Maak een klantenbestand conform de GDPR-wetgeving

GDPR staat voor ‘General Data Protection Regulation’ en wordt in het Nederlands ook wel AVG (Algemene Verordening Gegevensbescherming) genoemd. Het is een Europese wetgeving die op alle ondernemingen – groot, middelgroot of klein – met vestigingen in Europa van toepassing is. Ze bepaalt hoe je zaak gegevens van klanten in een database kan opnemen en gebruiken.

Wie net een zaak heeft opgericht, moet dus meteen zorgen voor een klantenbestand dat overeenkomt met de GDPR-wet. Hieronder leggen we alles uit wat je zeker moet weten:

1. Welke vertrouwelijke gegevens staan in je klantenbestand?

Gegevens worden als persoonlijk beschouwd wanneer ze betrekking hebben op een identificeerbare persoon. Een paar voorbeelden van persoonlijke data:

• Naam en achternaam
• Telefoonnummer
• E-mailadres
• Woonadres
• Geboortedatum
• Nummer van de identiteitskaart
• IP-adres
• ID van een mobiel toestel
• Gegevens in bezit van een ziekenhuis of arts

Zelfs pseudoniemen zijn persoonlijke gegevens, omdat het op basis hiervan mogelijk is om informatie over het gedrag of de interesses van iemand te achterhalen. Enkel gegevens die zo anoniem zijn dat het werkelijk onmogelijk is om de identiteit van een persoon te ontdekken, vallen niet onder deze wet.

2. Deel mee welke gegevens je verzamelt en waarom

Om een klantenbestand samen te stellen, moet je zaak in de eerste plaats duidelijk vaststellen welke gegevens worden bijgehouden. En je moet jezelf afvragen met welke doeleinden je deze gegevens verzamelt. Duid daarom zeker iemand aan die waakt over het klantenbestand. Deze persoon bepaalt ook de relevantie van de verzamelde data.

Als starter beschik je mogelijk nog niet over een commerciële dienst. Toch is het niet moeilijk om je zaak aan de voorwaarden van de GDPR-wet te laten voldoen. Maak een formulier waarop je voor elke soort gegevens die je verzamelt, duidelijk aangeeft hoe je deze data gebruikt (bijvoorbeeld het verzamelen, registreren of overdragen van gegevens) en voor welk doel ze dienen. Dit is je werkbasis.

3. Bepaal waarvoor je gegevens over klanten dienen

Je wil gegevens van klanten bijhouden, omdat ze misschien ooit nog eens nuttig kunnen zijn of je ze binnenkort voor een mailcampagne kunt gebruiken? Dat is door de privacywet niet langer mogelijk. Van zodra je gegevens begint te verzamelen, moet je duidelijk weergeven waarvoor je die informatie gaat gebruiken.

Leg daarom in je privacyverklaring zo gedetailleerd mogelijk uit waarvoor je de gegevens van je contacten wil gebruiken. Bijvoorbeeld voor het sturen van nieuwsbrieven of gerichte advertenties, of gewoon om het aantal bezoekers van je website te meten. Nadien mag je de gegevens dus enkel binnen dat vastgelegde kader inzetten. Denk hierover best al eens na voor je de website van je nieuwe zaak lanceert. Het is essentieel dat je hier meteen heel helder over communiceert.

4. Je CRM-software moet de richtlijnen eveneens respecteren

Er zijn verschillende manieren om aan klantenwerving te doen, maar de kans bestaat dat je hiervoor CRM-software gebruikt. Aangezien dit de basis van je marketingactiviteiten vormt, moet je ook hier de Europese wetgeving correct volgen. De naleving van deze regels moet in elke stap van je commerciële traject bewezen worden, dus zowel bij prospectie als bij je marketingcampagnes en gegevensopslag. Je CRM-software moet je in staat stellen om de volledige privacy van je klanten te garanderen en om toestemmingen en gepersonaliseerde toegang tot deze informatie te beheren.

