Deel 2: Wat verandert de AVG voor mij als ik SuiteCRM gebruik?

Het CRM is een belangrijke bron van gegevens. Je legt daar dus ook veel in vast. De AVG is onder andere bedoeld om onnodig (lang) vastleggen en gebruiken van (te veel) gegevens in te perken. Waar het CRM juist bedoeld is om gegevens in te verzamelen en te gebruiken, kan het echter ook goed helpen bij het beheren en, uiteindelijk, vernietigen ervan. In deze blog geven we de situatie weer die de AVG creeert en bieden we enkele handvatten hoe je het CRM kunt gebruiken om daarmee om te gaan.

 

De fases van gebruik

Als eerste welke fases van gebruik zijn er. Deze hebben invloed op de gegevens in het CRM.

 

A. Gebruik

De tijd dat jij jouw gegevens "nodig hebt" is de gebruiksfase. In deze fase worden persoonsgegevens nog niet bewaard of gearchiveerd. Nu gebruik je de persoonsgegevens voor het bereiken van jouw verwerkingsdoelen.

 

B. Archivering

De tijd dat jij de persoonsgegevens "mogelijk nodig hebt", of dat jij jouw gebruikte persoonsgegevens archiveert, start ook de archiveringsfase. Nu bewaar je jouw gegevens vanwege administratieve redenen of wettelijke voorschriften.

 

C. Anonimiseren of vernietigen

Wanneer je de persoonsgegevens niet meer nodig hebt, zorg er dan voor dat deze niet meer worden bewaard. Anonimiseren mag wel, maar de echte persoonsgegevens moeten gewist of vernietigd worden.

 

Door de volgende vragen te stellen kan je een termijn bepalen en/of het belang afwegen.

  • wat heb je echt nodig;
  • hoe lang denk je deze gegevens nodig te hebben;
  • welke organisatorische en technische methodes kan je er op toepassen om het te beperken;;
  • wat zijn de gevolgen voor de eigenaar in het geval van een een datalek;
  • wat zijn de gevolgen voor de persoonlijke levenssfeer.

Leg voor het verzamelen, hebben, houden en vernietigen van persoonsgegevens deze redenen vast. Laat zien wat het doel van verzamelen is, wat er verzameld wordt, hoe lang het aanwezig blijft, of het daarna gearchiveerd gaat worden of juist vernietigd en de manier waarop dat wordt gedaan. Geef de bewaartermijn, die de organisatie gebruikt, door aan de eigenaar.

 

De volgende wetten regelen specifieke bewaartermijnen:

  • de Belastingwet - basisgegevens (7 jaar);
  • Uitvoeringsregeling loonbelasting - kopie ID (5 jaar), Arbeidstijdenbesluit - tijdsregistratiegegevens (52 weken na de registratie);
  • Wet Stimulering Arbeidsdeelname Minderheden (Wet SAMEN) - gegevens betreffende etniciteit en herkomst medewerker (minimaal 5 jaar na einde dienstverband);
  • Arbo-gegevens / Arbeidsomstandigheden besluit - betreffende kankerverwekkende stoffen en processen (minimaal 40 jaar na blootstelling);
  • deze bewaarplicht is ook van toepassing op computerprogramma’s en de hierbij horende bestanden. Deze bestanden moeten bij controle bruikbaar zijn.

Als je de bestanden alleen in afgedrukte vorm bewaart voldoe je niet aan de bewaarplicht.

 

Checklist

In deze checklist geven we aan waar je rekening mee moet houden en geven we een aantal voorbeelden hoe het CRM kan helpen.

  1. Welke persoonsgegevens verwerk je in het CRM?
  2. Bewaar persoonlijke gegevens niet langer dan noodzakelijk in het CRM
  3. Vraag om toestemming bij E-mails sturen
  4. Update privacyverklaring
  5. Zorg er voor dat bij alle klanten een verwerkersovereenkomsten aanwezig is
  6. Bewijs dat je toestemming hebt van alle betrokkenen
  7. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten
  8. Zorg er voor dat je een databeveiligingsbeleid hebt
  9. Documenteer alles ivm Register Verwerkingsactiviteiten

 

1. Welke persoonsgegevens verwerk je in het CRM?

Verwerk alleen persoonsgegevens die strikt noodzakelijk zijn voor de bedrijfvoering en verzamel geen extra data. Vraag altijd toestemming voor elk type gebruik apart en doe dat voor elk doel onafhankelijk van elkaar. Je kunt geen extra gegevens verzamelen wanneer dat niet overeenkomstig is met het van te voren vastgelegde en gerelateerde doel. Zoals iemand zijn telefoonnummer laten vermelden bij het aanvragen van een whitepaper via de e-mail.

