CRM en privacy: welke gegevens mag u bijhouden over klanten?

Gepubliceerd op 21/09/2015 door | Categorieën: CRM, Microsoft Dynamics 365, Privacy

Welke persoonsgegevens mag u verzamelen via uw website? Hoe lang mag u persoonsgegevens bijhouden in uw contactendatabank? Voor welke doeleinden mag u persoonsgegevens gebruiken?

CRM en privacy

Als beheerder van uw CRM-systeem verzamelt u persoonsgegevens om te gebruiken bij de uitbouw van uw commerciële relaties. Niet iedereen is op de hoogte van de wetgeving op vlak van privacy. Om meer duidelijkheid te brengen namen we de wetgeving en aanbevelingen onder de loep. Hieronder hebben we een synthese gemaakt voor commerciële privéondernemingen (d.w.z. ondernemingen die niet van medische of juridische aard zijn en geen openbaar nut vervullen).

CRM en privacy

Opt-in principe voor prospecten

Het eerste principe m.b.t. het verzamelen van persoonsgegevens is het opt-in principe. De betrokken persoon moet rechtstreeks toestemming geven om zijn of haar gegevens bij te houden. De wetgeving spreekt over een uitdrukkelijke en ondubbelzinnige wilsuiting. Dit betekent dat de toestemming van een websitebezoeker kan betwist worden indien men een vakje moet uitvinken om niet opgenomen te worden in een databank. Een vakje laten aanvinken valt wel onder de uitdrukkelijke wil.

Het is ook nodig om een beknopte privacyverklaring beschikbaar te stellen vooraleer u persoonsgegevens verzamelt.

Opt-out principe voor klanten

Er zijn een aantal gevallen waarbij geen voorafgaande toestemming moet gevraagd worden, nl. wanneer elektronische contactgegevens verkregen werden in het kader van de verkoop van een product of een dienst. M.a.w. een leverancier mag de contactgegevens van klanten gebruiken om te communiceren over gelijkaardige producten of diensten. Ongevraagde commerciële communicatie over niet-gerelateerde zaken is niet toegelaten (b.v. een IT dienstenleverancier mag niet ongevraagd promotie maken voor kledij). Voor klanten geldt het opt-out principe, d.w.z. dat klanten het recht hebben om zich kosteloos uit de direct marketing databank van leveranciers te laten verwijderen.

Let wel, wat betreft direct marketing wordt het opt-in principe steeds naar voor geschoven als best-practice.

Het is niet toegestaan om als onderneming het eigen klantenbestand te “vermarkten” aan een andere onderneming. Zelfs niet als de andere onderneming deel uitmaakt van eenzelfde groep.

Het is wel uitdrukkelijk toegestaan om contactgegevens te gebruiken voor customer relationship management. Zo is het geen probleem om contactgegevens van klanten aan te wenden voor bijvoorbeeld:

  • tevredenheidsonderzoek
  • contractverlengingen (retentiemarketing)
  • promoties op reeds afgenomen producten (of gelijkaardige producten).
  • aanleg en gebruik van profielen door de beheerder van de klant.
image privacy 6

Hoe lang mag u persoonsgegevens bijhouden?

Het antwoord is: niet langer dan noodzakelijk. Voor de uitvoering van een overeenkomst of om een verplichting te kunnen nakomen is het beheer van klantgegevens noodzakelijk. Ook het bijhouden van gegevens en profilering van potentiële klanten is geoorloofd. De gegevens mogen echter niet langer bewaard blijven dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor de gegevens werden verkregen. Om die reden is het aanbevolen om de oorsprong van persoonsgegevens bij te houden, zodat steeds het oorspronkelijk doeleinde voor het verzamelen van de persoonsgegevens bewaard blijft.

Er moet dus steeds een doeleinde zijn waarvoor de gegevens verzameld worden. Als die doeleinden wegvallen, dan moeten de gegevens in principe verwijderd worden. Heel concreet, als er geen enkele klantrelatie meer bestaat, dienen de gegevens verwijderd te worden.

