegd. 6. Je moet zo weinig mogelijk privacy gevoelige informatie verzamelen en deze ook zo snel mogelijk weer weggooien. 7. Het privacy beleid moet worden vastgelegd en medewerkers moeten hiervan op de hoogte zijn. Het is dan ook aan te bevelen om dit in de CRM implementatie mee te nemen. Definitie van Persoonsgegevens Een persoonsgegeven is een gegeven over een geïdentificeerd of identificeerbaar natuurlijk persoon. Deze informatie is direct of indirect te herleiden naar de persoon. Wanneer iemand overleden is vervallen de regels t.a.v. privacy conform de AVG, terwijl het wel verstandig is om dat in de database te verwerken. Wel kunnen (wettelijke) geheimhoudingsbepalingen blijven gelden. Conform een uitspraak van de Europese Commissie valt de opslag van B2B activiteiten buiten de AVG. Organisatiegegevens zijn geen persoonsgegevens. Er is echter wél sprake van een persoonsgegeven indien de gegevens herleidbaar zijn naar een persoon, zoals bij een eenmanszaak of VOF of indien het gegevens betreffende een individuele bestuurder zijn.

4 Dat betekent ook dat zakelijke telefoonnummers en adressen, personeelsadministraties, afbeeldingen e.d. met de nieuwe regelgeving nog steeds onder persoonsgegevens vallen. Dus als je in de CRM of marketing omgeving een mobiel telefoonnummer, een direct doorkiesnummer en een persoonlijk adres vastlegt, valt dit onder de AVG. Wat verandert er in algemene zin? Er wordt een verandering doorgevoerd aan het verkrijgen van toestemming van de klant om zijn/haar gegevens te verwerken. En dat geldt niet alleen voor klanten, maar ook voor andersoortige relaties. Wanneer zij hier geen toestemming voor geven, dan mag hier wettelijk gezien ook niets mee worden gedaan. Je moet kunnen aantonen (dus vastleggen!) dat je een geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. En deze personen moeten deze toestemming gemakkelijk weer in kunnen trekken (ook vastleggen!). (Bron: Europese Commissie en WP29). Dit heeft consequenties voor de sales en marketing processen die door de CRM omgeving worden ondersteund. Omdat er nu een administratieplicht is bij organisaties waar meer dan 250 personen werkzaam zijn (en bij organisaties waarbij sprake is van bijzondere persoonsgegevens) is het voor deze organisaties van belang dat gedocumenteerd wordt welke persoonsgegevens worden verwerkt. Deze administratieplicht zorgt ervoor dat aangetoond moet worden dat de organisatie in overeenstemming met de wettelijke bepalingen in de AVG handelt. Daarnaast is het voor bepaalde bedrijven verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Deze persoon is onafhankelijk toezichthouder voor de persoonsgegevens. De directie/ RvB blijft echter verantwoordelijk, ook bij het aanstellen van een FG. Het aanstellen van de FG is volgens de AVG verplicht in drie situaties (art. 37 AVG): a. Overheidsinstanties; b. Stelselmatige observatie;. c. Grootschalige verwerking van bijzondere persoonsgegevens. Het is verplicht voor bedrijven om een veiligheidsfunctionaris te hebben. Gegevens mogen niet voor andere doeleinden worden gebruikt dan wat afgesproken is. Koopvaarder 2a 1625 BZ Hoorn (NH) Tel