 

Hoe kan SuiteCRM hierbij helpen?

  • Zorg ervoor dat je niet onnodig veel velden toevoegt; die kunnen immers allemaal gevuld worden met gegevens.
  • Pas op met algemene tekstvlakken: die worden vaak 'misbruikt' om willekeurige gegevens in op te slaan.
  • Maak de velden specifiek.

 

2. Bewaar persoonlijke gegevens niet langer dan noodzakelijk in het CRM

Zorg ervoor dat je de persoonsgegevens niet langer bewaart dan noodzakelijk. De AVG geeft zelf geen specifieke bewaartermijnen, dus die moet je uit andere bronnen halen danwel zelf onderbouwen. Er is wel een opslagbeperking. Daarmee wordt bedoeld dat gegevens alleen bewaard kunnen worden zolang het nodig is en alleen voor de doeleinden die de organisatie van te voren heeft gespecificeerd. Een aantal andere wetten regelt wel specifiek deze bewaartermijnen.

Gebruik deze als uitgangspunt voor het vastleggen van de bewaartermijnen voor jouw persoonsgegevens en besluit voor jezelf wat redelijk is voor de overige gegevens met het verwerkingsdoel als uitgangspunt. Leg in de documentatie van de persoonsgegevensverwerking door de organisatie voor elk onderdeel apart vast hoe lang iets bewaard gaat worden. Klanten kunnen in sommige gevallen vragen persoongegevens te laten verwijderen. Je hoeft dat niet altijd zomaar te doen, maar wanneer je weigert geef dan aan op welke grond er niet voldaan kan worden aan de aanvraag, bijvoorbeeld ivm bepaalde regelgeving kan er niet worden verwijderd.

 

Hoe kan SuiteCRM hierbij helpen?

  • Zorg ervoor dat je in het CRM kenmerken vastlegt die helpen bij het beheren hiervan. Standaard heb je al een aanmaakdatum, maar misschien wil je ook wel vastleggen of iemand en klant is of niet en per wanneer iemand een ex-klant is geworden. Je kunt dan snel zoeken op ex-klanten van ouder dan x jaar, om die te verwijderen.
  • Zorg ervoor dat die velden verplicht ingevuld moeten worden, danwel dat die geautomatiseerd ingevuld worden. Voor dat laatste maak je gebruik van de WorkFlow module die in ons Expert-pakket zit, of neem je contact met ons op.
  • Diezelfde WorkFlow module kan je geautomatiseerd de modules in het CRM laten scannen op die kenmerken. Bij alle gevonden records kan je dan bijvoorbeeld alleen specifieke gegevens laten verwijderen en de rest van de gegevens in stand houden. Daarmee kan je op een fijner niveau rekening houden met de bewaartermijnen en toch nog beschikken over een gedeelde van de gegevens. Volledig laten verwijderen is met deze module natuurlijk ook mogelijk. Denk bijvoorbeeld aan Leads die op niks zijn uitgelopen en die ouder zijn dan drie maanden.

 

3. Vraag om toestemming bij E-mails sturen

In de AVG moet de ontvangende partij toestemming geven voor het willen ontvangen van nieuwsbrieven en andere commerciele mailings. Bij bestaande klanten is het mogelijk om e-mails zonder opt-in te versturen omdat je al voor het ontstaan van de klantrelatie gecommuniceerd hebt waarvoor het e-mailadres allemaal gebruikt gaat worden. Zoals het versturen van een nieuwsbrief of facturen.

 

Actief en Ondubbelzinnig

Bij de AVG is het belangrijk dat op de juiste manier om toestemming gevraagd wordt door de organisatie. Toestemming: "dient te worden gegeven door middel van een duidelijke actieve handeling, dat kan zijn een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt".

