Van iedere Nederlandse onderneming verwacht dat ze voldoen aan de Algemene Verordening Gegevensbescherming (AVG) (Engels: General Data Protection Regulation (GDPR) gedaan hebben. Van onze klanten krijgen we vragen of we ze niet op weg kunnen helpen. Wij hebben hierom een kennisbank opgezet.
Wat moet je allemaal ingeregeld hebben?
Over het inrichten van de GDPR voor je organisatie doen veel bedrijven best ingewikkeld. Wij hebben het geprobeerd terug te brengen tot de essentie.
1 Een klant moet kunnen opvragen in welke databases je informatie hebt opgeslagen
Om dit in te regelen moet je dus een overzicht kunnen geven van alle databases waar je klantinformatie hebt opgeslagen. En deze met een kruisverband per klant kunnen maken. Voorbeelden van databases waar klantgegevens in kunnen staan zijn:
- CRM
- ERP
- Contactpersonenlijst
- Financieel systeem (boekhouding)
- Support systeem
- Etc.
2 Een klant moet kunnen opvragen welke informatie van hem/haar hebt opgeslagen
Per database moet je dus een rapportage kunnen maken om de gevraagde gegevens op te kunnen leveren.
- CRM
- Uitwerking van de rapportage voor een opvraag
- Financiële administratie
- Uitwerking van de rapportage voor een opvraag
- Contactpersonenlijst
- Uitwerking van de rapportage voor een opvraag
- Etc.
3 Een klant moet een verwijderverzoek kunnen indienen voor de opgeslagen informatie
Indien een klant aangeeft dat je zijn/haar gegevens moet verwijderen, dan moet je dus per database een procedure in orde maken hoe deze te verwijderen zijn.
- CRM
- Procedure voor het verwijderen van de gegevens
- Financiële administratie
- Procedure voor het verwijderen van de gegevens
- Contactpersonenlijst
- Procedure voor het verwijderen van de gegevens
- Etc.
De consequenties zijn natuurlijk per database verschillend. Een contact heb je zo verwijderd, maar een debiteur uit je financiële administratie verwijderen heeft wat meer voeten in de aarde.
4 Logging van het verzoek
Nadat een klant verzocht heeft om gegevens te verwijderen moet je dit bevestigen naar de betreffende klant en naar je interne organisatie.
- Bericht naar de klant
- ‘Bericht’
- Bericht naar de interne organisatie
- ‘Bericht’
- Een interne rapportage voor de verwerking en de afhandeling van het verzoek zodat je dit kunt aantonen in het geval hierom gevraagd wordt.
Aanvullende informatie
Bovenstaande procedure is de meest elementaire vorm van de invulling van de GDRP voor je organisatie. Disclaimer: Dit is ONZE interpretatie en het is geen probleem om dit als leidraad te gebruiken, maar je blijft natuurlijk wel je eigen verantwoordelijkheid voor jouw inrichting van de GDPR.
De belangrijkste eisen die de GDRP stelt
De onderstaande lijst hebben we overgenomen van de Adfo Groep. Een alternatieve lijst hebben we op onze Google G Suite en GDPR pagina opgenomen.
- Toestemming
- Essentieel is het verkrijgen van de toestemming voor de gegevensverwerking
- Inzage
- Je moet klanten laten weten wat je weet. Ze moeten hun data zelfs kunnen downloaden
- Termijn
- Alle toestemming is automatisch gebonden aan een einddatum
- Wissen
- Als het nut van de gegevens verlopen is, moet je ze wissen. Als een klant hierom vraagt, moet je hem zelfs volledig kunnen verwijderen uit je systeem.
- Kinderen
- Gegevens van kinderen mag je alleen verwerken na toestemming van de ouders.
Juridische toets
Laat een juridische toets uitvoeren om te controleren of je voldoet met jouw invulling van de GDRP in je specifieke situatie. Neem dit schrijven niet klakkeloos over maar laat een juridische toets doen als je het zeker wilt weten.
Hoe groot is de kans dat je gecontroleerd wordt?
Ik (Kees-Jan Diepstraten) heb meerdere mensen met een juridische achtergrond hierover gesproken en in het algemeen wordt er verwacht dat het niet zo’n vaart zal lopen. Als je kunt aantonen dat je er mee bezig bent (hoe basaal dan ook) dan is de algemene mening dat het voor nu wel goed is. Dus laat je niet gek maken door alle horror-verhalen, die zijn op slechts enkele grote bedrijven van toepassing. Het algemene advies wat ik je kan geven is: Gebruik je gezonde verstand met betrekking tot dit onderwerp.
Hoe helpen wij klanten hiermee?
Een uitgelezen oplossing voor dit vraagstuk is natuurlijk een klanten-portal waarbij de klant zelf zijn gegevens kan opvragen, downloaden en/of muteren. Wij van Presis maken maatwerk klantenportals voor onze klanten. Als je daar meer over wilt weten dan praat je ik graag bij.