Hou dit dus in het achterhoofd wanneer je op zoek gaat naar een goed programma voor het beheren van je nieuwe zaak. Om de juiste CRM-software te kiezen, kan je beroep doen op een Data Protection Officer (DPO). Dat is een afgevaardigde die in jouw zaak nagaat of de GDPR-wet wel wordt nageleefd en die advies kan geven. Enkele voorbeelden van software die conform de nieuwe wetgeving is: het Amerikaanse Salesforce, het Franse Sellsy of het Belgische Simple CRM.

5. Vraag de toestemming van je klanten om hun gegevens te verzamelen

Natuurlijk is het niet de bedoeling van de GDPR-wet om je kopzorgen te geven bij iedere mail die je verstuurt. Je contacten moeten wel de kans krijgen om hun toestemming te geven voordat je hun gegevens verzamelt. En dat is eigenlijk ook de ideale basis om je zaak te lanceren, want zo zien je nieuwe klanten meteen dat ze je mogen vertrouwen en dat je transparantie erg belangrijk vindt.

Vooraleer iemand z’n toestemming kan geven, moet die persoon uiteraard voldoende geïnformeerd zijn. Het volstaat dus niet om een algemene machtiging te vragen zonder concreet uit te leggen waarom je bepaalde gegevens verzamelt en wat je ermee doet. Het kleine vakje dat vroeger onderaan een formulier al bij voorbaat was aangevinkt, is sinds de invoering van de privacywet in Europa verboden.

Hoe krijg je dan wel toestemming van je contacten? De meeste bedrijven verkiezen een schriftelijke verklaring via bijvoorbeeld een registratieformulier. Besteed dus veel aandacht aan het opstellen van formulieren en algemene voorwaardenpagina’s, zodat ze volledig reflecteren hoe jouw zaak gegevens verwerkt. En doe dit best al meteen wanneer je je zaak opstart, zodat je website onmiddellijk de juiste formulieren en documenten aanbiedt.

6. Hoe documenteer je gegevens die je telefonisch verzamelt?

Misschien heeft je zaak niet meteen een website nodig? Hoe communiceer je in dat geval over het gebruik van gegevens? Ook via telefonisch contact moet je klanten vragen om in te stemmen met het gebruik van hun gegevens. De GDPR-wetgeving stopt dus niet bij het uitsturen van nieuwsbrieven of het verzamelen van cookies via je website.

Leg daarom via de telefoon duidelijk uit waarvoor de gegevens moeten dienen en vraag je klanten om expliciet hun toestemming te geven. Neem hiervoor het telefoongesprek op en breng de klanten daarvan ook op de hoogte. Vervolgens integreer je de opname als bewijs in je klantenbestand.

Nieuwe klanten nodig? Breid je klantenbestand uit en lees onze tips voor telefonische prospectie!

7. De regels gelden ook als je een klantenbestand koopt

Bij het opstarten van je zaak heb je wellicht weinig of geen klanten. In dat geval is het kopen of huren van een klantenbestand een handige manier om je activiteiten te lanceren. Het spreekt voor zich dat ook hier dezelfde regels van toepassing zijn. Mensen moeten dus eerst hun toestemming gegeven vooraleer hun gegevens naar jouw klantenbestand worden overgeheveld.

8. Ook gegevens in de cloud vallen onder de GDPR-wetgeving

Een klantenbestand kan je op allerlei manier opslaan, maar steeds vaker kiezen bedrijven voor een oplossing in de cloud. Dat heeft immers veel voordelen: er worden regelmatig back-ups gemaakt en gegevens kunnen ook worden hersteld. Meestal betaal je voor opslagruimte in de cloud, maar dat betekent niet dat je de verantwoordelijkheid voor de bescherming van je opgeslagen klantengegevens zomaar in de schoenen van de provider mag schuiven.

