Hoe omgaan met AVG/GDPR binnen Dynamics 365?

Per 25 mei 2018 is deze nieuwe Europese privacy wetgeving van kracht, waarmee de Wet bescherming persoonsgegevens (Wbp) komt te vervallen. We spreken hierbij over de Algemene Verordening Gegevensbescherming (AVG) of in het Engels: General Data Protection Regulation (GDPR).

Wat gaat veranderen, wat zijn de feiten en wat betekent dit voor jouw organisatie?

AVG / GDPR VERSUS WBP: WAT VERANDERT ER?

De invoering van de AVG zorgt ervoor dat organisaties die persoonsgegevens verwerken te maken krijgen met meer verplichtingen. Er is overigens wel sprake van een groot overlap tussen de bestaande Wbp en nieuwe AVG wetgeving. Wanneer uw organisatie al conform de Wbp handelt, ben je dus al goed op weg.

RUIMERE DEFINITIE VAN PERSOONSGEGEVENS

De definitie van persoonsgegevens die we nu al kennen wordt met de AVG scherper gesteld. Alle informatie over een geïdentificeerde of identificeerbaar natuurlijke persoon wordt in de nieuwe wet beschouwd als persoonsgegeven. Onder ‘identificeerbaar natuurlijke persoon’ wordt iemand verstaan die direct of indirect kan worden geïdentificeerd (bijv. aan de hand van een identificatienummer of locatiegegevens). Dit betekent dat wanneer je bijvoorbeeld het gedrag van je websitebezoeker bijhoudt op basis van IP-adres, het IP-adres ook geldt als persoonsgegeven.

MEER NADRUK OP VERANTWOORDELIJKHEID

Een groot verschil zit hem in de zogenoemde ‘accountability’, die expliciet bij de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens komt te liggen. De definitie van beide begrippen luidt als volgt:

  • Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
  • Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

In vergelijking met de Wbp komt hiermee meer nadruk te liggen op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wetgeving houden. Je moet dus precies weten en vastleggen wat er met persoonsgegevens binnen jouw organisatie gebeurt: hoelang sla je ze op, voor welke doeleinden en op welke locatie? Daarbij moet je met documenten kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Ook de juistheid van gegevens is van belang: de data die je bewaart moet up-to-date worden gehouden. Uiteraard is dit laatste punt in sommige branches (bijv. de gezondheidszorg) een meer kritiek punt dan andere branches.

TOESTEMMING VOOR VERWERKING PERSOONSGEGEVENS

De AVG zorgt ervoor dat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacy rechten worden hiervoor versterkt en uitgebreid.

Zo zijn de regels met betrekking tot het verkrijgen van toestemming aangescherpt. Als organisatie moet je aan bepaalde voorwaarden voldoen om geldige toestemming van iemand te krijgen voor de verwerking van zijn of haar persoonsgegevens:

  • Je moet kunnen bewijzen dat je geldige toestemming hebt gekregen. In het geval van kinderen onder de 16 heb je toestemming nodig van de ouders.
  • De persoon in kwestie moet makkelijk zijn of haar toestemming kunnen geven én weer in kunnen trekken.
  • Transparantie en informeren spelen een belangrijke rol. Je moet helder (in duidelijke en eenvoudige bewoording) en precies aangeven waarvoor iemand zijn/haar toestemming geeft (doel) en wat de gevolgen hiervan zijn. Dit geldt wanneer je de gegevens direct van de betrokkene hebt ontvangen, maar ook wanneer je deze via een andere partij hebt ontvangen, mits de betrokkene al op de hoogte is.

Overigens hoef je geen toestemming te hebben indien je een zogenoemd ‘gerechtvaardigd belang’ hebt om de gegevens te verwerken. Hier kan bijvoorbeeld sprake van zijn wanneer een overeenkomst is gesloten, op basis waarvan gegevens mogen worden verwerkt.

Daarnaast biedt de AVG een aantal aanvullende rechten:

DOORGEVEN VERWIJDERING GEGEVENS EN DATAPORTABILITEIT

De Wbp bood mensen al het recht om een organisatie te verzoeken hun persoonsgegevens te verwijderen. De AVG voegt hieraan het recht toe om te eisen dat de organisatie deze verwijdering doorgeeft aan alle andere organisaties die deze gegevens via het bedrijf hebben ontvangen.

Ook het recht op dataportabiliteit is nieuw. Dit houdt in dat men (onder bepaalde voorwaarden) het recht heeft om van een organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Een interessante toevoeging, want wanneer iemand naar een andere leverancier (bijvoorbeeld bank of telecomprovider) wil overstappen, kan deze persoon zijn of haar gegevens bij de oude leverancier opvragen en makkelijk doorgeven aan de nieuwe.

DE AVG EN (E-MAIL)MARKETING

In tegenstelling tot wat veel mensen denken brengt de AVG niet veel veranderingen voor e-mailmarketing met zich mee. Het regelen van toestemming voor het verzenden van commerciële en charitatieve e-mail (opt-in) wordt nog steeds geregeld in de Telecommunicatiewet.

