GDPR & SuperOffice-producten

SuperOffice heeft een aanzienlijke hoeveelheid tijd en middelen besteed om te kunnen garanderen dat onze SuperOffice-producten onze klant bij de GDPR-naleving ondersteunen; dit dankzij grote investeringen in productfuncties die het onze klanten en gebruikers makkelijk maken om de GDPR-vereisten te implementeren en na te leven.

Beoordeling van SuperOffice CRM-compliance door DLA Piper

Onze producten hebben allemaal externe beoordelingen ondergaan om te bevestigen dat onze producten volgens de GDPR-vereisten werken en deze ondersteunen. Hieronder vindt u de resultaten van een audit die het wereldwijde advocatenkantoor DLA Piper heeft uitgevoerd in opdracht van SuperOffice. Het rapport kijkt naar de vereisten uiteengezet in de GDPR en evalueert hoe de SuperOffice-producten de verschillende vereisten vanuit een praktisch en juridisch perspectief ondersteunen. De belangrijkste conclusie bevestigt dat SuperOffice compliant is en alle nodige maatregelen heeft genomen om te voldoen aan de GDPR-vereisten.

Je kunt het rapport hier lezen; DLA Piper review van SuperOffice CRM.

Zoals u vast zult weten – de “R” in de term CRM staat voor “Relationship” en relaties bestaan alleen tussen mensen.

Voor het onderhoud van relaties bevat een CRM-systeem met name informatie over klanten en mensen die gerelateerd zijn aan een bedrijf, evenals een activiteitengeschiedenis van de marketing-, verkoop- en serviceteams. Bovendien worden in een CRM-systeem veel gegevens over personen op verschillende manieren geregistreerd en in verschillende contexten.

SuperOffice CRM is ontworpen om u te helpen, de GDPR-wetgeving na te leven bij de verschillende methoden waarop u privégegevens opslaat en verwerkt (gebruikt) in uw CRM-systeem. Door de ingebouwde privacy-functies in SuperOffice te gebruiken wordt u begeleid in de rechtmatige verwerking van de persoonlijke gegevens van uw klanten en prospects.

Veel bedrijven beschouwen persoonlijke gegevens tegenwoordig als het “nieuwe goud”. Een veilige opslag, het rechtmatig verzamelen van persoonlijke gegevens en het aanbieden van levenscyclusbeheer voor privacygegevens zijn van vitaal belang voor de huidige en toekomstige, productieve en moderne manieren van zakendoen.

Toegang tot de persoonlijke gegevens over relaties, transacties, digitale voetafdrukken, enz. vormt de basis voor een intelligente en gepersonaliseerde automatisering. Door persoonlijke gegevens te analyseren en om te zetten in acties bent u in staat om veel van uw processen op het gebied van marketing-, verkoop- en klantenservice te automatiseren. Het is daarom geen verrassing dat de meeste bedrijven verwerkingsautomatisering tegenwoordig beschouwen als een voorwaarde om in de toekomst een succesvol en concurrerend bedrijf te kunnen leiden.

Dit gedeelte biedt een overzicht van de nieuw geïmplementeerde functies in SuperOffice CRM die gebruikers en beheerders van het systeem ondersteunen bij de omgang met privacygegevens. Dit gedeelte beschrijft eveneens hoe het productontwikkelingsteam van SuperOffice het principe Privacy door ontwerp heeft geïmplementeerd tijdens alle fasen van de productontwikkeling

1. Privacy door ontwerp

Het is een vereiste van de GDPR dat bij producten die gebruikmaken (opslaan en gebruiken) van persoonlijke gegevens, er bij het ontwerp rekening moet worden gehouden met privacy. Dit betekent dat het ontwerp van het product moet garanderen dat de opslag en het gebruik van de persoonlijke gegevens plaatsvinden volgens de GDPR-wetgeving.