5 Doeltreffende CRM Ook mogen gegevens (net als voor de AVG) niet voor andere doeleinden worden gebruikt dan wat er met de persoon in kwestie afgesproken is en moeten dan ook in voldoende mate beveiligd worden. Er mogen niet meer gegevens worden opgevraagd dan nodig is en ook niet langer worden bewaard dan noodzakelijk. Het is bijvoorbeeld meestal niet relevant om de geloofsovertuiging van een relatie te weten om zaken met iemand te doen. Deze gegevens mogen dan ook niet worden bewaard. Het opschonen van profieldata zal in dan in de beheeromgeving moeten worden geborgd. Verwerking van gegevens De privacy wetgeving gaat uit van de volgende zes grondslagen om persoonsgegevens te mogen verwerken De gegevensverwerking moet gestoeld zijn op minimaal één van de hieronder beschreven zes grondslagen: 1. Ondubbelzinnige toestemming; 2. Noodzakelijk voor uitvoering overeenkomst; 3. Noodzakelijk in verband met wettelijke verplichting; 4. Noodzakelijk voor vrijwaring vitaal belang betrokkenen; 5. Noodzakelijk voor invulling publiekrechtelijke taak; 6. Gerechtvaardigd belang verantwoordelijke, tenzij dit fundamenteel recht of vrijheid schendt. (Bron: Autoriteit Persoonsgegevens) Betrokkenen moeten gemakkelijk hun privacy rechten uit kunnen oefenen en met deze nieuwe regeling krijgt de betrokkene meer zeggenschap over zijn of haar persoonsgegevens. Deze privacy rechten bestaan uit: Gegevens mogen niet langer bewaard worden dan nodig. Er moet altijd toestemming gegeven worden voor het verzamelen of verwerken van gegevens van een persoon Het recht van inzage Ieder mens heeft het recht op inzage in de eigen persoonsgegevens. Dit betekent dus dat iedereen een organisatie mag vragen of de persoonsgegevens vast zijn gelegd en om welke gegevens het gaat. Hierbij is het niet verplicht om hier een reden voor te geven. Wel geldt het alleen voor de eigen persoonlijke gegevens gaat. Er morgen geen gegevens over anderen opgevraagd worden. Wanneer er sprake is van een inzage, moet de organisatie laten weten of de persoonsgegevens daadwerkelijk worden gebruikt of niet. Wanneer dit wel het geval is, moet de organisatie laten weten om welke gegevens het gaat, wat de herkomst is van de gegevens, het doel van gebruik en aan wie de gegevens verstrekt zijn.

6 Dat betekent dat er een centraal klantprofiel inzichtelijk gemaakt moet kunnen worden. Een verdeeld klantprofiel over verschillende systemen bemoeilijkt het kunnen voldoen aan het recht van inzage. Het recht van correctie en verwijdering Naast het recht op inzage van persoonsgegevens, hebben mensen ook het recht correctie te vragen van hun persoonsgegevens. Onder correctie wordt verstaan: het verbeteren, aanvullen, verwijderen of afschermen van hun persoonsgegevens. Dit gebeurt in gevallen wanneer de gegevens onjuist zijn, onvolledig zijn of op een andere manier in strijd met de wet worden gebruikt. Het gebruik van een klantenportal maakt de toepassing van het recht van correctie en verwijdering gemakkelijker. Recht op vergetelheid Betrokkenen kunnen in een aantal gevallen aan organisaties vragen, zijn/haar persoonsgegevens te wissen. Dit geldt voor de volgende momenten: - Als de organisatie de persoonsgegevens niet meer nodig heeft voor de doeleinden waarvoor deze in eerste zijn verzameld of verwerkt. - Als de betrokkene de eerder gegeven toestemming voor het gebruik van de gegevens wil intrekken. - Als er bezwaar wordt gemaakt tegen de verwerking. - Als de organisatie de persoonsgegevens onrechtmatig verwerkt. - Als de organisatie de gegevens niet na bepaalde tijd wist. Dit is namelijk wettelijk verplicht. - Als de betrokkene jonger is dan 16 jaar en de persoonsgegevens via een app of website zijn verzameld. CRM Recht op verzet Bij het recht op verzet heeft een persoon het recht om te vragen aan een organisatie of ze de persoonsgegevens niet meer willen gebruiken. Dit kan wanneer de gegevens bijvoorbeeld voor direct marketingdoeleinden worden gebruikt (vergelijkbaar met de NEE sticker op de brievenbus), maar dit kan ook om bepaalde persoonlijke redenen gaan. Denk hierbij bv aan de situatie dat een persoon het onprettig vindt dat bepaalde collegae inzicht zouden kunnen krijgen in deze data. Koopvaarder 2a 1625 BZ Hoorn (NH) Tel

