Inspiratieboekje AVG

Page 1

Steek je kop niet in het zand

Anita Stegwee

Inhoudsopgave Inhoudsopgave - 2 Voorwoord - 4 1. Wat is de GDPR of AVG? - 5 a. Wet bescherming persoonsgegevens - 6 b. Reden nieuwe privacywet - 6 c. Geldt GDPR voor mijn organisatie? - 6 d. Uitbreiding aantal rechten - 6 2. Wat doet de nieuwe privacywet? - 7 3. Veranderingen persoonsgegevens - 8 e. Recht van betrokkene - 8 f. Recht om vergeten te worden - 9 g. Verantwoordingsplicht - 9 h. Sancties - 9 i. Bedrijfsgegevens - 9 4. Telefonische acquisitie - 10 5. E-mailmarketing - 11 j. Verplichte opt-in - 11 k. Huidige adressenbestand - 11 l. Verplichtingen - 12

Inhoudsopgave d. E-mail opt-in proces - 12 e. Dubbele opt-in - 12 f. Voorbeeld e-mail opt-in - 13 g. Document privacybeleid - 13 h. Bewijs van e-mail opt-in - 14 i. Vinkje aanzetten op formulier - 15 j. Gratis weggever - 15 k. Expliciete toestemming krijgen - 15 6. Advertentieplatformen - 16 7. Google Analytics - 17 8. Google Adwords Campagnes - 18 9. Dataopslag en beveiliging - 19 l. Keuze server - 19 m. Risico lokale opslag - 19 n. Cloudservers buiten Europa - 19 o. Migratie naar cloudserver in EU - 20 p. Colocatie - 20 10. Voorbereiding op privacywet - 21

2

Inhoudsopgave 11. Stappenplan met tips - 22 a. Een gewaarschuwd mens telt voor twee - 23 b. Inventariseer de verwerking van privacygegevens - 24 c. Waarborg de privacyrechten van betrokkenen - 25 d. Voer een Privacy Impact Assessment (PIA) uit - 26 e. Verwerk de ‘Privacy by default’ in de bedrijfsvoering - 27 f. Controleer de privacyverklaring van uw bedrijf - 28 g. Check verplichting aanstelling functionaris voor gegevensbescherming - 29 h. Documenteer alle datalekken en zorg voor een duidelijke procedure - 30 i. Controleer of bewerkersovereenkomsten aan nieuwe wetgeving voldoen - 31 j. Keuze privacytoezichthouder - 32 12. Nawoord - 33

3

Voorwoord De nieuwe Europese privacywetgeving is geen vervan-uw-bedshow. Brussel heeft volmondig ‘Ja’ gezegd tegen de de Algemene Verordening Gegevensbescherming (AVG). Vanaf 25 mei 2018 mogen bedrijfsgegevens (persoonlijke e-mailadressen en telefoonnummers) niet meer – zonder expliciete toestemming – misbruikt worden voor (koude) acquisitie per mail of telefoon.

De nieuwe privacywetgeving is geen nachtmerrie. Het is een wake-up call. Steek uw kop niet in het zand. Word wakker en gooi uw marketing- en salesactiviteiten over een andere boeg. Met de tips in dit e-book bent u er straks klaar voor. Veel inspiratie met dit e-book. Anita Stegwee Leads & Meets

4

1. Wat is de GDPR? Met ingang van 25 mei 2018 is de General Data Protection Regulation (GDPR) van kracht. Deze nieuwe privacywet binnen de Europese Unie geeft burgers meer controle over hun persoonsgegevens. De GDPR geeft specifieke richtlijnen over het gebruik, de beveiliging en de controle van privacygegevens. In Nederland spreken we over de Algemene Verordening Gegevensbescherming (AVG).

In dit e-book geeft Leads & Meets tekst en uitleg over de consequenties van de GDPR of AGV voor het bedrijfsleven, zodat u zich goed kunt voorbereiden. Daarbij komen de volgende aspecten aan bod: • technische aspecten • organisatorische aspecten • juridische aspecten

5

a. Wet bescherming persoonsgegevens (Wbp)

c. Geldt GDPR voor mijn organisatie?