Bovendien mag het product op geen enkele wijze het bedrijf, de klanten of afzonderlijke personen hinderen bij het uitoefenen van hun rechten en plichten die voortvloeien uit de GDPR. We leggen de nadruk op deze vereiste omdat systemen die niet worden ontworpen met het oog op privacy, vaak de vereiste toegang tot en het inzicht in persoonlijke gegevens onmogelijk maken.

Ons doel in SuperOffice is niet alleen om “GDPR-conform” te zijn, maar ook om de manier waarop onze klanten persoonlijke gegevens verzamelen en gebruiken, zo makkelijk mogelijk te maken.

SuperOffice heeft altijd sterk de nadruk gelegd op bruikbaarheid en we kunnen nu goed zien dat we door onze bestaande kernfunctionaliteit de nieuwe functies voor privacy-beheer makkelijk kunnen implementeren.

De gebruikers van SuperOffice, die dagelijks werken in de verkoop, marketing, klantenservice of in een andere functie, hebben wel andere dingen aan hun hoofd tijdens hun werk. Laten we eerlijk zijn: “GDPR-conform” zijn is nu niet bepaald de prioriteit bij diegenen die elk uur van de dag proberen een goeie verkoop- of marketingklus te klaren. Dat zijn gewoon de feiten. En wij hebben daar begrip voor.

Het is de ambitie van SuperOffice om gebruikers van SuperOffice CRM te begeleiden en te helpen bij het verzamelen van CRM-gegevens op een manier die automatisch de privacy beschermt. Ter ondersteuning van de gebruikers hebben we daarom automatisering en controle ingebouwd in ons product.

De nieuwe regels zijn deels GDPR-gerelateerd en deels gedefinieerd door het bedrijf zelf en worden “Privacy-instellingen” genoemd. Op deze manier kunnen de gebruikers van SuperOffice CRM gewoon op de hen vertrouwde en efficiënte wijze blijven doorwerken, zonder zich druk te moeten maken over tijdverslindende of complexe “privacy-kwesties”. Hiermee willen we niet alleen de naleving van de wetgeving bereiken, maar ook een goede gebruikerservaring bieden.

De eerste stap in de bouw van een toepassing die de belangrijkste GDPR-vereisten ondersteunt, bestaat uit het creëren van een specifiek denkraam tijdens de ontwikkeling van de software, dat ervoor zorgt dat er aan alle aspecten van het privacy-beheer wordt gedacht.

De kerngedachte hier is dat privacy niet zomaar iets is wat je toevoegt aan een bestaande toepassing, maar iets wat een inherent onderdeel vormt van de kernarchitectuur en -functionaliteit. Op dezelfde manier waarop we technische veiligheid, prestaties, stabiliteit en bruikbaarheid ontwerpen, richten we onze aandacht nu ook op de wijze waarop persoonlijke gegevens worden opgeslagen en beheerd in SuperOffice CRM.

We zijn er trots op dat deze focus op Privacy door ontwerp is ingebouwd in alle fasen en processen van onze softwareontwikkeling en een integraal onderdeel is geworden van onze ontwikkelingscultuur.

2. Beheer van privacy-rechten

Centraal in de nieuwe regulering (GDPR) staan een aantal basisrechten die worden verleend aan individuen die hun privélevens willen beschermen en het gebruik van digitale sporen willen controleren die zij achterlaten bij hun gebruik van op internet gebaseerde toepassingen en services.

Het is de bedoeling dat deze rechten openheid creëren, controle bieden en vertrouwen opbouwen tussen de personen die hun gegevens weggeven en het bedrijf dat ze voor een specifiek doel gebruikt.

SuperOffice CRM biedt speciale functionaliteit om de naleving van deze rechten te ondersteunen. Soms wordt dit het “levenscyclusbeheer voor privacy-gegevens” genoemd en het betekent dat SuperOffice persoonlijke gegevens zal beschermen en beheren vanaf het ontstaansmoment in SuperOffice tot het moment dat ze worden gewist of verwijderd.

