Privacy is iets persoonlijks

Houd jij je telefoon nog aan je oor als je belt? Dat is wel super ouderwets! Tegenwoordig moet je je mobiel platliggend voor je gezicht te houden, terwijl de stem van de gene met wie je belt uit de luidspreker schalt.

Dit merkte ik weer eens van de week, toen ik in de trein zat. Om mij heen werden de meest intieme telefoongesprekken gevoerd, waarvan ik beide zijden van het gesprek woordelijk kon volgen. Ondertussen probeerde ik mij te concentreren op het lezen van een artikel over privacy. Het ging over het feit dat er onlangs voor het eerst sinds het in werking treden van de Algemene Verordening Gegevensbescherming (AVG) in Nederland een boete was opgelegd aan een zorginstelling. Zij waren niet zorgvuldig omgegaan met vertrouwelijke medische gegevens van een BN-er. In dit geval een BN-er die leeft van social media aandacht en heel Nederland uit eigen beweging via Instagram en Facebook laat meegenieten van hoe zij eruit ziet en wat zij eet…  Deze op zich komische situatie deed mij weer eens beseffen hoe persoonlijk privacy eigenlijk is. Wat voor de één privé is - en daarom iets waar niet of nauwelijks over gesproken wordt -  is voor de ander juist iets waarover je zonder enige aarzeling publiekelijk spreekt, of zelfs iets waarmee je in het openbaar de aandacht vraagt.

Persoonlijke grondslagen

Als je de grondslagen en regels van de AVG goed analyseert, zie je dat wat er wel en niet mag met persoonsgegevens, veelal in handen van de betrokkene, ofwel de gene wiens gegevens het betreft, wordt gelegd. Als de betrokkene er toestemming voor geeft, mag er veel. De betrokkene heeft echter ook altijd het recht op inzage van zijn gegevens en heeft het zogenaamde ‘recht op vergetelheid’, hetgeen inhoudt dat hij mag eisen dat al zijn persoonsgegevens uit de registratie worden verwijderd.

Wanneer je een CRM systeem gebruikt en je daarin persoonsgegevens registreert, ben je in termen van de AVG een gegevensverwerker en dien je je dus te houden aan de AVG-regels. Je hebt dan dus ook te maken met de drie eerder genoemde grondslagen: toestemming, inzage en vergetelheid. Dit zijn aspecten die slechts ten dele door de leverancier van het CRM-systeem met behulp van technologie kunnen worden opgelost. Aandacht voor procedures en protocollen is hierbij vereist. Het spreekt voor zich dat de business consultants van House of Engagement je goed kunnen helpen bij het inrichten van de processen, procedures en protocollen.

Toestemming

Wie tot een individuele persoon herleidbare gegevens systematisch registreert, heeft daarvoor toestemming van de betrokkene nodig. Dit geldt ook als je bijvoorbeeld het visitekaartje van een relatie die je ontmoet hebt in het systeem invoert. Het is daarom belangrijk om goed na te denken over welke persoonsgegevens je allemaal wilt registreren en waarom. Als je dit bepaalt hebt, kan het CRM systeem zo ingericht worden, dat er bijvoorbeeld meteen na invoer van de gegevens een mail naar de betrokkene gestuurd wordt, waarmee hij de gegevens kan checken, maar waarin ook meteen een opt-in voor diverse communicatie-uitingen, zoals bijvoorbeeld een nieuwsbrief, wordt gevraagd. Ook kun je ervoor kiezen om de invoer van persoonsgegevens zoveel mogelijk door de betrokkene zelf te laten geschieden, bijvoorbeeld via een webformulier. Dan kunnen de benodigde opt-ins ook meteen gevraagd worden.

Inzage

Volgens de AVG hebben personen altijd het recht om de registratie van hun gegevens in te zien. Dit geldt voor alle geregistreerde gegevens, dus ook voor bijvoorbeeld memo-velden, die in het systeem mogelijk niet voor alle gebruikers zichtbaar zijn. Nu is een kenmerk van vrije-tekst velden dat de gebruiker technisch ook inderdaad vrij is om alles in te vullen wat hij wil. Het is daarom belangrijk om duidelijke protocollen af te spreken over de ‘toon’ van data-entry, zodat een betrokkene na opvraag van de gegevens niet leest dat hij ‘een hork’ is… Een goede vuistregel is: schrijf notities altijd zó, dat de betrokkene niet schrikt wanneer deze hem onder ogen komen. Het even afstemmen van een gespreksverslag met de betrokkene voordat dit in het archief verdwijnt, is overigens een goede gewoonte. En ook hier geldt dat workflows in het CRM systeem dit proces kunnen ondersteunen. Voorkom het heen en weer mailen van gespreksverslagen buiten het systeem om, want dan valt het proces niet te bewaken.

Vergetelheid

Bij het ‘Recht op Vergetelheid’ gaat het om het moeten voldoen aan de eis van een betrokkene om zijn persoonsgegevens volledig uit de registratie te verwijderen. Dit lijkt echter eenvoudiger dan het in de praktijk is. Ten eerste is het in veel CRM systemen, waaronder Microsoft Dynamics, zo dat er een onderscheid bestaat tussen deactiveren en fysiek verwijderen van gegevens. Gegevens die lijkten te zijn gewist bestaan hierdoor soms nog wel in de onderliggende database. Maar ten tweede, en dit is complexer, moet je je goed afvragen wat er allemaal gebeurt als je gegevens wist. Raak je als je klantgegevens wist bijvoorbeeld onbedoeld niet ook alle gegevens over diens historische bestellingen kwijt? En kloppen je omzetstatistieken dan nog wel? Het is in veel gevallen daarom beter om gegevens niet te verwijderen, maar om deze te anonimiseren. Wanneer de gegevens van een bestelling niet meer herleid kunnen worden naar een uniek te identificeren individu is immers ook voldaan aan het Recht op Vergetelheid. House of Engagement heeft een set van workflows ontwikkeld, waarmee persoonsgegevens desgewenst met één druk op de knop geanonimiseerd kunnen worden. Met ingang van oktober 2019 zal deze functionaliteit ook worden meegeleverd met ons Basis Template.

Privacy Experts

House of Engagement heeft inmiddels veel ervaring opgedaan met het doorvoeren van de AVG-regelgeving in de processen en CRM-systemen van organisaties. Dus als jij ook eens wilt sparren over wat AVG voor jouw organisatie en jullie CRM-implementatie inhoudt, neem dan gerust contact met ons op.

Deel deze informatie:

  • linkedin
  • facebook
  • twitter

Reacties

Er zijn nog geen reactie's

Plaats een reactie