Redactie - 15 februari 2018

CRM & AVG: waarom ook het MKB maatregelen moet nemen

Op 25 mei 2018 zal ook voor MKB-bedrijven de nieuwe privacywetgeving ingaan. De Autoriteit Persoonsgegevens rept over hoge boetes en het ontzeggen van het recht om persoonsgegevens te mogen verzamelen bij het niet navolgen van deze nieuwe wet. Toch lijken veel MKB-bedrijven zich (nog) niet echt druk te maken over de maatregelen die zij moeten nemen voor 25e mei 2018.

Weet jij wat je als ondernemer of manager moet doen om te voldoen aan de regelgeving onder deze nieuwe wet? Hier zetten we vier veel gemaakte denkfouten op een rijtje ten aanzien van de Wet Algemene verordening gegevensbescherming (AVG), zodat ook jij de benodigde last-minute maatregelen kan nemen.

Denkfout 1: geen verplichtingen bij kleiner bedrijf

Bij grote wetsvoorstellen zoals de AVG, kan je de indruk krijgen dat deze een ver-van-je–bed-show zijn als kleine ondernemer. Dat ze in het leven zijn geroepen voor persoonsregistratie-giganten zoals Facebook en Google, of grote marketingbureaus.

Je kunt denken dat je hier als kleine of middelgrote onderneming toch nooit echt mee te maken krijgt. Want hoeveel persoonsgegevens verwerk jij nou immers? Een telefoontje naar de adviseurs van de wet AVG met deze vraag, leert echter dat elk bedrijf gecontroleerd kan worden. Het enige wat nodig is om op de radar van de AVG te verschijnen, is een klant die een klacht indient over je bedrijf bij de AVG. Of wellicht nog erger: stel dat er binnenkort een ontevreden klant of medewerker een boekje opendoet op social media over de slordige manier waarop er binnen jouw bedrijf met persoonsgegevens wordt omgegaan? Het is dus belangrijk om je zaken goed te regelen. Als je het niet voor de wetshandhavers doet, doe het dan voor je klanten. Want het is gewoon een prettig gevoel je klanten een goede bescherming van hun persoonsgegevens te bieden. Maar waar moet je beginnen?

Privacy verklaring

Elk bedrijf met een website waarop persoonsgegevens worden geregistreerd moet per 25 mei 2018 in elk geval een privacyverklaring hebben die voldoet aan de eisen van de AVG.  

Verwerkersovereenkomst

Daarnaast moet je met alle partijen waar je mee samenwerkt, en die werken met de persoonsgegevens van je klanten, een verwerkersovereenkomst tekenen. Jij bent de zogenaamde ‘verwerkersverantwoordelijke’, en mensen zoals je boekhouder, je assistent of sales medewerker zijn je ‘verwerkers’. Hierbij maakt het niet uit of je deze mensen zelf inhuurt, of dat je ze inhuurt via een extern bureau; jij blijft de verwerkingsverantwoordelijke. Een checklist met punten waaraan je verwerkersovereenkomst moet voldoen vind je hier.

Interne organisatie

Zorg er ook voor dat je bedrijfsprocessen privacy compliant handelen bevorderen. Stel een wachtwoord in op je pc, of belangrijker nog, op je telefoon. Verander wachtwoorden wanneer een medewerker vertrekt. De genoemde voorbeelden kunnen wellicht aanvoelen als open deuren, maar het is echt aan te raden elk bedrijfsproces even systematisch onder de loep te nemen op mogelijke beveiligingslekken.

Een handleiding schrijven voor medewerkers over hoe ze je CRM of andere software moeten gebruiken is ook een maatregel die de veiligheid binnen jouw bedrijf vergroot. Je systemen kan je immers nog zo mooi ingeregeld hebben wat betreft de AVG, maar wanneer je medewerkers de systemen niet juist gebruiken is dit tevergeefs geweest.

Denkfout 2: geen verplichtingen bij gehuurd CRM

Wanneer je gebruik maakt van SaaS CRM software, heb je de zorgen over de beveiliging van je software uit handen gegeven. Dit betekent echter niet dat de leverancier van je software hiermee de ‘verwerkersverantwoordelijke’ wordt. Dit blijf jij zelf! De verwerkersverantwoordelijke is namelijk degene die de data verzamelt en die bepaalt op welke wijze dit gebeurd. Jij bent dus eindverantwoordelijk voor het regelen van een goed contract met je SaaS-leverancier.

