Salesforce & de GDPR

Melle de Ronde

Melle de Ronde

Marketing Manager

6-12-2017 - 4 min leestijd

Je kan er inmiddels niet meer omheen; de reeds aangekondigde EU Privacywetgeving, de GDPR, zal per 25 mei 2018 van kracht gaan. Dit houdt de gemoederen begrijpelijk bezig. Maar wat is het, voor wie is dit relevant en waar moet u rekening mee houden om uw organisatie hiervoor klaar te stomen?

GDPR: wat & waarom

GDPR staat voor General Data Protection Regulation, in Nederland ook wel bekend als Algemene Verordening Gegevensbescherming. Deze nieuwe wetgeving is in het leven geroepen ter bescherming van persoonsgegevens van EU-inwoners.

Even beginnen bij het begin; wat verstaan we dan precies onder persoonsgegevens? Deze term omvat eigenlijk alle persoonlijke informatie die kan worden gebruikt om een individu direct of indirect te identificeren; zoals een naam, telefoonnummer, emailadres, geboorteplaats, geboortedatum, enz.

Waarom is er een nieuwe wetgeving nodig om deze persoonsgegevens te beschermen? In de EU hebben alle lidstaten een eigen privacywetgeving. Deze zijn allemaal gebaseerd op Europese richtlijnen uit 1995. Sinds 1995, toen het internet nog van hout was, hebben er zoveel ontwikkelingen plaatsgevonden dat het logischerwijs tijd was om deze richtlijnen te herzien.

Eén van die ontwikkelingen is dat organisaties tegenwoordig meer persoonsgegevens verzamelen en delen dan ooit tevoren. Daardoor komen er ook meer datalekken, door bijvoorbeeld ransomware, voor. In het eerste kwartaal van dit jaar is dat in Nederland al 2300 keer zijn voorgekomen (bron: Autoriteit Persoonsgegevens. Dit zorgt onder andere voor uitdagingen op het gebied van de beveiliging van de persoonsgegevens.

In het eerste kwartaal van dit jaar zijn er in Nederland al 2300 keer datalekken voorgekomen.

Wat is er anders in de GDPR?

Waar er ten aanzien van de verwerkingsprincipes de bestaande principes van kracht blijven, zijn er wel veranderingen ten opzichte van de huidige wetgeving. Het nieuwe beginsel, de verantwoordingsplicht, wordt toegevoegd. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de GDPR te voldoen.

De rechten van de betrokkenen zijn verder uitgebreid. Betrokkenen kunnen verlangen dat de verantwoordelijke hen toegang verschaft tot alle persoonsgegevens die de verantwoordelijke over hen bewaart. Ook kunnen ze verzoeken dat de gegevens worden gecorrigeerd, verwijderd, of verplaatsbaar worden gemaakt (bijvoorbeeld makkelijk te downloaden zijn). Voorafgaand aan het verwerken van persoonsgegevens komen we het onderwerp ‘toestemming’ tegen. Hier gaat het onder andere over de manier waarop dit verkregen wordt en het terugtrekken van toestemming.

Voor de volledige informatie rondom de nieuwe wetgeving, raad ik u aan om de website van de Autoriteit Persoonsgegevens te raadplegen.

Geldt het ook voor mijn organisatie?

De GDPR-wetgeving wilt deze persoonsgegevens beschermen. Hoe dan ook zal dit impact hebben op uw organisatie. Elke organisatie die persoonsgegevens verwerkt die gevestigd is binnen de EU, of waarvan de afnemersmarkt zich binnen de EU bevindt, valt onder deze wetgeving. De assumptie dat de GDPR alleen geldt voor de B2C markt is onjuist. De wet is geschreven om persoonsgegevens van alle EU-inwoners te beschermen, hieronder vallen ook uw eigen medewerkers en uw klanten en partners. Afhankelijk van het soort persoonsgegevens uw organisatie verwerkt en voor welke doeleind zijn verschillende delen van de GDPR van toepassing, laat u hierover goed informeren door een expert.

Wat moet ik doen en waar moet ik rekening mee houden?

Op beleidsmatig- organisatorisch- en technisch niveau, zult u maatregelen moeten gaan treffen. U zult bijvoorbeeld moeten gaan nadenken over data classificatie, actoren en stakeholders binnen uw organisatie, het doel waarmee u persoonsgegevens verwerkt, de data lifecycle, maar ook over het managen van impact, hoe u de communicatie regelt intern en extern, hoe u binnen uw organisatie bewustzijn creëert, en hoe u eventuele security incidenten gaat managen.

Wat betekent dit voor uw Salesforce omgeving?

Alhoewel de eerste focus op de weg naar GDPR-compliancy niet op het technologische aspect zou moeten liggen maar op beleidsniveau willen wij als Salesforce implementatie partner hier niet aan voorbijgaan in deze blog. Wanneer u heeft bepaald welke persoonsgegevens u van uw klanten verzamelt en verwerkt en voor welke doeleinde, kunnen we gaan kijken of er aanpassingen nodig zijn in uw Salesforce omgeving. Wij kunnen adviseren op onderwerpen als het verwijderen van persoonsgegevens op verzoek van de betrokkenen, anonimiseren of pseudonimiseren van persoonsgegevens, het vastleggen van verifieerbare toestemming, data portabiliteit en andere onderwerpen.

De GDPR is er voornamelijk voor bedoeld om uw consumenten beter te beschermen. En ja, dit brengt verplichtingen met zich mee, maar wanneer er aan de voorkant goed wordt nagedacht over de verwerking van het soort persoonsgegevens en de doeleinde hiervan, is het technologische aspect hiervan een kwestie van logisch implementeren.

Voor meer informatie en advies over GDPR & uw Salesforce omgeving, neem contact met ons op 020 - 750 8350.

Wanneer u heeft bepaald welke persoonsgegevens u van uw klanten verzamelt en verwerkt en voor welke doeleinde, kunnen we gaan kijken of er aanpassingen nodig zijn in uw Salesforce omgeving.

Ten slotte De bovenstaand tekst bevat persoonlijke meningen en inzichten. Gen25 raadt u aan om u te laten informeren door een juridisch expert over wat u kunt en moet doen om aan de regelgeving van de GDPR te voldoen. Wilt u meer lezen over GDPR en wat u voor uw organisatie kunt doen, hier een aantal handige links: De Officiële GDPR website van de Europese Unie, de Salesforce website omtrent GDPR of doe de Salesforce Trailhead over GDPR.

Benieuwd wat wij voor je kunnen doen?

Bekijk onze services