Leveranciersrisico

Je CRM is geen bronregister.

Wie zijn CRM gebruikt om te beslissen wie wat krijgt aan persoonsgegevens, gebruikt de verkeerde tool. Drie opties — en de gemakkelijkste is geen optie.

Op een dinsdagochtend valt er een mail binnen bij een directeur. Een notariskantoor stuurt hem een voorlopig koopcontract, met daarin de persoonsgegevens van een derde. “Geachte heer [naam], als bestuurder van de VVE ontvangt u hierbij…” Zo opent de mail.

Twee jaar geleden is hij bestuurder af. Bij de KVK staat hij niet meer geregistreerd. In het CRM van het notariskantoor staat hij er nog wel.

Het probleem zit niet bij het CRM

De eerste reactie is voorspelbaar: het CRM klopt niet. Dat klopt — maar dat is niet het probleem. Geen enkel CRM klopt voor honderd procent. Een CRM is een geheugen, en geheugens verouderen.

Het echte probleem zit een stap eerder: dat een CRM überhaupt is gebruikt om te beslissen wie deze mail moest krijgen. Een voorbeeld. Een notariskantoor van dertig man heeft geen live KVK-koppeling. Niemand controleert automatisch wie er nu bestuurder is. Het CRM-record is een notitie met verouderde datum-veld. En die verouderde notitie werd ingezet als verzendlijst voor persoonsgegevens.

Drie opties — en de derde is geen optie

Voor de vraag “is deze persoon nog bestuurder?” heb je drie opties:

  1. De juiste tool gebruiken. Een register dat als bron is bedoeld — bijvoorbeeld een live KVK-koppeling. Voor wie bestuurder-records dagelijks raakt: niet duur, gewoon onderdeel van het vak.
  2. Je CRM passend maken. Je tool blijven gebruiken, mits je voor déze stap altijd handmatig de KVK raadpleegt. Geen extra software, wel een proces. Tien minuten per zending; geen excuus om over te slaan.
  3. Je tool misbruiken. Het CRM-record blind als bron behandelen, en hopen dat het klopt.

Welke optie bij wie hoort, is geen toeval. Voor een notariskantoor — dat dit dagelijks nodig heeft — kost een KVK-koppeling rond de €1.250 per jaar plus losse uittreksels: ruim binnen elk notaris-budget. Voor een administratiekantoor of marketingafdeling die een paar keer per maand iets opzoekt, is optie 2 het eerlijke antwoord. Optie 3 is voor wie de keuze niet maakt.

En optie 3 is geen optie. Het is een keuze om het gat tussen wat de tool kan en wat het proces vraagt te negeren. De prijs voor die keuze betaalt de organisatie zelden — die wordt betaald door iemand wiens persoonsgegevens op een verkeerd adres landen.

Wat dit voor jou betekent

Twee implicaties voor de directeur die meeleest.

Eén — als ontvanger. Reken erop dat het ook jou een keer gebeurt. Op een dinsdagochtend valt er een mail binnen met persoonsgegevens van een vreemde, omdat je in iemands CRM nog een rol hebt die je drie jaar geleden hebt afgelegd. Het is geen verrassing — het is een meldplicht. Bij de dienstverlener die het verstuurde, én aan de persoon wiens gegevens nu bij jou liggen.

Twee — als organisatie. Er zijn beslissingen die jullie in jullie eigen CRM nemen waar de juistheid ertoe doet. Mailings met persoonsgegevens van derden. Brieven aan bestuurders. Facturen die landen bij iemand die niet meer in de functie zit. Klantcontact dat per ongeluk bij de opvolger of voorganger terechtkomt. Voor elk daarvan geldt dezelfde vraag: zit je in optie 1, optie 2, of optie 3?

Drie opties — en de gemakkelijkste is geen optie

Een CRM houdt geen persoonsregister bij. Het houdt notities bij. Een notitie mag je raadplegen om je geheugen op te frissen — niet om persoonsgegevens te versturen.

De vraag is dus niet of je CRM klopt. De vraag is of je hem de juiste verantwoordelijkheid hebt gegeven.

Benieuwd of je aantoonbaar in control bent?

Doe de gratis Bestuurlijke Risico-Quickscan: in 45 minuten weet je waar je staat — met een Risico-Foto van één pagina.

Plan je quickscan