Hoe zorgt u voor een GDPR-proof klantenbestand?

Vijf belangrijke aandachtspunten

Alles draait om uw (zakelijke) klanten. Hoe meer u over ze weet, des te nauwkeuriger u daar op kunt inspelen en bedrijfsresultaten optimaliseert. Veel bedrijven besteden bepaalde activiteiten binnen de organisatie uit. Denk aan catering, ICT en facilitair beheer. Klantenbestanden en databases zijn echter nog veelal geheel in eigen beheer. Hoe weet u zeker dat u op de juiste manier met het klantenbestand omgaat en het GDPR-proof is? Nu we het nieuwe jaar in gaan, is dit het uitgelezen moment om daar even bij stil te staan!

De huidige stand van zaken rondom de GDPR

Inmiddels is de GDPR ruim een half jaar van kracht; tijd om de balans op te maken. Het belangrijkste resultaat is dat bijna tienduizend mensen een privacyklacht hebben ingediend bij de Autoriteit Persoonsgegevens (AP). Het gaat met name om schending van privacyrechten op het moment dat meer gegevens worden uitgevraagd dan noodzakelijk. Daarnaast maakt men vaak meldingen over het ongewenst doorgeven van persoonsgegevens aan derden. Zakelijke dienstverleners, de IT-sector en de overheid komen er het slechtst vanaf.

Vijf vereisten voor een GDPR-proof database

U heeft vast en zeker al een hoop maatregelen getroffen. Toch zetten we de belangrijkste nog even op een rij, zodat u bovengenoemde klachten uit de weg gaat.

1. Zorg voor expliciete toestemming bij het verzamelen van de persoonsgegevens

De persoonsgegevens die u in uw databases heeft opgeslagen, moeten altijd legitiem verkregen zijn. Dit geldt voor zowel ‘standaard’ persoonsgegevens als pseudo-anonieme gegevens. Standaard persoonsgegevens zijn NAW-gegevens zoals het telefoonnummer, e-mailadres en geboortedatum. Pseudo-anonieme gegevens zijn niet direct herleidbaar naar een persoon. Denk aan IP-adres, gebruikers ID en medewerkers ID. De verkregen persoonsgegevens mag u niet voor andere zaken gebruiken dan hetgeen u toestemming voor heeft gevraagd. Net als bij B2C is het bij B2B-marketing verplicht om een opt-in te vragen voor commerciële en charitatieve e-mails. Met andere woorden: een e-book sturen omdat iemand het heeft aangevraagd mag wel, maar diegene zomaar maandelijks een nieuwsbrief toesturen mag niet. De wet maakt daarbij geen onderscheid tussen persoonlijke en zakelijke contacten.

2. Stel een heldere privacyverklaring op

Het is belangrijk dat u aangeeft welke (zakelijke) gegevens u van mensen gebruikt en met welk doel. De privacyverklaring moet in eenvoudige taal precies en volledig uitleggen wat u met de persoonsgegevens doet. Ook wijst u personen op hun rechten, zoals het aanpassen, inzien en zelfs laten vernietigen van gegevens. Daarom is het belangrijk dat in uw organisatie duidelijk is welke gegevens men daadwerkelijk over iemand verwerkt. Denk ook aan B2B- en/of B2C-data die u bij derden plaatst, zoals in uw marketing automation tool.

3. Waak ervoor dat niet iedereen de klanten- en medewerkersbestanden kan inzien

Breng in kaart welke personen toegang tot persoonsgegevens hebben en welke rechten zij genieten. Installeer een goed beveiligde verbinding naar de database-omgeving en realiseer een back-up strategie. Daarnaast is het goed om altijd beveiligde servers te gebruiken en gegevens bij het versturen te versleutelen. Om aan te kunnen tonen dat de beveiligingsmaatregelen daadwerkelijk werken dient u ze periodiek te testen.

4. Stel een verwerkersovereenkomst op die aan de GDPR-regels is aangepast

Schakelt u verwerkers in? En schakelen zij wellicht weer subverwerkers in? Zorg dat u deze hele keten inzichtelijk heeft: waar staat de data en waar gaat het heen? Stel daarom altijd een verwerkersovereenkomst op. Daarin legt u de onderlinge afspraken rondom de verwerking van persoonsgegevens vast, zoals:

  • het verwerken in opdracht;

  • het melden van datalekken;

  • het meewerken aan security audits;

  • de geheimhoudingsplicht.

Daarnaast wordt in de overeenkomst vastgelegd, dat van de verwerker wordt verwacht dat hij passende technische en organisatorische beveiligingsmaatregelen treft.

5. Formuleer een protocol voor het verwijderen van persoonsgegevens

Classificeer de persoonsgegevens zodanig dat u aan de wettelijke bewaartermijnen voldoet. Stel vervolgens een protocol op voor het corrigeren en verwijderen van persoonsgegevens, waarbij u ook verifieert of degene die de gegevens wijzigt daar recht toe heeft. Ook B2B-bedrijven moeten duidelijk op papier zetten wat de reden is en hoe lang ze een zakelijke contactpersoon en zijn gegevens opslaan.

Een gegarandeerd veilige manier van werken

Goede data is onontbeerlijk bij het doen van marketing en sales. Bij SalesQ beschikken we over een database waar we mensen met de juiste kennis en skills bij inzetten en de modernste software-applicaties op toepassen. Indien nodig leggen we speciaal voor u een database aan, gebaseerd op diverse bronnen. En niet geheel onbelangrijk: wij zijn ISO-gecertificeerd (9001 en 27001) wat een veilige manier van werken garandeert!

Wilt u meer weten over hoe u goed met klantbestanden omgaat of ontdekken hoe SalesQ uw organisatie kan versterken? Ga naar salesq.nl/pre-sales/klantenbestanden of neem direct contact met ons op via +31 23 7113200.