Smile
Terug naar hoofdmenu
Terug naar het overzicht

Veel Nederlandse organisaties hebben een positieve houding ten opzichte van de AVG/GDPR, maar nog lang niet alle organisaties grijpen de AVG/GDPR ook echt aan als kans. En dat is jammer, want je kunt de AVG/GDPR heel goed inzetten om de bestaande organisatie even flink ‘op te schudden’ met innovatie als hoger doel.

Dit artikel is een pleidooi om niet binnen de lijntjes van ‘het naleven van de wetgeving’ te blijven denken. Zie de AVG/GDPR als een boom vol prachtige vruchten. Pak de kansen!

De doelstelling van de AVG/GDPR

De AVG/GDPR is een Europese privacy verordening die zorgt voor een gelijk speelveld op het gebied van databescherming en vrij verkeer van data. De verordening is in het belang van ons allemaal en heeft impact op vrijwel iedere organisatie: ook kleine MKB-ers, ZZP-ers en verenigingen hebben ermee te maken.

De doelstelling van de AVG/GDPR kan als volgt worden samengevat:

  1. Individuen moeten inzicht en zeggenschap krijgen in de opslag en het gebruik van privacygevoelige data door bedrijven en expliciet toestemming geven per ‘data-element’ en ‘per gebruiksdoel’.
  2. Bedrijven moeten zorgvuldig omspringen met die data en de data aantoonbaar beschermen.

KANS 1: Maak interne processen veiliger én productiever

Vanuit deze doelstelling vraagt de AVG/GDPR om het in kaart brengen van alle processen en systemen waarin datastromen met persoonsgegevens zijn ondergebracht.

Oud zeer

Doordat je verplicht wordt zo’n analyse te doen en alle verwerkingen vast te leggen, zal er vast en zeker oud zeer boven tafel komen. Software waarvan je niet (meer) wist dat het gebruikt werd, gegevensoverdrachten via onveilige ‘dragers’ als Excel waarvoor veel handmatige stappen nodig zijn, een toegangsbeleid dat er op het eerste oog ‘veilig’ uitziet maar toch blijkt te rammelen omdat beheerders op databaseniveau zaken kunnen overrulen en de zogeheten ‘dubbele boekhouding’ ofwel het ontbreken van één bronsysteem voor belangrijke stamgegevens.

De bezem erdoor

Pijnlijk misschien, maar je kunt dit inzicht ook positief inzetten door eens goed met de bezem door deze ‘oude pijn’ te gaan. Software die niet meer gebruikt wordt, kan worden opgezegd en/of gedeactiveerd (dat scheelt mogelijk ook nog kosten), op plekken waar onveilige gegevensdragers en/of veel handmatige stappen van toepassing zijn kan nieuwe Cloud software – ontwikkeld met de principes van de AVG/GDPR in het achterhoofd – worden toegepast (dat levert veelal ook een tijdsbesparing op), als je jouw IT-landschap nog ‘inhouse’ faciliteert, is dit het moment om na te gaan denken over outsourcing naar een goed gecertificeerde hosting-partij wiens focus 100% ligt op het veilig en goed beheren van gegevens van anderen (ook hiermee kun je zowel kosten als tijd besparen) en om het dubbel bijhouden van gegevens te voorkomen, kun je investeren in een paar slimme en veilige koppelingen (wat tevens de kans op fouten minimaliseert).

Nu of nooit

Toegegeven, stuk voor stuk werkzaamheden die wel wat van jouw organisatie vragen, maar als je het nu niet doet wordt de pijn nog groter en is de kans groot dat concurrenten je straks voorbij gaan streven. Dus grijp de kans, maak een plan van aanpak, schud de beslissingsbevoegde(n) wakker en ga aan de slag met het veiliger én productiever maken van jouw interne processen.

KANS 2: Maak medewerkers meer bewust van risico’s

Datalekken zijn aan de orde van de dag. Als je de oorzaken bekijkt, zijn het niet de mega-hacks, maar vooral zaken als ‘het versturen van gevoelige informatie aan de verkeerde ontvanger’ en ‘het kwijtraken van apparatuur, gegevensdragers of papieren’ die de boventoon voeren. Meer dan de helft van de voorkomende datalekken worden door onbewuste of onhandige medewerkers veroorzaakt. Logisch dus dat privacy bewustwordingsprogramma’s in veel organisaties hoog op de agenda staan.

Aansluiten bij bestaande programma’s en interne audits

Zo’n programma kun je vrij eenvoudig wat breder trekken door het onderwerp privacy te combineren met andere risicogebieden zoals (verminderde) productiviteit, kwaliteit, MVO of andere onderwerpen die in jouw organisatie aandacht behoeven. Gebruik de AVG/GDPR om nieuwe manieren van samenwerken te introduceren zoals bijvoorbeeld Lean of Agile. Loopt er al een dergelijk programma? Sluit daar dan bij aan en gebruik het onderwerp privacy en de AVG/GDPR als katalysator. En vergeet niet om de maatregelen in het kader van de AVG/GDPR mee te nemen in interne auditprogramma’s t.b.v. kwaliteit en veiligheid.