De Wet bescherming persoonsgegevens (Wbp) beschermde mensen tot op heden tegen misbruik. Deze wet stamt uit 1995. Maar sinds die tijd is de wereld gedigitaliseerd. Daarnaast is de hoeveelheid informatie over personen explosief gestegen. Bovendien wordt data steeds vaker via allerlei databases en systemen gekoppeld. De tijd was dus rijp voor een nieuwe privacywet.

De GDPR of de AVG geldt voor kleine en grote bedrijven en is ook van toepassing voor elke branche. De nieuwe wet geldt voor alle bedrijven, overheden en non-profitorganisaties die producten verkopen of diensten aanbieden binnen de Europese Unie (EU). Ook als uw bedrijf of organisatie gegevens verzamelt en/of analyseert van inwoners uit de EU.

b. Reden nieuwe Europese privacywet

d. Uitbreiding aantal rechten

Een groeiend aantal organisaties, bedrijven en overheidsinstanties houdt zich de laatste jaren bezig met het verzamelen, analyseren en toepassen van data. Deze data geeft inzicht en helpt marketeers en verkopers om processen te verbeteren, beslissingen te maken en effectiever te werken. Maar daarnaast wordt er op grote schaal misbruik gemaakt van persoonsgegevens.

Met de komst van de AVG krijgen personen meer rechten. Het recht op inzage, wijziging of verwijdering van persoonsgegevens bestond al. Vanaf 25 mei 2018 komen hier 3 rechten bij: recht van dataportabiliteit, het recht om vergeten te worden en het recht om gegevensverwerking te beperken. Het privacy statement wijst personen op hun rechten. Het is aan te raden om bovenstaande rechten een vaste plek te geven in het privacy statement.

6

2. Wat doet de nieuwe privacywet? De nieuwe privacywet beveiligt personen en hun gegevens beter tegen misbruik en ongewenst gebruik. Consumenten krijgen daarbij meer te zeggen over hun gegevens. ‘Toestemming’ geldt als hét sleutelwoord. Alle persoonsgegevens binnen de EU-lidstaten worden gestandaardiseerd. De nieuwe privacywet maakt geen onderscheid tussen business-tobusiness (B2B) en business-to-consumer (B2C).

Onder persoonsgegevens verstaan: • Persoonsnamen • Foto’s • BSN-nummers • IP-adressen • Kentekens • Nicknames

wordt

onder

meer

7

3. Veranderingen persoonsgegevens a.

Recht van de betrokkene

Bedrijven, organisaties en instellingen mogen alleen persoonsgegevens opslaan en gebruiken die ze echt nodig hebben. Het is cruciaal dat ze hiervoor expliciet toestemming hebben gekregen. Zijn de gegevens niet meer nodig, dan moeten ze verwijderd worden. Bovendien mogen gebruikers deze gegevens op elk gewenst moment verwijderen of aanpassen.

Het recht van de betrokkene houdt bijvoorbeeld in: • Bedrijven mogen persoonsgegevens alleen voor het omschreven doel opslaan • Alleen noodzakelijke gegevens mogen worden opgeslagen (een rekeningnummer is niet altijd noodzakelijk voor de e-maildatabase) • Bij een abonnement op een nieuwsbief zijn alleen naam en e-mailadres noodzakelijk

8

b. Recht om vergeten te worden

e. Bedrijfsgegevens

Het recht om vergeten te worden houdt in dat personen om inzage in hun eigen gegevens kunnen vragen. Daarnaast kunnen ze een verzoek insturen om hun gegevens te laten verwijderen.

Bedrijfsgegevens - zoals een zakelijk e-mailadres of een zakelijk telefoonnummer – hebben straks dezelfde status als ‘persoonsgegevens’.

c. Verantwoordingsplicht Organisaties krijgen een verantwoordingsplicht. Ze moeten zwart-op-wit kunnen aantonen dat ze - om aan de AVG te voldoen - de juiste organisatorische en technische maatregelen hebben genomen.