Alle persoonlijk gegevens moeten op veilige wijze worden opgeslagen. Ze moeten op verzoek ook toegankelijk zijn voor individuen en worden beheerd en gebruikt volgens het privacybeleid van het bedrijf. Wanneer er geen gerechtvaardigde reden voor opslag en/of gebruik meer is, worden de persoonlijke gegevens automatisch verwijderd of geanonimiseerd. Hoe SuperOffice deze rechten ondersteunt, wordt later meer gedetailleerd beschreven.

3. Toestemmingsbeheer

Volgens de GDPR moet u altijd een gedefinieerd doel hebben voor de verzameling van informatie over personen. Een doel moet zijn onderbouwd door een rechtsgrondslag. Voor iedere persoon die u opslaat in uw CRM-systeem, moet u documentatie kunnen overleggen over het doel en de rechtsgrondslag ervan.

De rechtsgrondslag kunt u vinden in artikel 6 van de GDPR dat 6 verschillende rechtsgronden noemt (a-f). In sommige gevallen moet u ook voor specifieke verwerkings- en communicatiedoelen de toestemming van iedere persoon verzamelen en documenteren. Hier volgen een paar voorbeelden van dergelijke doelen: verzenden van marketing-e-mails, delen van persoonlijke gegevens met andere bedrijven, verzamelen van gegevens uit andere bronnen, bijhouden van het gedrag van een persoon op uw website, profilering, enz.

SuperOffice biedt gegevensvelden aan op het Visitekaartje om te documenteren wat het doel, de rechtsgrondslag en de bron is en wanneer en door wie de gegevens zijn verzameld. SuperOffice CRM zal u uiteraard helpen deze velden automatisch in te stellen, indien mogelijk.

Voor iedere persoon kunt u specificeren welke rechtsgrondslag er is voor de verschillende doelen:

  • Doel (bijv. directe verkopen, marketing, contractuele verplichtingen, profilering, enz.)
  • Rechtsgrondslag (GDPR, artikel 6)
  • Wanneer (de datum waarop deze rechtsgrondslag is ingesteld/bijgewerkt)
  • Bijgewerkt door (bijv. de persoon die de contactpersoon heeft ingevoerd in het CRM-systeem, een andere SuperOffice-gebruiker, een ander systeem)
  • De bron (bijv. via een webformulier, een e-mail, een serviceverzoek, geïmporteerd uit ERP, handmatig geregistreerd)

Als zekerstelling dat u gegevens op GDPR-conforme wijze verwerkt, worden sommige functies in SuperOffice CRM standaard alleen uitgevoerd als er een gedocumenteerde rechtsgrondslag is ingesteld voor een specifiek doel. Mailings zullen bijvoorbeeld alleen worden verzonden aan personen met een geregistreerde en geldige rechtsgrondslag, die in de praktijk bestaat uit een toestemming om er marketingberichten naar te verzenden.

In het nieuwe Privacy-centrum, in de module Instellingen en onderhoud, kunt u het volgende centraal definiëren:

  • Lijst van doelen en rechtsgrondslagen die door uw bedrijf zijn gedefinieerd.
  • Standaardrechtsgrondslag die moet worden ingesteld wanneer een nieuwe persoon aan het systeem wordt toegevoegd.
  • Activeer de mogelijkheid om automatisch een e-mail te verzenden en te vragen om marketingtoestemming wanneer een nieuwe persoon wordt toegevoegd in SuperOffice CRM.

De mogelijkheid om de rechtsgrondslag in te stellen voor verschillende doelen is ook beschikbaar via een API. Deze functionaliteit stelt u in staat rechtsgrondslagen te delen en te verzamelen via integraties met andere systemen.