7 Doeltreffende CRM Recht op dataportabiliteit Dit recht wordt ook wel overdraagbaarheid van persoonsgegevens genoemd. Betrokkenen hebben het recht om de persoonsgegevens die een organisatie van hen heeft, op te vragen. En dan dus ook te ontvangen. Dat betekent dat je in staat moet zijn om het totale klantprofiel op eenvoudige wijze beschikbaar te maken. Was het zo in het verleden dat organisaties bezig waren het centrale klantprofiel te completeren vanuit een marketing gedachte, vanuit de GDPR is er een drive bijgekomen. En dat betekent dat er in het CRM domein gekeken moet worden op welke wijze het klantprofiel in een rapportage gemakkelijk beschikbaar gesteld kan worden. AVG aandachtspunten op het gebied van marketing Het verzamelen van persoonsgegevens op het gebied van online marketing gebeurt op basis van grondslag 1, ondubbelzinnige toestemming. Dat betekent dus dat de ander bewust toestemming moet geven en dat ook duidelijk moet zijn waar deze toestemming voor is. En dat betekent dat in de marketing flows rekening gehouden moet worden met het vragen naar en ontvangen van deze toestemming. Deze toestemming moet gegeven worden aan de hand van actie die de ander moet doen en waarvan het effect dan ook volledig duidelijk is, zoals bijvoorbeeld een schriftelijke verklaring of mondelinge verklaring. Uit deze verklaring blijkt dat de persoon specifiek, vrijelijk, geïnformeerd en ondubbelzinnig instemt met de verwerking van zijn persoonsgegevens. Deze toestemming moet voldoen aan de volgende punten: Er moet sprake zijn van een actieve handeling. De toestemming moet in vrijheid zijn gegeven. Er moet sprake zijn van een specifieke verwerking Gericht informeren van de persoon die instemt. Er moet sprake zijn van ondubbelzinnigheid. Er moet sprake zijn van een actieve handeling. De persoon moet deze handeling altijd zelf doen om toestemming te geven op de verwerking van de persoonsgegevens. Dit kan een schriftelijke of een mondeling verklaring zijn. Uitzondering hierop zijn kinderen onder de 12 jaar, waar de ouders ook toestemming moeten geven. Het vooraf invullen van het vinkveldje om toestemming te krijgen, is dus uit den boze. De toestemming moet in vrijheid zijn gegeven, dus er mag geen verplichting achter zitten. Het aanmelden voor een nieuwsbrief mag niet een voorwaarde zijn om een bepaalde dienst of product aan te schaffen. Er moet sprake zijn van een specifieke verwerking en een specifiek doel. Dit houdt in dat het duidelijk moet zijn waarom de gegevens verwerkt worden,

8 wat het doel hiervan is. Als je een telefoonnummer ter verificatie van een levering vraagt, mag dit telefoonnummer niet gebruikt worden voor marketing doeleinden, tenzij de klant hier expliciet toestemming voor heeft gegeven. Ook het verzamelen van specifieke persoons gerelateerde data zonder direct doel, of om er in te toekomst nog iets mee te doen, is niet meer toegestaan. De persoon die instemt, moet gericht worden geïnformeerd. Een moeilijke juridische tekst voorleggen aan bijvoorbeeld jongeren wil dus niet zeggen dat ze geïnformeerd zijn. Voor hen is het namelijk moeilijk om zo n tekst te begrijpen. Er moet sprake zijn van ondubbelzinnigheid. Hiermee wordt bedoeld dat de toestemming niet dubbelzinnig gegeven mag worden en dat het duidelijk is dat er geen twijfel ontstaat over de vraag of de toestemming bewust is gegeven. De toestemming moet ook op elk moment en op net zo eenvoudige wijze waarop deze is gegeven, weer ingetrokken kunnen worden. Deze punten kort samengevat, komt het er eigenlijk op neer dat je moet kunnen bewijzen dat je toestemming hebt gekregen om met iemand contact te zoeken en dat deze persoon weet waar hij/zij mee instemt. Daarnaast moet deze toestemming moet ook weer gemakkelijk ingetrokken kunnen worden of worden verwijderd. Interessante toevoeging voor marketeers: In de tegenwoordige tijd zijn veel marketeers bezig met persona s en het opbouwen van een centraal klantbeeld. Ook vanuit de gedachte van het toevoegen van specifieke waarde aan de betreffende persoon, want hoe mooi zou het zijn als je alleen die aanbiedingen ontvangt, die bij jouw profiel passen. Vanaf de invoering van de AVG is dat alleen nog maar mogelijk met specifieke toestemming van de ander, omdat de AVG er van uitgaat dat iedere persoon in de EU de vrije keuze moet hebben in zijn koopgedrag en dus niet beïnvloedt mag worden door voor gedefinieerde keuzes op basis van informatie in de database. Profileren vanuit een database mag dan nog wel, mits dit voldoet aan de regels binnen de privacy wetgeving. Het toepassen van de voorspellende inzichten vanuit de database en het benaderen van deze personen op basis Je moet kunnen bewijzen dat je toestemming hebt gekregen om met iemand contact te zoeken, maar deze toestemming moet ook weer gemakkelijk ingetrokken kunnen worden of worden verwijderd. Koopvaarder 2a 1625 BZ Hoorn (NH) Tel

