Blog

De AVG in de praktijk

Publicatiedatum:

afbeelding bij

In ons vorige bericht over de AVG informeerden wij u over de Infographic en het stappenplan dat de Autoriteit Persoonsgegevens op haar site heeft gepubliceerd.

Stap 1. over bewustwording en stap 2. over de rechten van personen kwamen in dat bericht al aan de orde.

De derde stap betreft het overzicht van verwerkingen. Dit houdt in dat u in kaart gaat brengen welke persoonsgegevens u verwerkt in het kader van uw verantwoordingsplicht en daarvan een Register van verwerkingen bijhoudt. De AVG schrijft niet voor op welke manier u dit moet doen, maar wel de informatie die in dit Register van verwerkingen hoort te staan.

  • de naam en contactgegevens van uw organisatie;
  • de doelen waarvoor u de persoonsgegevens verwerkt (bijvoorbeeld werving en selectie van personeel, het leveren van diensten, bezorgen van producten of direct marketing);
  • een beschrijving van de categorieën van personen van wie u gegevens verwerkt (bijvoorbeeld klanten, medewerkers, websitebezoekers);
  • een beschrijving van de categorieën van persoonsgegevens (bijvoorbeeld NAW-gegevens, contactgegevens, betaalgegevens, kentekengegevens);
  • de datum waarop u de gegevens moet wissen (als dat/deze bekend is);
  • de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;
  • deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register;
  • een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

Uiteraard hebben wij als SparklingCRM ook zelf te maken met de AVG wetgeving en ook nog in verschillende rollen. We zijn zelf verantwoordelijke voor het verwerken van persoonsgegevens van klanten, leads, medewerkers en nieuwsbrief abonnees. Daarnaast verwerken we voor klanten ook persoonsgegevens en hebben we daarvoor te maken met sub-verwerkers.

In het kader van ons eigen register van verwerkingen persoonsgegevens als verantwoordelijk voor de verwerking, kunnen we bijvoorbeeld als doel onderscheiden ‘het versturen van een gepersonaliseerde nieuwsbrief‘. Als we daarvoor het register vullen, dan zou dat er als volgt uit kunnen zien:

  • Categorieën van personen: klanten en nieuwsbrief abonnees;

Persoonsgegevens van klanten worden ook voor andere doelen gebruikt, maar de persoonsgegevens van nieuwsbrief abonnees zijn uitsluitend voor het versturen van de nieuwsbrief. Voor die categorie is het ook uitsluitend op basis van toestemming dat deze persoonsgegevens worden verwerkt, terwijl voor klanten andere gronden gelden waarvoor gegevensverwerking nodig is.

  • Categorieën van gegevens: voornaam/achternaam, e-mailadres, bedrijfsnaam en geslacht;

Voor het daadwerkelijk kunnen versturen van een nieuwsbrief is alleen een e-mail adres voldoende. Wij hechten eraan om iemand in een nieuwsbrief persoonlijk aan te schrijven en vragen daarom ook de naam en het geslacht. Bedrijfsnaam is geen verplicht gegeven bij de aanmelding maar kan wel worden gebruikt om in de nieuwsbrief te differentiëren per branche.

  • Bewaartermijn: tot de klantrelatie is beëindigd of 1 maand nadat het nieuwsbrief abonnement is beëindigd;

In dit geval houdt het beëindigen van de klantrelatie niet in dat ook de grond voor verwerking van de persoonsgegevens automatisch afloopt, alleen wel waar het de nieuwsbrief betreft. Het kan dus dat de persoonsgegevens zelf nog bewaard blijven op grond van andere doeleinden, maar het versturen van de nieuwsbrief mag dan niet meer.

  • Categorieën van ontvangers: CRM applicatie en extern mailing programma;

Deze invulling is afhankelijk van de manier van verzenden van een nieuwsbrief. Wij leggen de gegevens van iedere nieuwsbrief abonnee vast in ons CRM systeem en daarin staan ook al onze klanten. Vanuit het CRM systeem maken wij een mailinglijst die automatisch wordt doorgezet naar het externe mailingprogramma, bijvoorbeeld Mailchimp.

Uiteraard is het belangrijk dat de personen van wie de gegevens worden verwerkt, hun rechten op grond van de AVG kunnen uitoefenen. Concreet betekent dit dat ze:

  • Recht op informatie, bijvoorbeeld doordat u in een online privacy statement op de website toelicht op welke manier en op basis van welke gronden u persoonsgegevens verwerkt en vanuit uw nieuwsbrief verwijst naar dit privacy statement;
  • Recht op inzage, bijvoorbeeld door vanuit iedere nieuwsbrief de gelegenheid te bieden het profiel in te zien;
  • Recht om te wijzigen, bijvoorbeeld als gegevens in het profiel niet kloppen of onvolledig zijn. Dit kan ofwel door de persoon de mogelijkheid te bieden zelf het profiel aan te passen vanuit de nieuwsbrief en anders te zorgen voor een goede procedure voor het wijziging van gegevens;
  • Recht om vergeten te worden, bijvoorbeeld door een afmeld mogelijkheid te bieden in iedere nieuwsbrief en (eventueel na een behoudpoging) de gegevens daarna ook daadwerkelijk te verwijderen uit alle systemen. Dit kan uiteraard alleen als deze persoonsgegevens alleen met het doel versturen van de nieuwsbrief werden verwerkt. In geval van klanten die zich afmelden, terwijl de klantrelatie nog bestaat, kan het zijn dat u daarmee niet of niet volledig aan bepaalde informatie- of zorgplicht kunt voldoen. U kunt uw klanten daarop wijzen en afhankelijk van de impact voor de gevolgen laten tekenen;
  • Recht op overdracht van gegevens. In geval van een nieuwsbrief abonnee zal dit recht geen grote rol spelen, maar wel in geval van een klantrelatie en bij contracten, orders of adviezen. De digitale gegevens die u van deze persoon verwerkt moet u dan kosteloos in een gestructureerd, veelgebruikt en machineleesbaar formaat aanleveren aan de persoon zelf of rechtstreeks aan de ontvanger. Dit houdt bijvoorbeeld in dat de applicatie waarin deze gegevens staan opgeslagen (bijvoorbeeld een CRM applicatie) ingericht is om de gevraagde persoonsgegevens in een toelaatbaar formaat te kunnen exporteren.

Het opstellen van het register van verwerkingen persoonsgegevens helpt in elk geval bij het in kaart brengen van de verschillende doeleinden waarvoor persoonsgegevens worden verwerkt.

Hebt u ook vragen over de AVG of wilt u ondersteuning om voor uw klanten vanaf 25 mei 2018 AVG-proof te zijn, neem dan contact met ons op.