Je runt een MKB-bedrijf in Nederland en gebruikt een ticketsysteem voor je klantenservice. Klinkt herkenbaar? Maar wist je dat niet zomaar elk systeem mag?
▶Inhoudsopgave
De AVG stelt strenge eisen aan hoe je persoonsgegevens verwerkt. En ja, die klantgegevens in je helpdesk tellen daar ook bij. Een foutje kan leiden tot boetes tot 20 miljoen euro of 4% van de wereldwijde omzet. Geen pretje.
Gelukkig hoef je geen ICT-jurist te zijn om het goed te doen.
Je moet alleen weten waar je op moet leten.
Waarom AVG-compliance in je ticketsysteem echt ertoe doet
Laten we even helder zijn: een ticketsysteem is vaak een goudmijn aan persoonsgegevens.
Namen, e-mailadressen, telefoonnummers, soms zelfs BSN-nummers of medische gegevens als je in de zorg werkt. Al die informatie valt onder de AVG. En als je bedrijf meer dan 250 werknemers heeft, of reguliere persoonsgegevens verwerkt, dan heb je zelfs een register van verwerkingsactiviteiten nodig. Maar ook als je een kantoor hebt met vijf medewerkers: je bent verantwoordelijk.
De Autoriteit Persoonsgegevens (AP) houdt daar toezicht op. En die houdt niet van excuses als blijkt dat je klantgegevens liggen te slenteren in een niet-beveiligd systeem.
De must-haves: wat moet je ticketsysteem minimaal bieden?
1. Gegevensopslag binnen de EU
Dit is groot één. Je persoonsgegevens moeten opgeslagen worden in de Europese Unie of in landen met een beschermingsniveau dat gelijkwaardig is.
Denk aan Nederland, Duitsland, Frankrijk. Maar ook Japan en Canada staan op de goedgekeurde lijst van de Europese Commissie.
2. Encryptie en beveiliging
De VS daarentegen is een grijze zone, tenzij het systeem onder het EU-US Data Privacy Framework valt. Kortom: kijk goed waar de servers staan. Vraag het aan je leverancier. En krijg het op schrift.
Een goed ticketsysteem versleutelt je data in transit (als het verstuurd wordt) en at rest (als het op een server staat).
3. Toegangsbeheer en rechtenbeheer
Dat betekent TLS 1.2 of hoger voor communicatie, en AES-256 encryptie voor opgeslagen data. Klinkt technisch? Het is eigenlijk alsof je een brief in een verzegelde envelop stuurt, en die envelop ligt op een kluis. Alleen de mensen met de juiste sleutel kunnen erbij.
Niet iedereen in je organisatie hoeft alles te kunnen zien. Een goed systeem heeft rollen en rechten.
4. Data-minimatie en retentiebeleid
Je monteur hoeft bijvoorbeeld geen inzage te hebben in de factuurgegevens van een klant.
Maar de financiële afdeling wel. Rolgebaseerde toegang (RBAC) is daarom geen nice-to-have, het is een must. Verzamel alleen wat je nodig hebt.
En bewaar het niet langer dan nodig. De AVG zegt duidelijk: persoonsgegevens mogen niet langer bewaard worden dan de doeleinden vereisen.
5. Verwerkersovereenkomst (DPA)
Een ticketsysteem moet je dus in staat stellen om automatisch oude tickets te verwijderen of te anonimiseren.
Denk aan een retentieperiode van bijvoorbeeld twee jaar voor reguliere klantgegevens, tenzij er een wettelijke bewaarplicht geldt. Je ticketsysteem is een zogenaamde verwerker van persoonsgegevens.
Jij bent de verantwoordelijke. Tussen jullie moet een Verwerkersovereenkomst liggen, ook wel Data Processing Agreement genoemd. Daarin staat wat het systeem wel en niet mag met je data. Geen DPA? Dan loop je een groot risico.
Welke ticketsystemen scoren goed op AVG-compliance?
We gaan er niet vanuit dat je alles zelf moet uitzoeken. Bekijk daarom onze 10 meest gestelde vragen bij het kiezen van een ticketsysteem voor een overzicht van populaire systemen die zich inzetten voor AVG-compliance, specifiek voor Nederlandse MKB-bedrijven.
Zendesk
Zendesk slaat standaard data op in de VS, maar biedt voor Europese klanten de optie om data op te slaan in Duitsland (EU-regio).
Freshdesk (Freshworks)
Ze hebben een DPA beschikbaar, bieden encryptie en rollenbeheer, en zijn ISO 27001 gecertificeerd. Let op: je moet zelf actief kiezen voor EU-dataopslag. Dat is niet standaard.
Teamleader
Freshdesk is een sterke keuze voor MKB-bedrijven. Ze bieden dataopslag in de EU (Frankrijk), hebben een DPA, en bieden geavanceerd toegangsbeheer.
Plus: de prijs is vriendelijker dan veel andere spelers. Voor startende bedrijven is dit een logische eerste keuze. Een Belgische favoriet, en terecht. Teamleader is vanuit de EU gebouwd, slaat data standaard op in de EU, en heeft een heldere privacy policy.
HubSpot Service Hub
Ze richten zich specifiek op MKB-bedrijven in de Benelux. Als je alles in één tool wilt (tickets, facturen, CRM), is dit een schaalbare oplossing voor groeiende bedrijven die de moeite waard is om te bekijken.
HubSpot is bekend vanwege marketingtools, maar hun Service Hub is een volwaardig ticketsysteem. Ze bieden DPA, EU-dataopslag, en sterke integratie met hun CRM. Ideaal als je al gebruikmaakt van HubSpot voor je marketing of sales en op zoek bent naar ticketsystemen met goede Nederlandse ondersteuning.
Zammad
Een open-source alternatief, gebouwd in Duitsland. Zammad geeft je volledige controle: je kunt het zelf hosten, of kiezen voor een EU-cloud.
Dat maakt het bijzonder geschikt voor bedrijven die maximale controle willen over hun data. Technischer om op te zetten, maar qua privacy is dit een topkeuze.
Wat je nu direct kunt doen
Je hoeft niet vanavond alles om te gooien. Maar je kunt wel vandaag nog drie dingen checken:
Eén: Waar worden je ticketsysteem-data opgeslagen? Vraag het aan je leveranteur of kijk in hun privacyverklaring.
Twee: Heb je een Verwerkersovereenkomst? Zo niet, vraag er een aan. Iedere serieuze aanbieder biedt die aan.
Drie: Hoe lang bewaar je oude tickets? Stel een retentiebeleid in en zorg dat het systeem dat automatisch uitvoert.
De bottom line
AVG-compliance is geen buzzwoord meer. Het is een verplichting.
En je ticketsysteem is vaak het hart van je klantcommunicatie, dus het is geen plek om te sparen op veiligheid. De goede nieuws?
De meeste moderne systemen doen al veel werk voor je. Maar jij moet nog steeds kiezen, instellen en controleren. Kies een systeem dat standaard in de EU host.
Zorg voor een DPA. Beperk toegang tot wat nodig is. En verwijder wat je niet meer nodig hebt. Doe je dat, dan zit je goed. En kun je je focussen op wat echt telt: je klanten blij maken.