9 Doeltreffende CRM van deze inzichten, mag dus alleen met toestemming. De belangrijkste privacy-verplichtingen op het gebied van profileren voor organisaties zijn: Toestemming Organisaties moeten toestemming aan mensen vragen. Deze toestemming geldt voor het verzamelen van hun (persoons)gegevens via bepaalde cookies of andere technieken op internet. En voor het verdere gebruik van deze gegevens voor profiling. Doelen Organisaties moeten van tevoren duidelijke en begrijpelijke doelen aangeven waarvoor zij de verschillende soorten gegevens van mensen gebruiken. Privacy verklaring Organisaties moeten zorgen voor een leesbare, begrijpelijke en toegankelijke privacyverklaring. Hierin moet de volgende informatie staan: o de doelen van profiling; o de verschillende soorten gegevens die de organisatie daarvoor gebruikt; o hoe lang de organisatie deze gegevens bewaart; o de logica die ten grondslag ligt aan het toekennen en toepassen van een profiel. Privacy rechten Organisaties moeten beslissingen op basis van een profiel over iemands kredietwaardigheid, betrouwbaarheid of gedrag in principe laten nemen door een persoon. Geautomatiseerde systemen mogen zij alleen als hulpmiddel gebruiken. Organisaties moeten mensen de mogelijkheid geven om: o hun eigen gegevens in te zien; o deze gegevens te laten corrigeren of verwijderen; o verzet aan te tekenen tegen het gebruik van die gegevens; o hun toestemming voor het gebruik van hun gegevens in te trekken.

10 Een paar marketing voorbeelden: Wanneer iemand uit zichzelf informatie heeft opgevraagd via , maar daarna geen toestemming heeft gegeven om de nieuwsbrief te ontvangen, dan mag deze persoon geen nieuwsbrief ontvangen, ondanks dat het adres wel bekend is. Hier is namelijk geen bewuste toestemming voor gegeven. Wanneer iemand toestemming heeft gegeven voor het ontvangen van een nieuwsbrief en deze organisatie die de nieuwsbrief verstuurd heeft ook nog een dochter/zusterorganisatie, dan mogen de gegevens van de ontvanger, niet door de dochter/zusterorganisatie worden gebruikt (tenzij verenigbaar). Wanneer je bv via een Adwords advertentie op een specifieke landingspagina terecht bent gekomen, mag de opt-in niet al aangevinkt staan. Inzet van marketing tools en -kanalen De AVG gaat niet over het gebruik van marketingtools zoals cookies, en telemarketing. Het is dus niet zo, dat electronische communicatie kanalen ook onder de AVG vallen. Dit komt in een toekomstig stadium in de eprivacy verordening te staan die onder meer het toepassen van de verschillende marketingkanalen en tools behartigt. Het ziet er naar uit dat de eprivacy wetgeving, net als de AVG, een verordening wordt, waardoor deze wetgeving in principe in heel Europa gelijk is, afgezien van kleine uitzonderingen die de lidstaten zelf kunnen maken. AVG aandachtspunten op het gebied van CRM De regels voor het verwerken en verzamelen van persoonsgegevens worden aangescherpt door de AVG omdat hier de gegevens over personen (bv klanten, prospects, partners) vastgelegd worden. De komst van de AVG heeft dan ook implicaties die specifiek in de CRM omgeving van toepassing zijn. Dit kan betekenen dat CRM systemen en/of processen opnieuw ingericht moeten worden met oog op deze nieuwe wetgeving: Koopvaarder 2a 1625 BZ Hoorn (NH) Tel