Telefoonnummers op een zakelijke website zijn geen uitnodiging om contact op te nemen. Dat is een onterechte aanname. Ook e-mailadressen mogen niet zonder expliciete toestemming van personen toegevoegd worden aan een mailinglist.

d. Sancties Het is verplicht én verstandig om persoonsgegevens correct te registreren, op te slaan en te beheren. Overtreding van de nieuwe regelgeving leidt tot: • Hoge boetes Autoriteit Persoonsgegevens • Claims van betrokkenen • Persoonlijke aansprakelijkheid als directeur of bestuurder • Reputatie- en bedrijfsschade

9

4. Telefonische acquisitie Telefonische acquisitie is per 25 mei 2018 niet verboden. Het is alleen niet toegestaan om zomaar iedereen te bellen. Ook al staan deze nummers op een website of LinkedIn-profiel. Telefoonnummers die te herleiden zijn tot een persoon, vallen ook onder de noemer ‘persoonsgegevens’. Deze nummers zijn bedoeld om contact op te nemen, niet om te gebruiken als verkooptool bij koude acquisitie.

Het is mogelijk om persoonsgegevens te omzeilen. Algemene bedrijfsgegevens zijn natuurlijk geen persoonsgegevens. • Als u de naam van een persoon heeft, mag u het algemene nummer bellen • Vraag of de persoon die opneemt u wil doorverbinden • Als het gesprek wordt aangenomen, mag u uw verhaal vertellen

10

5. E-mailmarketing a. Verplichte opt-in De nieuwe wetgeving richt zich nadrukkelijk op de naleving van de privacywet. Momenteel heeft u voor het versturen van commerciĂŤle e-mails toestemming nodig in de vorm van een dubbele opt-in. Als de nieuwe privacywetgeving in werking treedt, is het verplicht om extra informatie op te slaan, zoals de datum en de exacte toestemming.

Ontbreekt deze informatie, dan is de opt-in ongeldig en loopt u bij een overtreding het risico op een boete. b. Huidige adressenbestand De nieuwe wetgeving geldt ook voor uw huidige adressenbestand. Als u na 25 mei 2018 e-mails verstuurt, heeft u ook voor deze adressen een nieuwe e-mail opt-in nodig die voldoet aan de eisen van de AVG.

11

c. Verplichtingen Als de nieuwe privacywet in werking treedt, bent u verplicht: • • • • •

Toestemming vragen: ontvangers moeten precies weten waarvoor u de gegevens gebruikt Frequentie aangeven: u moet aangeven hoe vaak u een mailing verstuurt Mogelijkheid tot afmelding: klanten of abonnees moeten zich eenvoudig kunnen afmelden met een afmeldlink (opt-out) Afzender bekendmaken: u moet duidelijk maken wie de afzender van de mailing is Verbod op no-reply adres: klanten, abonnees of ontvangers moeten kunnen reageren op een mailing

d. E-mail opt-in proces Voldoet uw huidige e-mail opt-in proces niet aan de richtlijnen van de GDPR-wet? Dan mag u uw bestaande e-mailadressen na 25 mei 2018 niet meer gebruiken voor commerciële e-mails.

Elke marketeer moet de volgende vragen kunnen beantwoorden: • • • •

Hoe en wanneer heeft u de e-mail opt-in verkregen? Wie heeft de e-mail opt-in verkregen en in welke context? Was de informatie helder en begrijpelijk? Hoe is de e-mail opt-in verstrekt? Achter een link, in een voetnoot, in een pop-up box of in een duidelijke verklaring naast een opt-in checkbox?

e. Dubbele opt-in Bij een opt-in geeft u de eigenaar van het emailadres expliciet toestemming om een commerciële mailing te ontvangen. Met een dubbele opt-in vraagt u om een dubbele bevestiging. Zo voorkomt u het invullen van niet bestaande e-mailadressen. Veel bedrijven gebruiken hiervoor een link in een activatiemail. Volgens de GDPR-richtlijnen is een dubbele opt-in niet verplicht.

