Een veelgebruikt CRM systeem door grote organisaties is Salesforce. Wij hebben niets 'tegen' dit systeem als zodanig, het is een praktische en gebruiksvriendelijke CRM applicatie. Alleen vanuit AVG perspectief zijn er wel risico's te benoemen met het gebruik van Salesforce. Gelukkig zijn er ook mogelijkheden om die risico's te beperken. In dit artikel gaan we specifiek in op Salesforce, maar de risico's en mitigerende maatregelen zijn ook van toepassing op andere CRM oplossingen uit Amerika.

Wat zijn de risico's van Salesforce?

Salesforce is een Amerikaans bedrijf. De AVG is van toepassing op de gegevens die uw organisatie opslaat in het CRM, immers het zijn gegevens van Europese betrokkenen. Echter kent Amerika een zogenaamd 'country of origin principe'. Kortgezegd komt het erop neer dat, ongeacht waar de gegevens vandaan komen, de wetten van de VS gelden omdat de dienst (Salesforce) een Amerikaans bedrijf is. En daar wringt de schoen. Vanuit AVG perspectief is het issue met de Verenigde Staten dat autoriteiten onder de Freedom Act (ter voorkoming en opsporing van terrorisme), verregaande bevoegdheden hebben om persoonsgegevens op te vragen en hier in te duiken. De doorgifte buiten de EU en de mogelijkheden van autoriteiten aldaar, maakt de verwerking, om maar in Amerikaanse termen te blijven, 'tricky' als het gaat om de AVG en bescherming van persoonsgegevens.

Maar Salesforce heeft toch servers in Europa?

Salesforce heeft servers in Europa waar zij gegevens van Europese klanten kunnen opslaan. Echter heeft Salesforce ook zogenaamde Binding Corporate Rules afgesloten (BCR). Dat zijn door de Europese Unie goedgekeurde regels/documenten die een doorgifte van persoonsgegevens naar buiten de EU mogelijk maken. Deze BCR's maken een doorgifte van Europese gegevens naar het Amerikaanse moederbedrijf dus ook mogelijk. Wellicht voelt u hem al aankomen: het is niet uit te sluiten dat gegevens van Europese personen, ook doorgegeven worden aan het Amerikaanse moederbedrijf.

Lopende claimzaak

Daarnaast loopt er een zaak in hoger beroep tegen Salesforce (en Oracle), die gaat overigens niet over het CRM van Salesforce, maar over een DMP (Data Management Platform) dat Salesforce online gebruikt. Privacyrechten-organisaties zeggen dat Salesforce uitgebreide profielen aanlegt van websitebezoekers en die gebruikt voor real time bidding, hier veel geld mee verdient, zonder hier om toestemming te vragen. Dit betreft niet het CRM systeem, maar geeft wel te denken of Salesforce het wel zo nauw neemt met de privacy van personen.

Wat kunt u doen als u toch Salesforce of een soortgelijke applicatie wilt gebruiken of al gebruikt?

U kunt een aantal mitigerende maatregelen nemen, waaronder:

  • Sla geen bijzondere persoonsgegevens op in Salesforce;
  • Kies, indien dit niet 'default' wordt aangeboden, voor opslag op Europese servers;
  • Maak gebruik van encryptie, versleuteling van data;
  • Schakel 2 factor authentication in. De 2 factor authentication is overigens een manier om gegevens extra te beschermen tegen datalekken;
  • Hanteer strakke bewaartermijnen voor gegevens;
  • Schrijf een DPIA (Data Protection Impact Assessment) waarin u de risico's van het systeem en de mitigerende maatregelen die u als organisatie neemt, beschrijft.

Wat DMCC voor u kan betekenen

Wilt u voorkomen dat u risico's loopt bij het gebruik van een CRM systeem uit Amerika of eens sparren hoe u uw CRM systeem het best AVG proof kunt inrichten? Schakel onze privacy consultants dan in. Zij kunnen met u meedenken, een controle uitvoeren, een DPIA opstellen en al uw vragen omtrent de AVG beantwoorden. Vraag naar de mogelijkheden.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.