11 Doeltreffende CRM CRM implementatie Om de gevolgen van de AVG in het CRM domein goed door te voeren, is het van belang om te bepalen wat de impact van het systeem zal zijn op de privacy van de betrokkenen en op de organisatie. In feite zou dat onderdeel moeten zijn van een CRM inrichtingsdocument of CRM Blauwdruk. En in het kader van de CRM Blauwdruk nog een ander aandachtspunt, het zogenaamde Transparantiebeginsel. Conform dit transparantiebeginsel moeten alle verwerkingen in het CRM systeem gedocumenteerd worden in een verwerkingenregister. Laat zien wat je doet en doe geen andere dingen dan dat er gezegd wordt. Dat kan uiteraard het beste als de onderliggende processen voor de CRM implementatie goed vastgesteld zijn. Er zijn tien eisen die deze privacy wetgeving van organisaties verwacht van bedrijven en dan met name hun CRM systeem: Bewustwording Privacy Impact Assessment Privacyrecht Bewaartermijnen Doorgifte van persoonsgegevens naar derde landen De verwerking van bijzondere persoonsgegevens Minimalisatieplicht Aandacht voor beheer en autorisatie Transparantiebeginsel Bewerkersovereenkomst De verwerking van bijzondere persoonsgegevens vraagt extra aandacht, want voor de verwerking hiervan is uitdrukkelijk toestemming nodig. Deze extra aandacht wordt gevraagd, omdat deze gegevens de privacy van een persoon erg kunnen beïnvloeden. Met bijzondere gegevens wordt onder andere ras, gezondheid, seksuele leven, Burger Service Nummer, godsdienst, strafrechtelijk verleden en lidmaatschap vereniging bedoeld. Genetische en biometrische data vallen ook onder deze bijzondere persoonsgegevens. Het is dan ook van belang om vast te stellen welke informatie echt noodzakelijk is en dus vastgelegd mag worden. Het voor later opbouwen van een database terwijl de personen in deze database daar geen toestemming voor hebben gegeven en/of niet is aangegeven met welk doel de informatie wordt vastgelegd, is niet toegestaan. Training en gebruikersbegeleiding De CRM gebruikers moeten bekend zijn met de consequenties van de nieuwe wetgeving en wat dit betekent voor het gebruik van de CRM tools. En uiteraard moeten de werkwijze die voor het handhaven en toepassen van de AVG noodzakelijk zijn, in de CRM processen doorgevoerd worden. Denk hierbij bv aan het opbouwen van het klantprofiel of het verkrijgen van de optin toestemming.

12 Schaduwbestanden moeten ontmoedigd worden omdat het daarmee erg lastig (zo niet onmogelijk wordt) om te voldoen aan de vereisten van de AVG. Denk hierbij aan de eerder genoemde privacy rechten. En dat betekent in feite dat het niet geaccepteerd zou moeten worden binnen een organisatie die een CRM applicatie op de juiste wijze heeft geïmplementeerd, dat medewerkers in bv Excel hun eigen lijstjes met namen en data blijven bijhouden. Het is echt noodzakelijk om dat (inclusief de consequenties voor de organisatie) in de begeleiding van de gebruikers duidelijk te maken. CRM autorisatie Uiteraard moeten niet alle gebruikers toegang tot alle functionaliteiten en data hebben, dat is afhankelijk van de inhoud en verantwoordelijkheden van de werkzaamheden binnen de organisatie. Hiervoor kan gebruik gemaakt worden van autorisatietabellen en autorisatiebeheer binnen het CRM domein. Het is dan ook verstandig om een autorisatiedocument op te stellen waarin staat beschreven welke toegang tot welk type informatie aan welke medewerkers is verleend. CRM beheer Het beheren van klantdata en het CRM systeem is van extreem groot belang. Dat is niet veranderd en voorwaarde om een succesvolle CRM implementatie te realiseren. De vertaalslag van de privacy aspecten die uit de AVG naar voren komen, moeten dan in feite in de CRM beheerorganisatie, meegenomen worden. In de gebruikte CRM-systemen mogen niet meer gegevens worden verwerkt en bewaard dan strikt noodzakelijk. Daarnaast mogen gegevens niet langer worden bewaard dan nodig. De bewaartermijnen moeten vastgelegd worden en hier moet de organisatie zich dan ook aan houden. Het CRM systeem moet het mogelijk gaan maken dat er per categorie een eigen bewaartermijn ingesteld kan worden. In de beheerafspraken moeten deze beheertermijnen dan ook gecontroleerd en behartigd worden. Koopvaarder 2a 1625 BZ Hoorn (NH) Tel