12

f. Voorbeeld e-mail opt-in

g. Document privacybeleid

Onderstaand voorbeeld is een e-mail opt-in volgens het boekje: • Het formulier begint met een duidelijke, bevestigende actie • Als abonnees een vinkje zetten in de checkbox, is het duidelijk dat ze e-mails over inbound marketing ontvangen van Leads & Meets • Via de link naar het privacybeleid wordt tekst en uitleg gegeven over rechten van abonnee • Het formulier sluit af met de bevestiging dat het om een opt-in handelt.

Een privacybeleid is niet voor elke onderneming verplicht. De zogenoemde verantwoordingsplicht wel. Hiermee toont een onderneming aan dat zij aan de verplichtingen van de AVG voldoet. Toch is het verstandig om een privacybeleid op papier te zetten. Zo’n document bevat de volgende informatie over persoonsgegevens: • Type en doeleinden • Juridische grondslag • Beveiliging • Wijze van opslag • Klachtenprocedure • Mogelijkheid tot wijzigen, verwijderen en opvragen (dataportabiliteit)

13

h. Bewijs van e-mail opt-in Houdt uw bedrijf zich bezig met e-mailmarketing, dan moet u kunnen aantonen dat u voldoet aan de eisen van de e-mail opt-in. Het is verplicht om in de database (CRM) enkele velden bij te houden. Een database die voldoet aan de GDPR-wet bevat de volgende velden: • E-mail opt-in status • Hoe en waar heeft u de opt-in verkregen • Tijdstip waarop u de opt-in verkregen heeft • Welke toestemming heeft u gekregen • Voor welke duur heeft u de toestemming verkregen

Database Abonnee 1

Voornaam

Karel

2

Achternaam

Janssen

3

Functie

Marketingmanager

4

Bedrijf

Marketinggoerroe

5

Adres

Dorpsstraat 12

6

Telefoon

(06) 98 76 54 32

7

E-mailadres

karel.janssen@marketinggoerroe.nl

8

Opt-in

Ja

9

Opt-in type

Ticketbox website

10

Tijdstip

25 januari 2018

11

Uitleg

Ik wil graag per mail informatie over inbound marketing ontvangen van Leads & Meets

14

i. Vinkje aanzetten op formulier

k. Expliciete toestemming krijgen

U mag bij een checkbox of formulier geen vinkje aanzetten bij de vraag of een bezoeker van uw website of een e-book wil downloaden of een nieuwsbrief wil ontvangen. Zo’n vinkje is immers geen expliciete toestemming. U mag de vraag wel stellen, zonder dat u het vakje aanvinkt.

Wilt u na 25 mei 2018 commerciële mails blijven sturen naar de abonnees op uw mailinglijst? In dat geval moet u een aantal stappen zetten. • •

j. Gratis weggever Wilt u bezoekers van uw website de mogelijkheid geven om een gratis whitepaper of e-book te downloaden? Als de nieuwe privacywetgeving ingaat, mag u hen daarna niet op de mailinglijst van uw digitale nieuwsbrief zetten. U heeft immers geen expliciete toestemming voor het versturen van commerciële e-mails ontvangen.

• • •

Maak een nieuwe lijst met klanten en contacten die al expliciet toestemming hebben gegeven Stuur de overige contacten een mail met de vraag of u hun gegevens mag bewaren, zodat u een digitale nieuwsbrief kunt blijven versturen Plaats in de mail een button die naar een bedankpagina op uw website linkt Iedereen die op de link klikt, komt op de nieuwe mailinglijst terecht Gebruik de nieuwe mailinglijst om digitale nieuwsbrieven te versturen

Bij een gratis weggever moet u dus expliciet aangeven dat de ontvanger 1 á 2 keer per maand een mail ontvangt over een specifiek onderwerp.