Uiteraard moeten ook leveranciers en providers van dataverwerking -en opslag zich bij de GDPR aanmelden. Je moet dus kunnen verzekeren dat je provider zich aan de Europese richtlijnen houdt. In principe mag je gegevens enkel opslaan in de cloud wanneer de server zich binnen de grenzen van Europa bevindt, tenzij je toestemming van de persoon vraagt om data buiten de EU te bewaren. Niet-Europese providers moeten ook aantonen dat ze aan de strenge eisen van de GDPR-wetgeving voldoen.

Het is een goed idee om vanaf de eerste dag de cloud in je zaak te integreren, maar zorg dus dat je goed weet waar je gegevens zich bevinden.

9. Versleutel de gegevens van je klanten

Je moet klanten garanderen dat hun gegevens goed beschermd zijn, maar de GDPR-wet legt niet uit hoe je dat precies moet doen. Intussen is het wel zo goed als de norm geworden om met versleuteling te werken. Een lek heeft veel minder impact wanneer gegevens versleuteld zijn, omdat hackers niet over de sleutel beschikken die nodig is om informatie te decoderen.

10. Is er een bewaartermijn voor de gegevens in je klantenbestand?

Intussen weet je dat je bij het opstarten van een klantenbestand altijd om toestemming moet vragen, maar betekent dit dan dat je deze gegevens binnen de voorwaarden onbeperkt mag gebruiken en bijhouden? Het antwoord is ‘neen’: je mag persoonsgegevens niet langer bewaren dan nodig is om het doel te bereiken dat je bij het verzamelen van de gegevens aan je klanten hebt meegedeeld.

Denk daarom goed aan de volgende zaken:

• Na drie jaar moet je de persoonlijke gegevens van inactieve klanten uit je database verwijderen. Om conform te zijn met het ‘recht om vergeten te worden’ heb je dan twee mogelijkheden. Ofwel plaats je deze data in een tweede database, zodat je een goed overzicht hebt van wie je niet meer mag contacteren. Ofwel kan je de gegevens anonimiseren, zodat je ze nog voor statistische doeleinden kunt blijven gebruiken.
• Heeft een klant gebruik gemaakt van z’n ‘recht om vergeten te worden’? Dan moet je binnen een termijn van een maand de persoonlijke gegevens corrigeren of wissen. Alle personen van wie je data verzamelt, hebben het recht om een kopie van hun persoonlijke gegevens op te vragen of te eisen om de data te verwijderen of aan te passen.
• Na de vervaldatum moet je gegevens van klanten archiveren, verwijderen of anonimiseren. Hoe dan ook moet het nadien onmogelijk zijn op basis van de data een persoon opnieuw te identificeren.

11. Wat moet je doen wanneer gegevens gestolen worden?

Wie gegevens verwerkt, moet zich een goed beeld kunnen vormen van de risico’s en gevaren die hierbij komen kijken. Zo moet je in de eerste plaats voldoende maatregelen treffen om je data te vrijwaren van diefstal of het verlies van vertrouwelijkheid. Zorg dus meteen voor een degelijke beveiliging en een waterdicht beleid voor informatiebeheer. Dat is ook een uitstekende manier om het vertrouwen van je eerste klanten te winnen.

Als het dan toch nog verkeerd gaat, heb je bovenal een meldingsplicht. Zo moet je de gegevensbeschermingsautoriteit op de hoogte brengen aan de hand van een online formulier voor datalekken. En natuurlijk moeten de betrokken personen ook weten dat hun persoonlijke gegevens gelekt zijn, zeker als dit grote risico’s voor hun privacy inhoudt.

Het lijkt op het eerste gezicht allemaal complex, maar onthoud vooral dat deze wetgeving dient om je klanten te beschermen. Laat deze regels je dus zeker niet afschrikken om vanaf dag één een goede database samen te stellen en contact met klanten te onderhouden. En voor dat laatste kunnen we jouw nieuwe zaak optimaal ondersteunen.