De klant moet duidelijk kenbaar maken dat hij of zij deze toestemming verleent, een stilzwijgend akkoord is geen optie. Dus het vragen om een schriftelijk akkoord is altijd het beste. Deze toestemming moet helder zijn. Er mag geen twijfel bestaan of iemand wel echt ergens mee akkoord gaat. Er moet een actieve handeling plaatsvinden waaruit men kan afleiden dat de klant iets accepteert. Als op een website een vinkje standaard uit staat en deze aangezet moet worden door de klant, dan is dat duidelijk Als er meerdere punten zijn waarvoor er toestemming gevraagd moet worden dan moet dat voor ieder punt apart. Dat kan dm.v. het plaatsen van meerdere vinkjes. Op elk moment kan deze toestemming ook weer ingetrokken worden.

Dus een opt-in voor de nieuwsbrief, enquêtes, en andere acties is goed. Een ontvanger moet ook de mogelijkheid worden gegeven om op eenvoudige wijze uit te schrijven voor (marketing) mailings, dmv een ‘opt-out’ zoals een ‘unsubscribe link’ in de e-mail zelf.

 

Uitzonderingsregel: gerechtvaardigd belang

Je kan wel persoonsgegevens zonder toestemming verder verwerken als jouw belang zwaarder weegt dan het privacybelang van de betrokkene. In de AVG noemt men dat het ‘gerechtvaardigd belang’. Het gaat om jouw marketingbelangen versus de privacyschade van de betrokkene. Het versturen van mailings naar e-mailadressen levert een beperkt privacyrisico op. In sommige gevallen telt jouw belang zwaarder. Op dit gebied is nog geen specifieke jurisprudentie beschikbaar, dus maak hier de juiste overwegingen. Twijfel je of jouw marketingdoeleinden zwaarder wegen dan de privacy van de betrokkene? Vraag opnieuw toestemming aan jouw contacten of zij nog mailings willen ontvangen. Doe dat door bijvoorbeeld zelf opnieuw een mail op te stellen waarin je verwijst naar een webformulier. In dat formulier kunnen zij vervolgens aangeven of ze nog akkoord gaan met het ontvangen van mailings.

De voorwaarden van de nieuwe privacywetgeving gelden ook voor de mailadressen die je al in je bestand hebt! Heb je twijfel? Dan kan je het beste voor de nieuwe wet ingaat een heractivatiemailing sturen. Vraag of de ontvanger van deze mailing X met frequentie Y en het delen van data met Z wil blijven ontvangen. De mail moet een even prominente ‘Ja’ als ‘Nee’ knop bevatten. Geen reactie geldt ook als een ‘Nee’. De nieuwste versie van SuiteCRM hier specifiek een optie voor.

Je mag klanten waarmee je een betaalrelatie hebt pro-actief inschrijven voor je nieuwsbrief waarin je relevante producten/informatie communiceert, tenzij die klant zich in het verleden heeft afgemeld voor jouw mailings.

 

Niet vrij

Toestemming is bij de AVG niet vrij als de betrokkene geen echte vrije keuze heeft. Dus als hij of zij niet in staat is om te weigeren of wanneer het nadelig om de toestemming in te trekken. Dat kan wanneer bij het sluiten van een overeenkomst en de daarbij horende diensten afhankelijk is van de toestemming van de betrokkene om persoonsgegevens te verwerken die niet nodig zijn voor de uitvoering van de dienst. Een toestemming is ook niet vrij wanneer voor diverse gegevensverwerkingen, voor elke apart, afzonderlijk toestemming geven kan worden.

 

Hoe kan SuiteCRM hierbij helpen?

  • Voeg altijd een opt-out toe aan elke nieuwsbrief, zodat een ontvanger zich daar altijd voor kan uitschrijven.
  • Maak gebruik van verschillende Doellijsten, waarbij elke dient als opt-out voor een specifiek doel (Campagne).
  • Hanteer ook één algemene opt-out lijst voor klanten die geen enkele mailing willen ontvangen. Voeg deze toe aan elke Campagne. Je kunt per Campagne meerdere opt-outlijsten toevoegen.
  • In de nieuwste versie van SuiteCRM zit de mogelijkheid om actief toestemming te vragen ('opt-in'). Als iemand die link aanklikt, wordt een checkbox aangezet die dat weergeeft. We zijn van plan om deze versie in het tweede kwartaal beschikbaar te maken voor al onze klanten.

