Your CRM and GDPR

Is GDPR worth the panic?

We’ve been overwhelmed with quite a GDPR panic lately. 😵

There’s tons of talk about the possible fines. Companies sending dedicated emails and web pages with vague statements about GDPR compliance. Consultants and lawyers appearing out of nowhere.

A fellow founder recently told me: “This is going to be like the Y2K bug. Lots of craze and then nothing really happens in the end.” 😏

Waarschijnlijk is de paniek inderdaad een beetje te groot.

Maar het verschil met de Y2K bug is dat de huidige GDPR paniek uiteindelijk een merkbaar positief effect zal hebben.

The positive effect of GDPR

Tot voor kort was de handhaving van de Europese regelgeving op het gebied van privacy en beveiliging van gegevens nogal vaag en niet echt streng. Iedereen ging er op een andere manier mee om. Sommigen beter dan anderen.

GDPR changes that. Despite the fact that the guidelines on practical implementation are not super concrete, the high level guidelines have been set. 🙌

Het is goed voor bedrijven om deze begeleiding te hebben. En het betekent ook dat klanten en het grote publiek weten wat ze kunnen verwachten. Want elk bedrijf moet nu hetzelfde raamwerk volgen.

What GDPR means for Salesflare’s CRM

We’ve always taken data privacy and security serious while building Salesflare’s CRM platform, as data is at the core of what we do.

If you like to read more about some of the measures we take on this level, check out this article in our knowledge base. 👈

Still, the GDPR exercise we’re currently going through forces us to map exactly how we handle data, for customers and for ourselves. The benefits:

• Het verbetert de processen die we volgen;
• Zorgt ervoor dat we overeenkomsten met klanten en leveranciers herzien;
• En in het algemeen maakt het onze gegevensverwerking toekomstbestendiger.

Kortom, het professionaliseert de manier waarop met gegevens wordt omgegaan. En het vraagt ons om een heleboel documentatie te produceren.

GDPR in 2 minutes

De Europese General Data Protection Regulation (GDPR) verandert de manier waarop persoonlijke gegevens van Europese burgers en inwoners worden behandeld.

If you’re keeping data on European Citizens/Residents you need to comply with the regulation, regardless of where you’re based or headquartered.

Persoonlijke gegevens zijn in principe elk gegeven dat kan worden gebruikt om iemand te identificeren, als het alleen of in combinatie met andere gegevens wordt gebruikt. Dat maakt het concept van persoonsgegevens erg breed.

There’s 3 parties in the relationship:

• De betrokkene: de persoon op wie de persoonsgegevens betrekking hebben
• De voor de verwerking verantwoordelijke: het bedrijf dat besluit deze gegevens te bewaren en te beheren
• De gegevensverwerker: het bedrijf dat de gegevens verwerkt namens de voor de verwerking verantwoordelijke

As Salesflare, we are a data processor for our customers. Plus we are a data controller as well when marketing to prospects, providing customer service, keeping data on employees for HR reasons, …

👉 If you’re a customer of Salesflare, we will soon provide you with the necessary legal documents to make sure that you as a data controller (controlling data about your customers, the data subjects) are employing a data processor (that’s Salesflare) who complies with the regulations.

De principes

De principes in de GDPR-tekst zijn eenvoudig, logisch en tijdloos:

• Voor de verwerking van de gegevens is een wettelijke basis
• Deze doel van de verwerking moet zijn expliciet gespecificeerd
• De gegevensverwerking moet blijven beperkt tot dit doel
• Gegevens kunnen alleen worden verzameld en bewaard zo veel en zo lang als nodig is
• Er moet openheid zijn over hoe de gegevens worden verwerkt.
• Mensen hebben het recht om hun persoonlijke gegevens te laten overdragen, wijzigen of verwijderen.
• De kwaliteit van de gegevens moet worden gehandhaafd
• De gegevens moeten worden bewaard veilig
• Bedrijven kunnen aanspreekbaar worden gehouden om deze principes te volgen

Pretty logical, ain’t it? 😏

GDPR meets CRM: what Salesflare is working on

As I explained above, Salesflare needs to be GDPR compliant both as a controller and as a processor of personal data. What’s relevant to you as a customer is our role as a processor (for you as a controller).

As a data processor, we’re working on:

• An updated privacy policy & terms and a data processing agreement (UPDATE: you can now request a DPA for signing here) ✔
• Keeping all your personal data in Europe (it’s already there, on Google Cloud servers in Belgium, so that part is easy) ✔
• Organizing an additional and professional security assessment to guarantee your personal data is 100% safe ✔
• An internal mapping of all processed data, in which we document compliance with the above principles, making changes where needed ✔
• Getting contracts with our subprocessors to assure they are GDPR compliant too ✔
• Appointing responsibles and building processes: this is to stay compliant, to guarantee people can have their data transfered, modified, deleted, … and to notify the official instances in case of data breaches (would be a first). ✔

It’s a whole bunch, but the work is totally worth it 👊

Waar je aan moet werken om GDPR-compliant te zijn

Salesflare being GDPR as your CRM is one important step, as it holds your customer data, but it’s definitely not the only step to take.

Kort samengevat:

• Verantwoordelijken benoemen, waaronder een Data Protection Officer (DPO)
• Informeer iedereen in het team, creëer bewustzijn, beleid en richtlijnen
• Werk je wettelijke documenten bij, inclusief je privacybeleid
• Maak Records van verwerkingsactiviteiten (RPA) en breng je gegevens in kaart
• Zorg ervoor dat je verkopers en derde partijen GDPR compliant zijn (zoals Salesflare en vele anderen)
• Als je gevoelige gegevens hebt, doe dan een Effectbeoordeling gegevensbescherming
• Werk aan zaken als het verkrijgen van toestemming van betrokkenen en informeren.
• Create processes to handle requests of data subjects to access, modify, … to handle data breaches and to ensure continued compliance
• Registreer met uw lokale gegevensbeschermingsautoriteiten

Still sounds a tad abstract? 🙃

No worries. Checklists like GDPR Checklist or GDPR compliance apps like ECOMPLY are here to help you nail the details. Check them out! 👈

Kortom

Kijk voorbij de paniek, de rook en spiegels en de geldbeluste consultants. Concentreer je op het echte werk en ga aan de slag.

It’ll surely take some documents, meetings and emails to get compliant, but it will make our parallel data world a much better place.

If you need help, we’re in it together. Check out the discussions on this EU GDPR Facebook group, the resources just above, … and get going. 💪

Veel succes!