What’s in it for me?

Laat mensen snappen dat de AVG/GDPR er ook voor hen persoonlijk is. En waarom het dus zo belangrijk is om goed met andermans persoonsgegevens om te gaan. Vertaal dat principe naar de noodzaak van andere onderwerpen die spelen in jouw organisatie. Creëer bewustzijn bij medewerkers in de breedste zin van het woord door oude gewoontes tegen het licht te houden en ze te vervangen door nieuwe processen die niet alleen in lijn zijn met de AVG/GDPR maar ook een prettigere manier van werken tot gevolg hebben. Niet alleen de medewerkers zullen er blij mee zijn, maar de hele organisatie zal profiteren door betere resultaten.

KANS 3: Creëer een optimale klantervaring via consent management

Voor de marketingafdeling zijn ‘transparantie’, ‘toestemming/consent’ en ‘de wijze van profiling’ belangrijke AVG/GDPR -topics.

Transparantie en toestemming of consent

Organisaties moeten uitgebreide informatie kunnen verschaffen over de door hen verzamelde persoonlijke data én individuele personen moeten de controle krijgen over hun persoonlijke data. Om transparant te kunnen zijn is het essentieel om toestemming (consent) te vragen voor het gebruik van persoonlijke data. Je moet hierbij expliciet aangeven waar je deze gegevens voor gaat gebruiken (je mag namelijk alleen nog data verzamelen die je echt nodig hebt) en hoelang je ze bewaart. De persoon die toestemming heeft gegeven, moet deze toestemming op elk moment weer kunnen intrekken.

Profiling

Profiling en de AVG/GDPR lijken niet goed samen te gaan. Want profielen opbouwen, verrijken en gedrag voorspellen op basis van persoonlijke data – zonder toestemming – mag niet meer. Als je wel aan profiling wil doen, moet je dus aantoonbaar toestemming vragen en mensen stap voor stap meenemen in het profiling-proces óf aantoonbaar maken dat je alle persoonlijke gegevens anonimiseert.

Consent Management en privacy by default

Waar blijven de kansen zal je denken? Die liggen op het vlak van de interactie met de (potentiële) klant. De AVG/GDPR stelt dat jouw (potentiële) klant altijd zelf in charge moet zijn als het om zijn persoonsgegevens gaat. Maak dit concreet via een zogeheten Consent Management Systeem met een persoonlijke consentpagina op jouw website(s) waar jouw (potentiële) klant zelf zijn gegevens kan beheren. Dit is een transparante en makkelijke manier om contact te onderhouden en vervangt de huidige – vaak zeer gebruiksonvriendelijke – cookiewall.

Richt tevens jouw profiling-proces meer ‘lean’ in met de data die je echt nodig hebt en waarvan je ook echt de toegevoegde waarde kunt aantonen. Pas hier het ‘privacy bij default’ principe toe: zet tracking-cookies standaard uit (en niet alleen als de gebruiker dit in zijn browser-instellingen zo heeft ingesteld) en laat jouw (potentiële) klant zelf beslissen of hij er gebruik van wil maken.

Opt-out

Via de persoonlijke consentpagina kun je niet alleen vrij eenvoudig de toestemming voor het doelmatig gebruik van data als e-mailadressen en tracking-cookies registeren, maar deze toestemming ook eenvoudig weer laten intrekken via de zogeheten ‘opt-out-mogelijkheid’. Vergeet niet dat je dit per element moet kunnen aantonen (het gebruik van een e-mailadres voor een nieuwsbrief en het gebruik van een e-mailadres voor een download zijn bijv. ‘losse’ elementen) en dat je ook de exacte datum/tijd waarop er toestemming is gegeven (of ingetrokken) moet vastleggen. Kies dus voor een Consent Management Systeem dat deze mogelijkheden biedt via naadloze integratie met jouw CRM-, e-mailmarketing- en/of andere Marketing Automation Software.

Omdenken

Minder data, meer kwaliteit en aantoonbaar ‘consent’ wordt het nieuwe uitgangspunt. Er zijn nog maar weinig organisaties die dit goed hebben ingericht: het biedt dus een geweldige kans om je te onderscheiden. Wees niet bang voor data- en inkomstenderving maar draai die gedachte om: als jouw (potentiële) klant er waarde voor terugkrijgt en het gevoel heeft zelf aan het stuur te zitten, zal hij vast en zeker ook bereid zijn (meer) data met jou te delen en sneller geneigd zijn een product of dienst bij jou af te nemen.

Aanjager voor innovatie

Wie dacht dat de AVG/GDPR vooral een juridische en/of IT-aangelegenheid is, zal daar na het lezen van dit artikel anders naar kijken. De AVG/GDPR heeft gevolgen voor de gehele organisatie, online én offline. En als je dat positief bekijkt, kan de AVG/GDPR een mooie aanjager zijn voor innovatie in de breedste zin van het woord.

Veel plezier met al het verbeterpotentieel dat voor het grijpen ligt!

Smile maakt gebruik van cookies om de website te verbeteren en jouw voorkeuren te onthouden.

man-logo