13 Doeltreffende CRM Toezichthouder Organisaties met meerdere vestiging binnen Europa hebben met de komst van de AVG een toezichthouder van het land waar de hoofdvestiging is gevestigd. De Algemene verordening gegevensbescherming (AVG) gaat uit van de zogeheten onestopshop-regel. Onestopshop houdt in dat organisaties die in meerdere Europese landen actief zijn en daarom grensoverschrijdende gegevensverwerkingen uitvoeren, nog maar met één privacytoezichthouder zaken hoeven te doen. Dit wordt de leidende toezichthouder genoemd (lead supervisory authority). Deze toezichthouder moet dan ook toezien op het naleven van de wet, inclusief het geven van boetes bij overtredingen. Het is dan ook aan te bevelen dat het toepassen en het beheer van de privacy wetgeving op het CRM domein door deze lead supervisory authority wordt aangestuurd. Als een land buiten Europa aan bijvoorbeeld een zoekmachine of cloudprovider vraagt om persoonsgegevens uit de EU te verstrekken, dan moet de aangezochte partij hiervoor eerst toestemming vragen bij zijn nationale toezichthouder. De wet overtreden bij het verwerken van persoonsgegevens. Deze boete is verhoogd van of 10% van de jaaromzet naar 20 miljoen of 4% van de wereldwijde jaaromzet. De wet overtreden door het onvoldoende beveiligen van persoonsgegevens. Deze boete is verhoogd van of 10% van de jaaromzet naar 10 miljoen of 2% van de wereldwijde jaaromzet. Bij sommige Cloud CRM software oplossingen wordt de data in de VS vastgelegd. Het zogenaamd Privacy Shield dat in de VS van toepassing is, is door de EC gecertificeerd en biedt de nodige waarborg voor gebruik. Uiteraard kunnen klanten gewoon eisen dat de data binnen de EU blijft. Het is dan aan de leverancier om deze vraag te beantwoorden en eventueel op te lossen. Ook moet de persoon waarop de gegevens betrekking hebben op de hoogte worden gebracht van de voorgenomen dataverstrekking. Boetes De boetes worden in de nieuwe situaties flink verhoogd. Hieronder een weergave van de verhoging van de boetes per overtreden wet: De wet overtreden bij het verwerken van persoonsgegevens Deze boete is verhoogd van of 10% van de jaaromzet naar 20 miljoen of 4% van de wereldwijde jaaromzet. De wet overtreden door het onvoldoende beveiligen van persoonsgegevens. Deze boete is verhoogd van of 10% van de jaaromzet naar 10 miljoen of 2% van de wereldwijde jaaromzet.

14 Privacy Management training Om te voorkomen dat je dergelijk hoge boetes krijgt omdat je organisatie en/of je CRM domein niet op tijd voldoet aan de eisen van de AVG, is het verstandig om een Privacy Management training te volgen tot privacy manager of tot privacy professional en leidt tot het CIPM examen (Certified Information Privacy Manager). In deze training wordt o.a. het Privacy Maturity Model behandeld, waarmee je een soort beargumenteerde checklist opstelt met afgestemde in te zetten middelen en uren om voor een bepaalde datum (bv. 25 mei 2018) compliant te worden (en daarna te blijven). De CIPM trainingen worden verzorgd door opgeleide professionals die lid zijn van de IAPP (International Association of Privacy Professionals) Conclusie Er zijn veel bedrijven die de AVG onderschatten, omdat er vaak wordt gedacht dat het een kwestie is voor de IT-afdeling. Dit veronderstelt dat het voldoen aan privacywet- en regelgeving verward wordt met Informatiebeveiliging. Het is een logische conclusie dat organisaties door de ophanden zijnde strengere regelgeving aandacht moeten besteden aan hun CRM omgeving, hun marketing, de communicatie met de doelgroepen en aan het CRM beheer. Organisaties die op dit moment reeds een CRM oplossing gebruiken, doen er verstandig aan om de komende periode een scan door te voeren die de benodigde aanpassing in processen en dataopslag duidelijk maakt, zodat 25 mei met opgeheven hoofd tegemoet kan worden gezien. Bovenstaande in ogenschouw nemend, kan een steeds intensievere communicatie tussen organisaties en hun klanten & andere relaties niet uitblijven. Met als doel om de persoonlijke data en de vrijheid in het beslistraject inzichtelijk te maken en te borgen. Dit is voor veel organisaties een wezenlijke verandering, waarbij er goed gelet moet worden op alle regels. Het verzamelen en verwerken van klantgegevens in CRM-systemen zullen hier dan ook veel mee te maken krijgen en de onderliggende processen moeten goed voorbereid zijn voordat deze nieuwe regelgeving in gaat. En wordt er binnen je organisatie op dit moment een CRM implementatie uitgevoerd, is het ook zeker aan te raden om binnen de CRM projectgroep of binnen het CRM beheer team aandacht te geven aan deze nieuwe wetgeving. Er komt een veel strengere regelgeving met betrekking op het verwerken en verzamelen van persoonsgegevens. Grote verandering, met name voor CRMsystemen Wees goed voorbereid en voldoe aan alle eisen Koopvaarder 2a 1625 BZ Hoorn (NH) Tel