15

6. Advertentieplatformen De kracht van advertentieplatformen zoals Google, Facebook en LinkedIn schuilt in doelgerichte acties op basis van online profilering. Facebook en Google verstaan de kunst om gegevens (o.a. klikgedrag en e-mailadressen) te verzamelen, te analyseren en te combineren en vervolgens een indeling te maken van categorieën of profielen. Google, Facebook en LinkedIn bieden leden de mogelijkheid om eigen data te uploaden om zo remarketing campagnes en look-a-like doelgroepen in te stellen.

Het is momenteel niet mogelijk om één persoon uit zo’n doelgroeplijst te verwijderen. Om aan de nieuwe AVG-regelgeving te voldoen, is deze stap wel verplicht. Een opt-in formulier is te beperkt om aan te geven welke acties u onderneemt en welke consequenties die hebben. U kunt deze werkwijze wel opnemen in de privacyverklaring. Vanuit uw opt-in formulier verwijst u dan naar deze privacyverklaring.

16

7. Google Analytics Google Analytics verwerkt ook persoonsgegevens. Daarvoor maakt deze tool gebruik van analytische cookies. Het is verplicht om websitebezoekers hierover in te lichten en toestemming te vragen. Google Analytics verzamelt daarnaast, via zogenoemde tracking codes, aanvullende data over personen.

Vanaf 25 mei 2018 is het verplicht om op een website te vermelden welke data u precies verzamelt en voor welke doeleinden u dat doet. De cookiewall of de impliciete opt-in waarbij iemand akkoord gaat met de tracking is daarvoor niet afdoende.

17

8. Google Adwords campagnes De nieuwe privacywetgeving geldt niet voor de gewone Adwords tekstadvertenties in de zoekresultaten van Google. Gaat u de reguliere Adwords campagnes koppelen aan gebruikersgegevens, dan worden de nieuwe richtlijnen van kracht. Denk daarbij aan het instellen van een zogenoemde RLSA-campagne. De afkorting RLSA staat voor Remarketing for Search Ads. Alleen mensen die uw website bezocht hebben, krijgen deze advertenties te zien.

Conversiemeting speelt een cruciale rol in het beheer, de verbetering en het succes van Adwords campagnes. Adverteerders maken gebruik van cookies of conversiecodes om te controleren of het klikken op een advertentie uiteindelijk leidt tot een hogere conversie. In beide gevallen gaat het om de interpretatie van persoonsgegevens, waarvoor toestemming nodig is.

18

9. Dataopslag en beveiliging a. Keuze server Professionele beveiliging van uw data stelt hoge eisen aan uw dataopslag. Opslag in de cloud of op eigen servers is prima. Mits de data versleuteld is en ontoegankelijk voor onbevoegden. b. Risico lokale opslag Lokale opslag op externe schijven en USB-sticks is om die reden risicovol. Bij diefstal of verlies moet de data op afstand van apparaten gewist kunnen worden.

c. Cloudproviders buiten Europa Heeft u uw data in beheer gegeven bij een grote public cloudprovider, zoals Google, Amazon, Microsoft of IBM? Dat bestaat de kans dat uw gegevens buiten Europa verwerkt worden. Controleer in dit geval of de vereiste contracten gesloten zijn. Bij een Amerikaans bedrijf is het belangrijk dat deze provider gecertificeerd is volgens het EU-US Privacy Shield.

19

d. Migratie naar cloudserver in EU

e. Colocatie

Bouw meer zekerheid in met de migratie van uw persoonsgegevens naar een zogenoemde ‘private cloud’ van een provider waarvan u zeker bent dat uw data opgeslagen wordt in Nederland of een ander land binnen de EU. Of kies voor een zogenoemde hybride cloud: een combinatie van een public en een private cloud. Sla bij deze keuze de persoonsgegevens op in de private cloud en de andere data in de public cloud. Leg de afspraken hierover vast in een verwerkersovereenkomst.

Een volgende mogelijkheid is het onderbrengen van uw IT in een datacenter of het ‘in house’ hosten. Bij beide opties houdt u zelf de controle over de beveiliging en het naleven van de AVG-richtlijnen. Niet alleen zijn veel datacenters gecertificeerd. Ook de fysieke beveiliging voldoet aan strenge eisen.

