menu

Klantdata verzamelen

Klantdata verzamelen; gemerkt of ongemerkt doen we het allemaal. Wanneer je je niet aan de voorwaarden houdt, kan dit grote gevolgen hebben. Zeker sinds medio 2018 de nieuwe privacywetgeving is ingegaan, kunnen fouten fors worden beboet. Daarom lees je hier hoe je klantdata op een correcte manier verzamelt én verwerkt.

klantdata verzamelen
Dat je als (online) ondernemer zorgvuldig dient om te gaan met de gegevens van jouw klanten is niet nieuw. Maar sinds de Wet Bescherming Persoonsgegevens werd vervangen door de Algemene Verordening Gegevensbescherming is het onderwerp wel een stuk hoger op de agenda komen te staan. Dit komt omdat de overheid vindt dat burgers meer controle moeten krijgen over hun persoonsgegevens.

AVG: wat zijn de regels rond het verzamelen van klantgegevens?

De belangrijkste voorwaarde in de nieuwe privacywetgeving is dat persoonsgegevens op een behoorlijke en zorgvuldige manier moeten worden verwerkt. Concreet betekent dit dat je de mensen van wie je de klantdata verzamelt vooraf moet inlichten over het gebruik van deze gegevens. Maar voordat je deze gegevens überhaupt mág verzamelen, heb je eerst een geldige reden nodig.

Stel dat jij een webwinkel begint, dan is het begrijpelijk dat je voor de verwerking van de order persoonlijke informatie van de klant nodig hebt. Er is dus niets mis met klantdata verzamelen. Maar wil je de gegevens niet alleen gebruiken voor het afleveren van de order, maar ook voor marketingdoeleinden? Dan moet de klant hier expliciet toestemming voor hebben gegeven.

Het plaatsen van een vinkje op een internetformulier is hiervoor genoeg, maar de klant moet het vinkje zelf hebben gezet. Ook moet hij zich makkelijk kunnen afmelden. Door onderaan elk bericht een link te plaatsen waar mensen zich kunnen uitschrijven, voldoe je aan deze eis.

Klantdata verzamelen, doe het veilig

Daarnaast ben je verplicht om de persoonsgegevens zo te beveiligen dat deze bij jou in goede handen zijn. Vindt er een betaling plaats op jouw website of worden er persoonlijke gegevens verzonden naar derden, dan moet deze overdracht versleuteld plaatsvinden.

Door gebruik te maken van een SSL-protocol, dat ervoor zorgt dat de versleutelde data onleesbaar is voor derden, creëer je deze veilige verbinding. Voor webwinkeliers is een SSL-certificaat sowieso verplicht, maar ook wanneer je online diensten aanbiedt kan het geen kwaad om extra aandacht te besteden aan een goede beveiliging.

Nalatigheid wordt sinds de nieuwe privacywetgeving namelijk nog strenger bestraft. Een Brits telecombedrijf had wat dat betreft nog ‘geluk’. Toen een cyberaanvaller daar net voor de introductie van de nieuwe wet tal van e-mailadressen, privéadressen, bankgegevens en bankcodes wist te achterhalen vanwege technische kwetsbaarheden, kreeg het bedrijf een boete van 400.000 pond. Ter vergelijking: was dit na 24 mei 2018 gebeurd, dan had dit kunnen oplopen tot 70 miljoen pond.

Eén internationale privacywetgeving

Een dergelijk voorbeeld is in Nederland nog niet bekend, maar het zou hier net zo goed kunnen gebeuren. Voor de komst van de nieuwe privacywet hanteerde elke lidstaat haar eigen beleid. Maar sinds de AVG, of General Data Protection Regulation (GDPR) zoals de wet internationaal bekendstaat, is de privacywetgeving voor alle Europese lidstaten gelijkgetrokken.

Leef je de regels rond klantdata verzamelen niet (goed) na, dan kan dit leiden tot een boete van maximaal 20 miljoen euro of, bij grote bedrijven, 4 procent van de jaaromzet. Reden genoeg dus om jouw privacybeleid nog eens grondig onder de loep te nemen.

Als online ondernemer moet je minimaal voldoen aan de volgende verplichtingen als je klantdata gaat verzamelen:

  • Een privacyverklaring die duidelijk zichtbaar is op je website.
  • Mensen van wie je persoonlijke gegevens verwerkt, hebben het recht op hun gegevens in te zien, aan te passen én te verwijderen. Ook hebben zij het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
  • Zijn er bedrijven die persoonsgegevens voor jou verwerken, dan moet je met hen een verwerkersovereenkomst afsluiten.
  • Wil je cookies plaatsen, dan moet je de bezoeker hier vooraf over informeren. Ook moeten hij zelf toestemming geven voor elke cookie.
  • Heb je een datalek, dan moet je dit melden bij het Meldloket Datalekken Autoriteit Persoonsgegevens.

Verwerkingsregister is verplicht bij verwerking door derden

Sinds de nieuwe privacywetgeving zijn ondernemers die klantdata verzamelen en delen met externen verplicht om met deze partijen een verwerkers-overeenkomst af te sluiten. In deze overeenkomst moet onder meer worden vastgelegd wat het doel is van de verwerking, welke beveiligingsmaatregelen er worden genomen, dat eventuele datalekken conform de wet worden gemeld en er toestemming wordt gegeven voor audits.

Misschien denk je dat de klantdata die jij verzamelt niet bij derden terechtkomt, maar dit gebeurt sneller dan je denkt. Wordt bijvoorbeeld de website gehost door een hostingpartij, zet een marketingbureau wel eens een campagne voor je uit of is er een externe partij die nieuwsbrieven voor jou uitstuurt, dan hebben zij toegang tot de persoonsgegevens en dus ben je verplicht om een verwerkingsregister aan te maken.

Ook wanneer je Google Analytics inzet om te achterhalen waar je klanten vandaan komen en hoe zij zich gedragen op jouw website, verzamel je klantdata en is hier een externe partij bij betrokken. Of wat dacht je van de mogelijk om via de website een afspraak in te plannen. Om deze afspraak te maken, zal jouw klant gegevens moeten achterlaten, waarmee jij weer klantdata verzamelt. Daarbij is de kans groot dat er een extern bedrijf is betrokken bij het gebruik van de online agenda.

Klantdata vastleggen met CRM software

Voor een overzichtelijk klantenbestand en het benutten van commerciële kansen was het al aan te raden om CRM-software in te zetten. Maar sinds de nieuwe privacywet van kracht is, is het nog belangrijker dat klantdata goed is opgeslagen. CRM-software waarin persoonsgegevens gecentraliseerd zijn opgeslagen en bovendien herleidbaar, aanpasbaar én verwijderbaar zijn, kan dan een grote hulp zijn.

Dit is niet alleen handig als klanten iets willen met hun gegevens, maar ook wanneer er (onverwachts) een audit plaatsvindt. Met een goed CRM-systeem kun je immers meteen laten zien dat de processen in jouw bedrijf op orde zijn en dat je zorgvuldig omgaan met de persoonsgegevens van jouw klanten.