 

4. Update privacyverklaring

Neem de volgende punten op in de update van jouw privacyverklaring en plaats deze op jouw website zodat deze gemakkelijk toegankelijk is. Je kan wanneer dat nodig is altijd linken naar deze speciale pagina en ook deze pagina aannieden als een pdf.

  • Identiteit, de bedrijfsnaam en contactgegevens zoals ingeschreven bij de KvK.
  • Welke persoonsgegevens worden verwerkt.
  • Op welke manier er toestemming wordt gevraagd voor het verkrijgen van deze persoonsgegevens.
  • Geef de gekozen rechtsgronden voor verwerking van alle persoongegevens bij het organisatie weer.
  • Laat zien wat het doel is van deze gegevensverwerking bij de organisatie. Alle doelen moeten omschreven worden.
  • Maak duidelijk wanneer wel en niet persoonsgegevens verstrekt kunnen worden.
  • Maak duidelijk hoe lang welke persoonsgegevens bewaard worden en welke criteria dat bepalen.
  • Maak duidelijk dat toestemming voor het gebruik van persoonsgegvens onder bepaalde omstandigheden ook ingetrokken kunnen worden en op welke manier dat gecommuniceerd kan worden.
  • Maak duidelijk op welke manier de betrokkenen haar of zijn recht op inzage, rectificatie, wissing of meenemen van de persoonsgegevens kan uitoefenen.
  • Maak duidelijk aan de betrokkenen hoe en waar zij terecht kunnen met klachten.
  • Als er een Functionaris Gegevensbescherming aanwezig is vermeld dan de contactgegevens.
  • Welk gerechtvaardig belang is gekozen en waarom.
  • Maak duidelijk of er meerdere categorieen van ontvangers van persoonsgegevens aanwezig zijn.
  • Als persoongegevens doorgegeven worden aan derde land moet dat vermeld worden.
  • Als er gedaan wordt aan profiling en automatische besluitvorming maak dat duidelijk, wat zijn hier van de gevolgen en hoe de betrokkenen bezwaar kan maken.
  • Geef de bron weer van de persoonsgevens.

 

Hoe kan SuiteCRM hierbij helpen?

  • Maak bijvoorbeeld gebruik van een Campagne om jouw klanten op deze verklaring te attenderen. Je kunt de kliks naar die pagina traceren door gebruik te maken van de tracker links in die module, zodat je weet of de ontvangers dit onderwerp interessant vinden.

 

5. Zorg er voor dat bij alle klanten een verwerkersovereenkomsten aanwezig is

Als je samenwerkt met andere partijen moet je een speciale overeenkomst opstellen, dat is een verwerkingsovereenkomst. Bij het opstellen van deze overeenkomst moet er goed gekeken worden welke rol welke partij gaat spelen. Soms komt het voor dat een partij in opdracht van een andere persoonsgegeven gaat verwerken of juiste de opdrachtgever is voo een andere parij. Ook een derde parij kan de werkzaamheden gaan uitvoeren. In deze overeenkomst staan een aantal verplichte onderdelen, zoals beveiliging, toestemming vragen voor het inschakelen van een subverwerker en dat de partijen alleen handelel conform de instructies van de verantwoordelijke. Sla deze overeenkomst apart op in de module Documeten waarbij deze record verder is gekoppeld aan de juiste Organisatie en persoon die de overeenkomst heeft ondertekend.

 

Hoe kan SuiteCRM hierbij helpen?

  • Maak bijvoorbeeld gebruik van een Evenementen module om jouw klanten de vraag voor te leggen of ze akkoord gaan met deze nieuwe overeenkomst, of dat ze die afwijzen.
  • Het resulterende overzicht gebruik je als bewijs dat zij akkoord zijn gegaan, danwel als bellijst voor klanten die niet akkoord zijn gegaan of die niet hebben gereageerd.