15 Doeltreffende CRM De auteurs Deze white paper is gerealiseerd in een samenwerking tussen IT s Privacy, CRM excellence en ZinnovationCRM. Zinnovation, CRM beheer en meer! Zinnovation heeft als motto CRM software is een middel om het doel te bereiken. Het gaat er om dat we met elkaar bepalen hoe dat doel bereikt gaat worden. De mensen bij Zinnovation hebben passie, eerlijkheid, vakmanschap en een flexibele instelling hoog in het vaandel staan. Wij leren een organisatie van binnen en buiten kennen om tot een zo goed mogelijk rendement en een plezierige samenwerking te komen. Draagvlak creëren en een goede communicatie zorgen er bij onze trainingen voor dat gebruikers enthousiast worden en graag willen werken met CRM. Marcel Kooistra Marcel Kooistra is directeur van Zinnovation, specialist op het vakgebied CRM implementatie & beheer en gericht op de correcte uitvoering van de eisen en wensen die samen met de klant zijn opgesteld. Het doel van Zinnovation is om CRM software zo pragmatisch en functioneel mogelijk in te richten zodat CRM werkt zoals de klant graag wil werken. Met de kunst van het weglaten en daarmee rust creëren in de interface ondersteunt Zinnovation het draagvlak bij de gebruikers. Marcel houdt zich sinds 2008 bezig met de technische uitvoering van CRM. Door zijn jarenlange ervaring aan zowel klant- als leverancier zijde voelt hij haarfijn aan wat klanten werkelijk uit hun CRM willen halen. Door zijn pro-actieve beleid en een intensieve band met de klant leert hij de organisatie zo goed kennen dat hij vaak eerder dan de klant al weet wat de volgende logische stap zal zijn in het CRM proces. Je kunt Marcel bereiken op: Linkedin: linkedin.com/in/marcelkooistra m.kooistra@zinnovation.nl Zinnovation denkt in uitdagingen en oplossingen! Volg ons op:

16 Excellent in Customer Relationship Management Marielle Dellemijn Marielle Dellemijn is directeur van CRM excellence, specialist op het vakgebied CRM voor directies en gericht op het vaststellen en implementeren van een toekomstgerichte CRM-strategie, waarbij inbedding in de organisatie een belangrijk speerpunt vormt. Marielle houdt zich al vanaf 1990 bezig met relatiebeheer en CRM, in alle facetten die we in profit en non-profit tegenkomen. De combinatie van klanten/relaties, mensen en IT vindt zij bijzonder uitdagend. Voor klanten van CRM excellence is Marielle sparringpartner op het gebied van CRM strategie en het commercieel succesvol maken van marktbewerking en klantloyaliteit. Marielle leidt CRM projecten vanuit resultaat-verantwoordelijkheid en ondernemerschap en is bijzonder geboeid door alle nieuwe ontwikkelingen op het gebied van Social CRM. Je kunt Marielle bereiken op: LinkedIn: nl.linkedin.com/in/marielledellemijn CRM excellence CRM excellence bestaat uit een uiterst gedreven club mensen met een echt CRM hart. Het organiseren en toepassen van klantgericht ondernemen, zodat onze klanten waardevolle relaties opbouwen en ontwikkelen, is al meer dan 25 jaar ons speerpunt. Wij helpen organisaties hun klantverwachting te overtreffen, waarbij de focus ligt op commerciële processen. Hierdoor wordt de klantrelatie versterkt en het commercieel rendement verbeterd. Strategische en operationele CRM uitdagingen gaan wij graag aan. Klanten winnen, binden en behouden. Dat is waar het bij Customer Relationship Management (CRM) om draait. Volg ons op: Koopvaarder 2a 1625 BZ Hoorn (NH) Tel