4. Abonnementsbeheer

Conform de GDPR-vereisten mogen alleen personen die hun uitdrukkelijke toestemming hebben gegeven om mailings van u te ontvangen, via de Mailing-module in SuperOffice worden benaderd (dit kan worden overschreven, maar op eigen risico).

We hebben de mogelijkheden uitgebreid om inhoudsvoorkeuren in te stellen voor iedere persoon in SuperOffice Mailing. Dit betekent dat iedere contactpersoon in uw CRM-database nu zijn/haar eigen voorkeuren kan instellen voor de ontvangst van inhoud en kan kiezen voor opt-in of opt-out voor bepaalde communicatietypen. Deze functie is beschikbaar via de koppelingen in e-mails (koppeling “Mijn abonnementen onderhouden”) of in ons klantencentrum.

Deze functie stelt een persoon bijvoorbeeld in staat het volgende te zeggen: Ik wil geen e-mails ontvangen over “Productnieuws”, maar ik wil wel “Uitnodigingen voor evenementen” ontvangen. Dit is een aanvulling op de mogelijkheid voor een volledige opt-out te kiezen voor alle mailings.

Het werkt als volgt. In de module met de naam ‘SuperOffice-formulieren’ kunt u webformulieren definiëren en ontwerpen die op uw webpagina kunnen worden geplaatst (ingesloten) of geactiveerd via een koppeling in een naar uw contactpersonen verzonden e-mail. Deze formulieren helpen u bij het verzamelen van gegevens van bezoekers aan uw website en het vragen om toestemming voor alle voor u noodzakelijke doelen. Uw SuperOffice-database zal rechtstreeks en automatisch worden bijgewerkt met de gegevens die via deze formulieren worden verzameld.

Dit is een fantastische en nuttige functionaliteit om toestemmingen te verzamelen voor marketingabonnementen.

5. Toegangscontrole in SuperOffice

5.1 Vertrouwelijkheid en integriteit

GDPR biedt een heldere definitie van wat vertrouwelijkheid van persoonlijke gegevens zou moeten betekenen voor softwareleveranciers: persoonlijke informatie beschermen tegen onbevoegde toegang.

De module SuperOffice Access Management is uitgebreid en omvat nu ook de privé-informatie van de betrokkenen in alle CRM-velden. Dit houdt in dat u nu het standaard-gegevensautorisatiesysteem van SuperOffice kunt configureren om de privégegevens in uw database te beschermen tegen onbevoegde toegang. U kunt niveaus aan beveiliging en toegankelijkheid toewijzen met behulp van de volgende functies in SuperOffice CRM: Rollen, Rechten, Zichtbaar voor en voor beveiligingsinvoegtoepassingen.

5.2 Privacy door standaardinstellingen en toegangsrechten

De GDPR eist dat het principe van “Privacy door standaardinstellingen” wordt toegepast op alle gegevensverwerkingssoftware. Dit houdt in dat alle persoonlijke informatie niet onnodig mag worden gedeeld of gedistribueerd en dat de strengste privacy-instellingen automatisch van toepassing moeten zijn. De GDPR eist dat softwaresystemen de onbevoegde verwerking van gegevens blokkeren.

CRM-gebruikers die bijvoorbeeld geen deel uitmaken van het marketingteam, mogen geen mailings verzenden. SuperOffice CRM maakt het eenvoudig zulke beperkingen in te stellen met behulp van rollen en functierechten.

SuperOffice CRM kan het delen van gevoelige persoonlijke informatie blokkeren via rollen, zodat alleen bevoegde gebruikers de informatie kunnen zien en onbevoegde gebruikers niet. Uw secretaris kan bijvoorbeeld toegang hebben tot het adres en telefoonnummer van een persoon, maar de weergave van de bankrekeningnummer wordt geblokkeerd.

Privacy door standaardinstellingen houdt ook in dat persoonlijke informatie uitsluitend mag worden bewaard zolang dit noodzakelijk is. Wanneer een relatie met een klant is beëindigd, moet alle gerelateerde persoonlijke informatie worden verwijderd.

