Red Cactus is niet de enige ontwikkelaar van CRM-integraties voor telefonieplatformen. Maar als Red Cactus partner heb je een duidelijk concurrentievoordeel: onze integraties zijn aantoonbaar AVG-proof, terwijl andere oplossingen geregeld in strijd lijken te handelen met kernbeginselen van de AVG. Wanneer je in gesprek bent met een potentiële klant die twijfelt tussen meerdere oplossingen, is dit een cruciaal onderscheidend punt voor jou als partner. Maar hoe herken je welke integraties écht voldoen aan de AVG en welke mogelijk niet?
Wat je eerst moet weten
Bij het ontwikkelen van CRM-integraties voor telefonieplatformen worden doorgaans twee technische benaderingen gebruikt om persoonsgegevens zoals namen, telefoonnummers en andere klantgegevens te verwerken. CRM-integratieontwikkelaars hanteren meestal één van de volgende twee methoden:
Data synchronisatie of real-time? Wat zegt de AVG?
Binnen de AVG draait het niet om de techniek zelf, maar om de juridische grondslag waarop je persoonsgegevens verwerkt. Tegelijkertijd zijn die technische keuzes wél onlosmakelijk verbonden met de manier waarop een CRM-integratieontwikkelaar die verwerking vormgeeft. De AVG schrijft namelijk voor dat die technische keuze moet passen bij het doel, noodzakelijk moet zijn en moet voldoen aan beginselen zoals dataminimalisatie en opslagbeperking.
Als een CRM-integratieontwikkelaar kiest voor periodieke datasynchronisatie (kopiëren en opslaan) in plaats van real-time toegang (federated queries), dan moet hij kunnen aantonen waarom die keuze gerechtvaardigd is en hoe hij desondanks blijft voldoen aan de grondbeginselen van de AVG, ook al zijn er veiligere en privacyvriendelijkere alternatieven beschikbaar.
Hoewel de AVG de technische keuze voor real-time toegang (federated queries) door CRM-integratieontwikkelaars niet expliciet verplicht stelt, laten de volgende bepalingen zien dat de keuze voor het alternatief – periodieke datasynchronisatie – problematisch is en haaks staat op de geest van de wet:
Artikel 5(1)(c) – Gegevensminimalisatie
"Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt."Waarom dit in strijd is: Als het doel ook bereikt kan worden door gegevens op te halen op het moment van gebruik (real-time), dan is opslag van volledige datasets niet noodzakelijk. Bij periodieke datasynchronisatie verwerk je méér dan nodig is, wat in strijd is met het beginsel van gegevensminimalisatie.
Artikel 5(1)(e) – Opslagbeperking
"Persoonsgegevens worden in een vorm bewaard die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de verwerkingsdoeleinden nodig is."Waarom dit in strijd is: Als persoonsgegevens real-time opgevraagd kunnen worden en er geen noodzaak is om ze op te slaan, dan vervalt de grond om ze langdurig of structureel te bewaren. Het beginsel van opslagbeperking vereist dat gegevens slechts zo lang en in zo'n vorm worden bewaard als strikt noodzakelijk is voor het doel. Periodieke datasynchronisatie gaat hier vaak aan voorbij, omdat gegevens bewaard blijven terwijl dat functioneel niet nodig is vanwege de technische mogelijkheid van realtime data opvragen (federated queries).
Artikel 25 – Gegevensbescherming door ontwerp (privacy by design)
"De verwerkingsverantwoordelijke [...] treft passende technische en organisatorische maatregelen [...] die zijn ontworpen om de beginselen inzake gegevensbescherming [...] effectief ten uitvoer te leggen."Waarom dit in strijd is: Als real-time toegang technisch mogelijk is, verplicht artikel 25 de verwerkingsverantwoordelijke om deze optie mee te nemen in het ontwerp van de verwerking. Wordt desondanks gekozen voor datasynchronisatie met opslag van persoonsgegevens, terwijl dit hogere privacyrisico’s met zich meebrengt en functioneel niet noodzakelijk is, dan worden privacyvriendelijke maatregelen onvoldoende toegepast. Daarmee wordt gehandeld in strijd met het beginsel van ‘privacy by design’.
