CRM: van technologische keuze naar politieke keuze

Een keuze voor goed bestuur, verantwoordelijkheid en een langetermijnvisie

De vraag is niet langer theoretisch. Ze speelt vandaag de dag in alle organisaties, zowel publieke als private: hebben bedrijven een collectieve verantwoordelijkheid bij het opbouwen van een soeverein CRM-ecosysteem? De mening van Hubert Poncelet, General Counsel bij efficy Belgium.

CRM, dat lange tijd werd gezien als louter een commercieel hulpmiddel, is uitgegroeid tot de centrale infrastructuur voor de bedrijfsinformatie van ondernemingen. Het bundelt klantgegevens, marktkennis, koopgedrag, besluitvormingscycli en omzetprognoses.

„Je CRM toevertrouwen betekent veel meer dan alleen software toevertrouwen: het is een deel van je strategisch geheugen uitbesteden”, zegt Hubert Poncelet, General Counsel bij efficy Belgium.

Het debat gaat niet langer alleen over functionaliteiten, gebruiksvriendelijkheid of de ROI. Het draait nu om drie fundamentele aspecten: de bescherming van de grondrechten van individuen, de juridische zeggenschap over de gegevens en het delen van de waarde die door deze gegevens wordt gecreëerd.

In Europa is het principe duidelijk: de gegevens van burgers moeten worden beschermd volgens de Europese normen. Toch wijst de recente geschiedenis van de adequaatheidsbesluiten tussen de Europese Unie en de Verenigde Staten op een terugkerende juridische instabiliteit. Twee opeenvolgende overeenkomsten (Safe Harbor en Privacy Shield) zijn al door het Hof van Justitie van de Europese Unie ongeldig verklaard. De derde, het Data Privacy Framework (DPF), is weliswaar in 2025 goedgekeurd, maar blijft omstreden en is nog steeds onderwerp van discussie. Kunnen we een langetermijnstrategie opbouwen op basis van een potentieel kwetsbaar juridisch kader?

Wie heeft er werkelijk zeggenschap over de gegevens?

Vaak wordt beweerd: „De gegevens worden in Europa gehost.” Maar soevereiniteit beperkt zich niet tot de geografische locatie van de servers. „Ze begint daar waar de controle over de code ligt, de toegangsmogelijkheden van de moedermaatschappijen, de extraterritoriale wettelijke verplichtingen, de onzichtbare onderaannemers en de mechanismen voor updates en ondersteuning”, verduidelijkt Hubert Poncelet.

Wetgeving zoals de Cloud Act of de FISA voegt een extraterritoriale dimensie toe aan de wettelijke verplichtingen van bedrijven. Zo kan een bedrijf dat eigendom is van een entiteit die onder een buitenlandse jurisdictie valt – bijvoorbeeld een Europese dochteronderneming van een Amerikaanse groep – wettelijk worden gedwongen om gegevens te verstrekken, ongeacht de fysieke locatie ervan.

De Cloud Act (aangenomen in 2018) stelt de Amerikaanse autoriteiten (FBI, NSA, DOJ) in staat om toegang te eisen tot alle gegevens die door een Amerikaans bedrijf zijn opgeslagen, zelfs als deze gegevens in Europa of elders worden gehost. Met andere woorden, „de locatie van de servers biedt geen bescherming voor de gegevens als het bedrijf onder het Amerikaanse recht valt.”

Een onderschat juridisch risico

Evenzo staat sectie 702 van de FISA (Foreign Intelligence Surveillance Act) het massaal verzamelen toe van buitenlandse persoonsgegevens die op Amerikaanse servers zijn opgeslagen, inclusief die van Europese burgers. Dit betekent dat gegevens die via Amerikaanse infrastructuur worden doorgegeven of daar worden opgeslagen – zelfs als ze betrekking hebben op inwoners buiten de Verenigde Staten – door de Amerikaanse inlichtingendiensten kunnen worden geraadpleegd en geanalyseerd, zonder dat de betrokkenen hiervan op de hoogte worden gesteld.

Deze mechanismen vormen dus een groot juridisch en strategisch risico voor Europese organisaties, met name op het gebied van gegevensbescherming en digitale soevereiniteit. Kortom, zoals Hubert Poncelet opmerkt: „De vraag is dus niet alleen waar de gegevens worden opgeslagen, maar ook wie er wettelijk toegang toe heeft!”

Is de keuze voor een CRM-systeem een politieke daad geworden?

Ja, in de nobele zin van het woord.

Het bepaalt aan welke rechtsgebieden het bedrijf zich blootstelt, aan welk technologisch ecosysteem het bijdraagt, aan welk model van digitaal bestuur het deelneemt en waar de gegenereerde economische waarde wordt herverdeeld.

Een CRM kiezen, is een model voor digitale infrastructuur kiezen. En wanneer een groot aantal actoren in een bepaald gebied dezelfde keuze maakt, geeft dat het lokale ecosysteem een blijvende structuur. „Bedrijven zijn niet langer louter afnemers van technologie; ze zijn systeemspelers.”

De 5 essentiële vragen voordat je een CRM kiest

  1. Ten eerste: waar worden de gegevens daadwerkelijk verwerkt? Afgezien van de hosting: welke grensoverschrijdende gegevensstromen zijn er en is er sprake van toegang op afstand buiten de Europese Unie?
  2. Ten tweede: wie is de uiteindelijke begunstigde van de leverancier? De kapitaalstructuur, het moederbedrijf en de juridische afhankelijkheid moeten zorgvuldig worden onderzocht, want een Europese dochteronderneming is niet altijd juridisch onafhankelijk.
  3. Ten derde: welke onderaannemers zijn erbij betrokken? Worden alle technische partijen duidelijk in het contract vermeld?
  4. Ten vierde: wat is het niveau van contractuele zeggenschap? Auditclausules, omkeerbaarheid, overdraagbaarheid, begeleiding bij updates en transparantie op het gebied van beveiliging zijn stuk voor stuk doorslaggevende factoren.
  5. Ten slotte, wie profiteert van de strategische waarde die door de gegevens wordt gegenereerd? Verbetert de softwareontwikkelaar zijn algoritmen dankzij klantgegevens en is er sprake van een impliciete bundeling van commerciële intelligentie?

De collectieve uitdaging

„Het gaat er niet om actoren tegenover elkaar te plaatsen of modellen te demoniseren. Het gaat om strategisch inzicht“, benadrukt Hubert Poncelet. „In een onstabiele geopolitieke context, gekenmerkt door regelgevingsspanningen en digitale herstructureringen, wordt technologische afhankelijkheid een factor van kwetsbaarheid.“

Bedrijven, met name die welke gevoelige gegevens verwerken of actief zijn in kritieke sectoren, dragen een collectieve verantwoordelijkheid. Elke individuele beslissing draagt bij aan het vormgeven van het digitale ecosysteem van morgen.

„Soevereiniteit betekent niet afsluiting; het betekent het vermogen om weloverwogen keuzes te maken“, concludeert Hubert Poncelet. Tegenwoordig is het kiezen van een CRM-systeem niet langer alleen een keuze voor een tool; het is een keuze voor goed bestuur, verantwoordelijkheid en een langetermijnvisie. ”

 

Bronnen