Wat wel verandert door de AVG is de manier waarop toestemming gevraagd moet worden:

  • Je moet specifiek aangeven welke informatie in welke frequentie gestuurd gaat worden.
  • Toestemming moet expliciet gegeven (en ingetrokken kunnen) worden (dus geen vooraangevinkte vakjes of verwijzing in de algemene voorwaarden).
  • Je moet kunnen aantonen dat de toestemming op een juiste manier is verkregen.

Naast de AVG is de Europese Commissie (EC) bezig met het wetsvoorstel voor een nieuwe ePrivacy Verordening. Deze verordening regelt (onder andere) de inzet van e-mail, cookies en telemarketing.

WAT DIEN JE ALS ORGANISATIE TE DOEN?

Het niet naleven van de AVG kan je organisatie een boete opleveren die kan oplopen tot maximaal 20 miljoen euro of 4 procent van je omzet. Het is daarom verstandig om te onderzoeken of je huidige processen, diensten en producten al voldoen aan de AVG of dat aanpassingen nodig zijn. De Autoriteit Persoonsgegevens (AP) heeft 10 stappen uitgewerkt die je als organisatie nu kunt nemen om straks klaar te zijn voor de AVG / GDPR.

SAMENGEVAT VOOR U ALS CRM GEBRUIKER:

Wat betekent die nieuwe wet samengevat?

Het betekent dat je moet kunnen aantonen dat jij als organisatie goed omgaat met klantdata. Dat jij je dus aan de wet houdt. Op papier moet staan hoe je dat doet. Je zult bijvoorbeeld heel goed moeten nadenken over welke klantgegevens je gaat opslaan. Of je daar wel/geen toestemming voor nodig hebt. En hoe je die gegevens opslaat. Want met de GDPR moet je kunnen verantwoorden waarom je iets opslaat en dat je dat veilig doet.

En dat is natuurlijk niets nieuws als je je al met relatiebeheer bezighoudt

Als je werkt met een relatiebeheersysteem, heb je al nagedacht over welke gegevens van klanten je vastlegt. Wat heb je nodig om je werk te kunnen doen? Welke informatie gebruik je om je klant van dienst te kunnen zijn? De gegevens die je nodig hebt om je klant goed te kunnen helpen, mag je ook onder de nieuwe wet nog steeds opslaan. Zolang je daarmee maar niet de persoonlijks levenssfeer van je klant kan aantasten.

Geen paniek dus?

In eerste instantie lijkt het alsof je met deze nieuwe wet nauwelijks nog je sales en marketing activiteiten kunt doen. En dat je overal toestemming voor moet vragen. Maar gelukkig is niets minder waar. De wet zegt namelijk dat je best gegevens mag verwerken die nodig zijn voor het goed functioneren van je bedrijf. Je moet alleen een gerechtvaardigd belang, oftewel een goede reden, hebben om die gegevens op te slaan. Als je ook op papier kunt aantonen dat dat het geval is, zou er niets aan de hand moeten zijn.

Lees je in en neem actie!

Verdiep je in de GDPR. Zorg dat je zo goed mogelijk op de hoogte bent. Neem even contact op met je juridisch adviseur. En dat je in ieder geval alvast nadenkt over welke gegevens je vastlegt, waarom en hoe. Op de site van de Autoriteit Persoonsgegevens vind u veel nuttige tips en een AVG 10-stappenplan: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg

 

 

HOE WORDT GDPR DOOR MICROSOFT / OFFICE 365 ondersteund?

Zie bijgaande YouTube film voor alle acties die Microsoft heeft ondernomen en mogelijkheden binnen Office365: https://youtu.be/Y0K8CEfcn7o

 

HOE ZIT HET MET DE VERWERKERSOVEREENKOMST?

Microsoft is vanuit het oogpunt van de hostende partij de verwerker. Voor de Online diensten heeft Microsoft de MicrosoftOnlineServicesTerms uitgebracht welke op de site van Microsoft kan worden gedownload:

https://www.microsoft.com/en-us/licensing/product-licensing/products.aspx

De huidige versie kunt u ook direct downloaden via bijgaande link: MicrosoftOnlineServicesTerms(Dutch)(May2018)(CR)

 

PRAKTISCHE ACTIES BINNEN CRM:

U bent natuurlijk zelf verantwoordelijk voor de invoer van een goed GDPR beleid doch dit kan ondersteund worden door een aantal praktische acties binnen CRM:

  • Maak een GDPR/AVG tabblad bij de contactpersoon met voor jullie organisatie relevante vast te leggen gegevens (b.v. wie heeft de contactpersoon toegevoegd, wanneer is deze vastgelegd, de reden van vastlegging in CRM, de wijze van akkoord voor gebruik van de gegevens)

  • verwijderen van overbodige privé gegevens, in het verleden zijn vaak privé NAW en verdere privé gegevens vastgelegd welke veelal niet meer gebruikt worden
  • het nut en het aangename wordt bereikt door het verwijderen van contactpersonen waar nog nooit contact mee is geweest

Indien u ondersteuning nodig heeft voor deze praktische acties kunt u uiteraard contact met ons opnemen.

ACI BV

Science park
Eindhoven 5080
5692EA Son en Breugel
Nederland

Info@aci.nl
Tel: +31 345 58 70 50

KvK:
110.27.774

BTW:
NL802821753B01