20

10. Voorbereiding op privacywet Over de komst en de consequenties van de AVG is al heel veel gezegd en geschreven. Ook door mij. In het blog ‘Nieuwe privacywetgeving: nachtmerrie of wake-up c all ‘ attendeer ik marketeers en verkopers op de consequenties van de AVG voor hun acquisitie en relatiebeheer.

De website van de Autoriteit Persoonsgegevens bevat een uitgebreid dossier met informatie over de AVG. Deze informatie is onmisbaar als u uw organisatie wilt klaarstomen voor deze nieuwe verordening.

21

11. Stappenplan met tips Met de komst van de Algemene Verordening Gegevensbescherming (AVG) gaat er veel veranderen. Met ingang van 25 mei 2018 geldt de nieuwe privacywetgeving in de gehele Europese Unie. Veranderen telemarketing en direct mail in een tandeloze tijger? Of biedt de AVG ook nieuwe kansen voor organisaties?

Om het u de resterende maanden makkelijker te maken, heb ik een stappenplan met handige tips op papier gezet. Gebruik deze tips om u grondig voor te bereiden op D-day: 25 mei 2018.

22

a. Een gewaarschuwd mens telt voor twee De tijd van achteroverleunen en afwachten is voorbij. De komst van de AVG is een voldongen feit. Werkt uw bedrijf met persoonsgegevens, dan geldt het volgende advies: zorg dat u goed voorbereid aan de start staat.

Zo voorkomt u dat prospects en klanten u straks op de vingers tikken. Of nog erger: u voorkomt een fikse boete als uw bedrijf zorgvuldig en volgens de nieuwe richtlijnen van de AVG met privacygegevens omgaat.

23

b. Inventariseer de verwerking van privacygegevens Bedrijven hebben in hun database of CRM-systeem tientallen, honderden of duizenden gegevens van klanten, prospects en relaties staan.

Breng in kaart hoe u aan deze gegevens komt, voor welke doeleinden u ze gebruikt en met wie u deze gegevens deelt.

Als de AVG van kracht wordt, moet u van al deze personen expliciet toestemming hebben om deze gegevens te mogen gebruiken.

24

c. Waarborg de privacyrechten van betrokkenen Personen krijgen met de komst van de AVG meer en verbeterde privacyrechten. Deze rechten gaan hand in hand met een verplichting voor uw organisatie. Uw prospects, klanten en relaties moeten hun gegevens gemakkelijk kunnen inzien, corrigeren, verwijderen of kunnen doorgeven aan een andere organisatie.

25

d. Voer een Privacy Impact Assessment (PIA) uit De verwerking van persoonsgegevens gaat ongetwijfeld gepaard met bepaalde risico’s. Om goed voorbereid te zijn, is het verstandig om vooraf de privacyrisico’s in kaart te brengen. Als u hiervan een goed beeld hebt, is het ook mogelijk om de risico’s te verminderen.

Gaat u deze risico’s bepalen? Gebruik dan de criteria die de werkgroep van Europese privacytoezicht-houders op papier heeft gezet. Op de website van de Autoriteit Persoonsgegevens staat meer informatie over het (laten) uitvoeren van een Privacy Impact Assessment (PIA).

26

e. Verwerk de ‘Privacy by Default’ in de bedrijfsvoering De komst van de AVG omhelst ook dat u alléén die persoonsgegevens verwerkt die u nodig heeft voor specifieke doelstellingen met uw bedrijfsvoering. Hierop moet u zich zowel technisch als organisatorisch grondig voorbereiden.

Wat betreft deze maatregel kunt u bijvoorbeeld denken aan de invulformulieren op uw website. Straks is het niet meer toegestaan om invulvelden standaard op ‘aangevinkt’ te zetten.