Artikel 6(1) – Rechtmatigheid van verwerking
"Verwerking is alleen rechtmatig indien [...] de verwerking noodzakelijk is..."Waarom dit in strijd is: Het noodzakelijkheidscriterium geldt voor alle verwerkingsgrondslagen, zoals gerechtvaardigd belang of uitvoering van een overeenkomst. Als opslag van persoonsgegevens niet noodzakelijk is omdat het doel ook bereikt kan worden via een veiliger en minder belastend alternatief, voldoet de verwerking niet aan de voorwaarden van artikel 6. In dat geval is de verwerking niet rechtmatig, tenzij men zich beroept op een zeer ruime en creatieve uitleg van de gekozen verwerkingsgrondslag.
Real-time toegang voorkomt ook dit vaak vergeten probleem
Naast privacy- en beveiligingsargumenten kleeft er nog een belangrijk nadeel aan periodieke datasynchronisatie (kopiëren en opslaan) ten opzichte van real-time toegang (federated queries): de data is niet altijd actueel. Omdat synchronisatie werkt met vaste tijdsintervallen, ontstaat er vertraging in de gegevensoverdracht. Voeg je bijvoorbeeld een nieuwe relatie toe in je CRM, dan wordt deze pas herkend bij telefonische oproepen nadat de gegevens zijn gekopieerd naar de database van de CRM-integratieontwikkelaar en dat gebeurt pas bij de volgende synchronisatieronde.
Hoe bewustwording je helpt de opdracht te winnen
Hoe bijzonder het ook klinkt na het lezen van de AVG-grondslag zoals uiteengezet in dit artikel: integraties op basis van het kopiëren en opslaan van data komen in bijna elke sector voor – zelfs in de zorg- of bij juridische- sector. Dat is niet vreemd, want deze vorm van integratie is technisch eenvoudiger, goedkoper en sneller te bouwen dan een real-time oplossing zoals de integraties van Red Cactus.
Maar hoe herken je nu of een concurrent integraties aanbiedt die werken op basis van periodieke datasynchronisatie? Er zijn meerdere aanwijzingen. De eenvoudigste is: controleer of de data altijd actueel is, of dat er gewerkt wordt met tijdsintervallen. Een andere manier is om klanten bewust te maken en hen gerichte vragen te laten stellen aan de leverancier van het alternatieve voorstel.
Zo vergroot je de bewustwording bij klanten en partners, en help je hen om grip te houden op waar hun CRM-data staat – met aanzienlijk minder risico op onnodige datalekken. Voor organisaties die verantwoord willen omgaan met klantgegevens is dat een belangrijk onderscheid.
Hoe meer eindklanten zich hiervan bewust worden, hoe sterker de druk op de markt om integraties te ontwikkelen die zowel functioneel als AVG-proof zijn. Dat verkleint de kans op fouten, verhoogt de kwaliteit van integraties en geeft jou het beslissende voordeel om de opdracht te winnen op basis van kwaliteit.
Bubble Desktop en Bubble Cloud
Zowel de architectuur van Bubble Desktop als Bubble Cloud is ontworpen volgens het privacy-by-design-principe. Dat betekent: real-time communicatie via federated queries, ondersteund door een krachtige en veilige infrastructuur. Maar we gaan nóg een stap verder. Wanneer een CRM-platform een certificeringsprogramma aanbiedt, nemen wij daar waar mogelijk actief aan deel. Daarom zie je bij veel van onze 200+ CRM-integraties op de marketplace een groen label met de vermelding “Officieel Integratiepartner”. Dat wekt vertrouwen bij eindklanten en levert Red Cactus-partners een duidelijk concurrentievoordeel op.