Your CRM and GDPR

Is GDPR worth the panic?

We’ve been overwhelmed with quite a GDPR panic lately. 😵

There’s tons of talk about the possible fines. Companies sending dedicated emails and web pages with vague statements about GDPR compliance. Consultants and lawyers appearing out of nowhere.

A fellow founder recently told me: “This is going to be like the Y2K bug. Lots of craze and then nothing really happens in the end.” 😏

Wahrscheinlich ist die Panik tatsächlich ein bisschen zu groß.

Der Unterschied zum Jahr-2000-Problem besteht jedoch darin, dass die derzeitige GDPR-Panik am Ende einen merklich positiven Effekt haben wird.

The positive effect of GDPR

Bis vor kurzem war die Durchsetzung der europäischen Datenschutz- und Sicherheitsvorschriften recht vage und nicht wirklich streng. Jeder handhabte sie auf unterschiedliche Weise. Einige besser als andere.

GDPR changes that. Despite the fact that the guidelines on practical implementation are not super concrete, the high level guidelines have been set. 🙌

Für die Unternehmen ist es gut, wenn sie über diese Leitlinien verfügen. Und es bedeutet auch, dass die Kunden und die Öffentlichkeit wissen, was sie erwarten können. Denn jedes Unternehmen muss jetzt den gleichen Rahmen einhalten.

What GDPR means for Salesflare’s CRM

We’ve always taken data privacy and security serious while building Salesflare’s CRM platform, as data is at the core of what we do.

If you like to read more about some of the measures we take on this level, check out this article in our knowledge base. 👈

Still, the GDPR exercise we’re currently going through forces us to map exactly how we handle data, for customers and for ourselves. The benefits:

• Sie verbessert die Prozesse, denen wir folgen;
• Er veranlasst uns, Vereinbarungen mit Kunden und Lieferanten zu überprüfen;
• Und macht unsere Datenverarbeitung generell zukunftssicherer.

Kurz gesagt, es professionalisiert den Umgang mit Daten weiter. Und verlangt von uns, eine Menge Dokumentation zu erstellen.

GDPR in 2 minutes

Die Europäische Datenschutzgrundverordnung (GDPR) ändert die Art und Weise, wie persönliche Daten von europäischen Bürgern und Einwohnern gehandhabt werden.

If you’re keeping data on European Citizens/Residents you need to comply with the regulation, regardless of where you’re based or headquartered.

Personenbezogene Daten sind im Grunde alle Daten, die zur Identifizierung einer Person verwendet werden könnten, wenn sie allein oder in Kombination mit anderen Daten verwendet werden. Damit ist der Begriff der personenbezogenen Daten sehr weit gefasst.

There’s 3 parties in the relationship:

• Die betroffene Person: die Person, die Gegenstand der personenbezogenen Daten ist
• Der für die Datenverarbeitung Verantwortliche: das Unternehmen, das über die Aufbewahrung und Kontrolle dieser Daten entscheidet
• Der Datenverarbeiter: das Unternehmen, das die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet

As Salesflare, we are a data processor for our customers. Plus we are a data controller as well when marketing to prospects, providing customer service, keeping data on employees for HR reasons, …

👉 If you’re a customer of Salesflare, we will soon provide you with the necessary legal documents to make sure that you as a data controller (controlling data about your customers, the data subjects) are employing a data processor (that’s Salesflare) who complies with the regulations.

Die Grundsätze

Die im Text der Datenschutz-Grundverordnung dargelegten Grundsätze sind einfach, logisch und zeitlos:

• Die Verarbeitung der Daten erfordert eine Rechtsgrundlage
• Diese Zweck der Verarbeitung sein muss explizit angegeben
• Die Datenverarbeitung muss bleiben auf diesen Zweck beschränkt
• Daten können nur gesammelt und aufbewahrt werden so viel und so lange wie nötig
• Es muss offen sein, wie die Daten verarbeitet werden
• Die Menschen haben das Recht, dass ihre persönlichen Daten übertragen, geändert oder gelöscht werden
• Die Qualität der Daten muss erhalten bleiben
• Die Daten müssen aufbewahrt werden sicher
• Unternehmen können verantwortlich gemacht werden für die Einhaltung dieser Grundsätze

Pretty logical, ain’t it? 😏

GDPR meets CRM: what Salesflare is working on

As I explained above, Salesflare needs to be GDPR compliant both as a controller and as a processor of personal data. What’s relevant to you as a customer is our role as a processor (for you as a controller).

As a data processor, we’re working on:

• An updated privacy policy & terms and a data processing agreement (UPDATE: you can now request a DPA for signing here) ✔
• Keeping all your personal data in Europe (it’s already there, on Google Cloud servers in Belgium, so that part is easy) ✔
• Organizing an additional and professional security assessment to guarantee your personal data is 100% safe ✔
• An internal mapping of all processed data, in which we document compliance with the above principles, making changes where needed ✔
• Getting contracts with our subprocessors to assure they are GDPR compliant too ✔
• Appointing responsibles and building processes: this is to stay compliant, to guarantee people can have their data transfered, modified, deleted, … and to notify the official instances in case of data breaches (would be a first). ✔

It’s a whole bunch, but the work is totally worth it 👊

Woran Sie arbeiten sollten, um GDPR-konform zu sein

Salesflare being GDPR as your CRM is one important step, as it holds your customer data, but it’s definitely not the only step to take.

Kurz und bündig:

• Benennung von Verantwortlichen, einschließlich eines Datenschutzbeauftragtenr (DSB)
• Alle Teammitglieder aufklären, eine Bewusstsein, Politik und Leitlinien
• Aktualisieren Sie Ihre Rechtsdokumente, einschließlich Ihrer Datenschutzrichtlinie
• Erstellen Sie Aufzeichnungen von Verarbeitungstätigkeiten (RPA) und bilden Sie Ihre Daten ab
• Vergewissern Sie sich, dass Ihre Anbieter und Drittanbieter GDPR-konform sind (wie Salesflare und viele andere)
• Wenn Sie über sensible Daten verfügen, führen Sie eine Datenschutz-Folgenabschätzung
• Arbeiten Sie an Dingen wie der Einholung der Zustimmung der betroffenen Personen und der Information dieser Personen
• Create processes to handle requests of data subjects to access, modify, … to handle data breaches and to ensure continued compliance
• Register bei Ihren örtlichen Datenschutzbehörden

Still sounds a tad abstract? 🙃

No worries. Checklists like GDPR Checklist or GDPR compliance apps like ECOMPLY are here to help you nail the details. Check them out! 👈

Kurz gesagt

Lassen Sie die Panik, die Vernebelung und die geldgierigen Berater hinter sich. Konzentrieren Sie sich auf das Wesentliche und werden Sie mürbe.

It’ll surely take some documents, meetings and emails to get compliant, but it will make our parallel data world a much better place.

If you need help, we’re in it together. Check out the discussions on this EU GDPR Facebook group, the resources just above, … and get going. 💪

Viel Glück!