27

f. Controleer de privacyverklaring van uw bedrijf De AVG vereist met ingang van 25 mei 2018 ook een nieuwe privacyverklaring. Deze verklaring bevat o.a. gedetailleerde informatie over: • identiteit van de onderneming en de contactgegevens • doel waarvoor de gegevens verzameld worden • wie de ontvangers van de persoonsgegevens zijn • termijn waarin de gegevens opgeslagen worden

• • • •

recht van personen op inzage, rectificatie of verwijdering gegevens recht op bezwaar tegen verwerking van de persoonsgegevens recht op intrekking van de toestemming recht op een klacht indienen bij de Autoriteit Persoonsgegevens

De privacyverklaring moet niet alleen volledig zijn, maar ook in begrijpelijke taal geschreven zijn.

28

g. Check verplichting aanstelling functionaris voor gegevensbescherming De introductie van de AVG gaat gepaard met een nieuwe functie: Functionaris Gegevensbescherming (FG). Deze interne medewerker controleert of uw organisatie de persoonsgegevens rechtmatig en veilig verwerkt. Voor sommige organisaties is het verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting geldt bijvoorbeeld voor bedrijven die op grote schaal personen met camera’s observeren.

Ook organisaties of bedrijven die gegevens over iemands gezondheid opslaan, zijn verplicht om een FG in dienst te nemen. Vanzelfsprekend is het ook toegestaan om op vrijwillige basis – parttime of fulltime – een FG in dienst te nemen. De FG is binnen uw organisatie het aanspreekpunt voor de Autoriteit Persoonsgegevens.

29

h. Documenteer alle datalekken en zorg voor een duidelijke procedure De AVG stelt zeer strenge eisen aan het melden van datalekken. Voor organisaties is het raadzaam om hiervoor een stappenplan op papier te zetten. Zo’n plan behandelt stap voor stap hoe u moet handelen bij een datalek. Daarbij kan het zowel om een vermoeden als om een kennisname gaan.

30

i. Controleer of bewerkersovereenkomsten aan nieuwe wetgeving voldoen Veel organisaties besteden de boekhouding, de hosting, de bouw van een website, het versturen van e-mailings of de salarisadministratie uit aan een extern bedrijf. De AVG vereist voor deze samenwerking een ondertekende verwerkersovereenkomst. In deze schriftelijke verklaring staat zwart op wit hoe de verwerker omgaat met de privacygegevens van uw bedrijf, bijvoorbeeld hoe een salarisadministrateur persoonsgegevens van uw medewerkers bijhoudt.

Houd uw bewerkersovereenkomst zorgvuldig tegen het licht en controleer of de inhoud actueel is en voldoet aan de richtlijnen van de AVG. Een verwerkersovereenkomst is ook verplicht als de verwerker een dochteronderneming is of als de verwerker in het buitenland gevestigd is.

31

i. Keuze privacytoezichthouder Heeft uw bedrijf meerdere vestigingen in meerdere EU-lidstaten? Of worden er persoonsgegevens verwerkt in meerdere lidstaten? In beide gevallen heeft u nog maar ĂŠĂŠn privacytoezichthouder nodig. Bij meerdere vestigingen moet u dus een keuze maken voor een leidende privacytoezichthouder.

32

Nawoord Over de inhoud, ingang en consequenties van de Algemene Verordening Gegevensbescherming valt nog veel meer te vertellen. Graag geef ik u tijdens een persoonlijk gesprek tekst en uitleg over de AVG en help ik u om voorbereid te zijn op de AVG. Telemarketing en direct mail vallen onder de noemer van outbound marketing. Je kunt deze traditionele verkooptechnieken en marketingstrategieĂŤn ook omzeilen en de kracht van inbound marketing en social selling omarmen.

Over beide disciplines heb ik de afgelopen maanden diverse blogs geschreven. U kunt deze artikelen lezen ter lering en vermaak. Wilt u op een hedendaagse wijze vorm en inhoud geven aan uw marketing en sales? Bel (06) 50 89 72 33 of vul het contactformulier op mijn website in om een afspraak te maken. Anita Stegwee Leads & Meets

33

www.leads-meets.nl

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.