Hulp van CRM leveranciers

Veel leveranciers van SaaS CRM software zullen hun klanten faciliteren en je ondersteunen in het voldoen aan de wet AVG. Dit doen ze door je bijvoorbeeld een nieuw contract aan te leveren dat voldoet aan de wet AVG. Ook zullen ze hun CRM zo inrichten dat jij de juiste knoppen aan of uit kan zetten om zo je administratie organisatie met betrekking tot de AVG op de rit te krijgen. Denk hierbij aan het inschakelen van de SSL-encryptie, of het uitzetten van rechten voor bepaalde gebruikers.

Veel leveranciers van SaaS software geven op hun website praktische tips aan hun gebruikers over privacy maatregelen, in de vorm van blogs of handleidingen. Het loont dus zeker de moeite hier even een kijkje te nemen. Vind je niet wat je zoekt? Bel dan eens naar de helpdesk van de software; de klantenservice medewerkers van de software beschikken vaak over een schat aan informatie en helpen je dan op weg.

Weet waarmee je bezig bent

Voor het gebruik van alle SaaS-software geldt eigenlijk het advies: weet waar je mee bezig bent, of schakel advies in. Neem bijvoorbeeld Mailchimp, software voor het versturen van nieuwsbrieven. Mailchimp helpt zijn gebruikers te voldoen aan de privacywet door onder andere dubbele opt-in aan te bieden. Ook bieden ze standaard een disclaimer-blok aan onder de nieuwsbrieven, met hierin een optie voor de ontvanger om je uit te kunnen schrijven voor de nieuwsbrief. Je mag als klant deze disclaimer echter wel bewerken en zonder kennis van de wet AVG haal je wellicht stukken weg die juist noodzakelijk zijn. Ook mag je de dubbele opt-in uitschakelen. Kennis van zowel de software als de privacy rechten is dus echt onontbeerlijk om te voldoen aan de wet AVG.

Denkfout 3: overweldigend zijn door de wet als excuus voor uitstel

Er is online een schat aan informatie te vinden over de wet AVG. Zo heeft de AVG zelf een hele uitgebreide website in het leven geroepen, waarop een checklist is gepubliceerd. Aan de hand van deze checklist kan je kijken welke stappen je dient te zetten om te voldoen aan deze nieuwe wet. De checklist is er ook in de handige vorm van een tool.

Op de website van het AVG kan je daarnaast veel verdiepende informatie vinden. Wellicht teveel, want de hoeveelheid informatie kan overweldigend aanvoelen. Een belletje naar het AVG leert dat zij geen voorlichting verschaffen gericht op MKB-ondernemers in de vorm van bijvoorbeeld op het MKB gerichte blogs met stappenplannen. In plaats daarvan richten zij zich op voorlichting van de brancheverenigingen voor het MKB. Win hier dus advies in mocht je je overweldigt voelen door de hoeveelheid informatie. Helemaal de weg kwijt op het gebied van te nemen privacy maatregelen? Neem dan contact op met een jurist.

Denkfout 4: niet gevoelige persoonsgegevens staan buiten deze wet

Last but not least: nieuwe privacy-verplichtingen voor bedrijven opgelegd door de wet AVG gelden voor alle soorten persoonsgegevens. Wist je bijvoorbeeld dat je onder deze nieuwe wet klanten niet mag verplichten om voor je bedrijf niet-noodzakelijke persoonsgegevens af te geven? Bijvoorbeeld bij het bestellen van een artikel in je webshop mag het verstrekken van informatie over het geslacht niet verplicht stellen. Je mag erom vragen, maar een klant moet zijn bestelling ook kunnen afronden zonder deze informatie te verstrekken.

Uiteraard wordt er in de wet wel een onderscheid gemaakt ten aanzien van de zwaarte van de te nemen maatregelen, en wel op basis van de aard van de persoonsgegevens. Check dus eerst goed met wat voor soort persoonsgegevens je bedrijf werkt, zodat je weet welke maatregelen je precies moet nemen. Want: ‘privacy gaat iedereen wat aan’, aldus de slogan van het AVG. Tijd voor actie dus!

Arjan Nieuwbeerta, Appwiki

Trend Micro BW BN week 10-11-13-14-2024 Schneider Electric BN BW start week 27 tm week 29
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!