SuperOffice kan aan deze eis en het “recht om te worden vergeten” van de GDPR voldoen door klanten automatisch te classificeren en verlopen persoonlijke informatie te verwijderen. U kunt een retentiebeleid definiëren voor de behandeling van verlopen persoonlijke informatie.

6. Incidentbeheer (inbreuken)

De GDPR vereist dat incidenten met betrekking tot persoonlijke gegevens direct worden gerapporteerd en behandeld. Daarom is het van het grootste belang om een beheerplan voor incidenten gecodeerd te hebben in de gegevensverwerkingssoftware.

Het SuperOffice Service-systeem kan een plan instellen voor de behandeling van incidenten en de betrokken mensen waarschuwen. Feitelijk biedt onze Service-module kant-en-klaar “Incidentbeheer” als onderdeel van het SuperOffice Service-gebruikersplan.

Een incident kan variëren van klein (een verkeerd geadresseerde e-mail die persoonlijke informatie bevat) tot groot (onbedoelde openbaring van alle persoonlijke informatie).

Detectie van het incident valt buiten de mogelijkheden van SuperOffice. Mensen buiten uw organisatie zullen echter regelmatig incidenten rapporteren. Incidentenrapporten kunnen makkelijk verloren gaan in volle mailboxen, totdat ze verschijnen op de voorpagina van uw lokale krant.

Hiermee kan SuperOffice u helpen: het verzoekbeheersysteem in SuperOffice Service kan u helpen deze incidentenrapporten te onderscheppen en te volgen.

Ons incidentbeheersysteem volgt wat er wordt gedaan en wie erbij betrokken is, en zorgt ervoor dat u voldoet aan uw GDPR-verplichtingen. Als een inbreuk betrekking heeft op gevoelige persoonlijke informatie, moet u de betrokken personen waarschuwen, evenals de autoriteiten. SuperOffice Service kan u helpen bij de zorgvuldige (due dilligence) uitvoering van deze stappen.

7. Migratie van bestaande gegevens naar "GDPR-naleving”

Alle bedrijven die beginnen aan het traject richting GDPR-naleving, hebben te maken met hetzelfde dilemma: Wat gaan we doen met onze bestaande database vol met gegevens van klanten en prospects?

Naleving van de GDPR-vereisten dwingt bedrijven een manier te bedenken om hun bestaande gegevens in dusdanige toestand te migreren dat alle gegevens worden opgeslagen en behandeld volgens de nieuwe regelgeving. Als zich momenteel privégegevens in hun database bevinden die niet langer zijn toegestaan volgens de GDPR, moeten de bedrijven deze opschonen.

Diegenen die al SuperOffice CRM gebruiken, moeten hun databases “migreren” naar de nieuwste versie van SuperOffice; deze biedt extra databasevelden en -functies om de integriteit, vertrouwelijkheid en beschikbaarheid te garanderen – volgens de GDPR-vereisten. De nieuwste versie van SuperOffice CRM biedt hulpprogramma's voor de analyse van uw bestaande gegevens en de conversie ervan naar de nieuwe GDPR-geschikte structuren.

Elk bedrijf heeft andere bedrijfsactiviteiten en dat geldt ook voor de klantendatabases van bedrijven. Bedrijven hebben hun eigen privacy-regels en -beleid, die van invloed zijn op hun manier van zakendoen en informatievergaring. Daarom biedt SuperOffice CRM flexibele hulpprogramma's die in grote mate kunnen worden gestandaardiseerd en geautomatiseerd.

Bovendien biedt SuperOffice consultancydiensten en werken we volgens een best practice-implementatiemethode, waarmee we onze bestaande klanten helpen met de migratie van hun bestaande SuperOffice-database naar een GDPR-conforme versie.

Vragen?

Als u nog vragen hebt die hier niet worden beantwoord, neem dan gerust contact met ons op.