Er is een uitzondering op dit principe: als de persoonsgegevens bijgehouden worden voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek dan is er geen probleem.

Welke gegevens zijn verboden om bij te houden?

Verboden om bij te houden (tenzij met schriftelijke toestemming van de betrokkene):

  • raciale of etnische afkomst
  • politieke opvattingen
  • godsdienstige of levensbeschouwelijke overtuiging
  • lidmaatschap van een vakvereniging
  • informatie over het seksuele leven.

Het bijhouden van profielgegevens mag niet overmatig zijn.

Welke rechten heeft de betrokkene?

De betrokkene moet informatie kunnen raadplegen over de gegevensbeheerder (naam & adres). Ook de doeleinden van de verwerking van de gegevens moeten duidelijk gecommuniceerd zijn. Als direct marketing het doel is, dan heeft de betrokkene het recht om zich voor alle communicaties uit te schrijven. Een betrokkene heeft bovendien het recht om alle eigen persoonsgegevens in leesbare vorm op te vragen én om correctie van deze gegevens te eisen.

Bij het doorgeven van persoonsgegevens aan derden is het verplicht om aan de betrokken personen te melden aan wie de gegevens worden doorgegeven en voor welk doel. Ook ten aanzien van deze derde heeft de betrokken persoon het recht om zich uit te schrijven van direct marketing en om de eigen gegevens op te vragen en te laten corrigeren.

Opmerkelijk is dat in de praktijk veel mensen bij de ontvangst van direct marketing zich in de eerste plaats afvragen waar de verzender hun gegevens heeft verkregen. Dat terwijl er een wettelijke verplichting is t.a.v. de betrokkene om die info te verstrekken.

Er is ook het fameuze “right to be forgotten”, nl. ieder heeft het recht te vragen om de eigen persoonsgegevens kosteloos te laten verwijderen.

image privacy 4

Verantwoordelijkheden van de gegevensbeheerder

De beheerder van persoonsgegevens dient redelijke maatregelen te nemen om onnauwkeurige of onvolledige gegevens te verwijderen of te corrigeren.

De gegevensbeheerder moet passende beveiliging voorzien tegen vernietiging of verlies van gegevens. De nodige bescherming moet aanwezig zijn op vlak van toegang tot de gegevens en de mogelijkheid om gegevens te wijzigen. Om te bepalen wat “passend” is, houdt men rekening met de stand van de techniek, de aard van de gegevens (hoe gevoelig de gegevens zijn) en het risico. De nodige technische en organisatorische beveiliging moet aanwezig zijn én er moet toezicht zijn op de naleving van de security.

Wat betreft de toegang tot gegevens en de verwerkingsmogelijkheden die iemand heeft, dienen deze in principe beperkt te blijven tot wat men nodig heeft voor de uitvoering van zijn job.

Wat de reactie op verzoeken van personen betreft i.v.m. opvraging van de eigen gegevens en/of het verzet van gebruik van de eigen gegevens, beschikt de gegevensbeheerder over een termijn vanaf een maand te rekenen van het tijdstip van het verzoek.

BRONNEN:

Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens:

http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_wet_privacy_08_12_1992.pdf

Aanbeveling Commissie voor de bescherming van de persoonlijke levenssfeer betreft direct marketing en bescherming van persoonsgegevens:

http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_02_2013.pdf

Bijkomende info over spamming:

http://economie.fgov.be/nl/consument/Internet/elektronische_handel/Spamming/


Wenst u meer info?


Lees meer

CRM voor logistieke bedrijven
Digital AmBEtion plan: nieuwe Microsoft datacenters in België
WS-Trust authenticatiemethode niet langer ondersteund

Blijf op de hoogte van belangrijke updates

U wilt op de hoogte blijven van alle CRM tips en trends en nieuws over Microsoft Dynamics 365 & Power Platform? Schrijf u nu in en ontvang alle nuttige info elke maand in uw mailbox. Stay tuned!