 

6 Bewijs dat je toestemming hebt van alle betrokkenen

Bij het verzamelen en gebruiken van persoonsgegevens hoeft je niet voor alles toestemming te vragen. Het belangrijkste is dat je voor elk gebruik apart altijd een rechtmatige grondslag hebt en deze ook vastlegt, maar dat kan ook al het geval zijn als de verwerking noodzakelijk is voor de (verkoop)overeenkomst of bij een ander gerechtvaardigd belang van de organisatie. Heb je geen overeenkomsten of is het gerechtvaardigd belang niet van toepassing dan moet je wel toestemming vragen.

 

Hoe kan SuiteCRM hierbij helpen?

SuiteCRM kan dmv een tijdstip vastleggen wanneer de klant toestemming gaf voor het opslaan van de persoonsgegevens. Het is van belang om ook bij te houden op welke manier dat is gebeurd en door wie. Jij moet laten zien over welke informatie de klant beschikte toen deze een bepaalde aankoop beslissing nam, want op basis van die informatie werd deze toestemming gegeven. Dat kan dmv van grafisch documenteren van het aanschafproces (opslaan van afbeeldingen van dat formulier/proces).

 

Dmv de onderstaande gegevens toon je aan dat iemand toestemming heeft gegeven.

  • Wie er precies toestemming heeft gegeven
  • Wanneer deze toestemming is gegeven
  • Aan wie deze toestemming is gegeven
  • Waarvoor deze toestemming is gegeven
  • Laat zien de manier waarop er toestemming is gegeven

Sla deze documentatie apart op in de module Documenten waarbij deze record verder is gekoppeld aan de juiste Organisatie en persoon die de overeenkomst heeft ondertekend.

 

7. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten

De betrokkenen heeft het recht om zijn of haar persoonsgegevens bij een organisatie onder bepaalde voorwaarden op te vragen en kosteloos binnen 30 dagen te ontvangen. Met het recht op portabiliteit heb je ook een recht op inzage. Je moet dan specifieke persoonsgegevens in een gangbaar machineleesbaar formaat aanleveren zoals xml, json, csv of xls. Zorg er voor dat het alleen de gegevens zijn die de betrokkenen zelf heeft verstrekt. Hieronder vallen bijvoorbeeld NAW-gegevens, zoekgeschiedenis, locatiegegevens. De betrokkenen kan aangeven dat bepaald soort gegevens niet meer up-to-date zijn en aangepast moeten worden. Onder bepaalde voorwaarden kan de klant aangeven dat persoonsgegevens verwijderd moeten worden.

 

Hoe kan SuiteCRM hierbij helpen?

  • Je kan hieraan gemakkelijk voldoen omdat SuiteCRM snel en overzichtelijk specifieke records per module kan exporteren naar csv-formaat, waarna je deze kunt geven aan de aanvrager. Wanneer je beschikt over de rapportage functionaliteit kan je een speciale rapportages bouwen die in een keer deze informatie uit SuiteCRM haalt. Deze kan dan opgeslagen worden als excel of csv.
  • In SuiteCRM pas je eenvoudig en snel een record aan, waardoor het up-to-date houden ook geen probleem moet zijn. En omdat dit een centraal systeem is, zijn je gekoppelde systemen ook direct actueel.

 

8. Zorg er voor dat je een databeveiligingsbeleid hebt

Ontwikkel een duidelijk beleid op dit terrrein dat voldoet aan de eisen die de AVG heeft gesteld.

 

Onderdelen:

  • Toegangscontrole,
  • Logging van handelingen rondom de persoonsgegevens
  • Fysieke maatregelen voor toegangsbeveiliging
  • Encryptie van bestanden met persoonsgegevens
  • Steekproefsgewijze controle op naleving van het beleid
  • Beheer van kopieën en back-ups
  • Beveiliging van netwerkverbindingen

 

Hoe kan SuiteCRM hierbij helpen?

  • Ga werken met rollen of, voor meer mogelijkheden, met SecurityGroups. Zorg er daarmee voor dat alleen de juiste medewerkers toegang hebben tot bepaalde modules en/of records. Zo beperk je de toegang tot (potentieel gevoelige) gegevens en vefrminder je de kans op datalekken.
  • Wij zorgen er natuurlijk voor dat het CRM en de systemen zelf beveiligd zijn.

 

9. Documenteer alles i.v.m. Register Verwerkingsactiviteiten

Het is de bedoeling dat je het gehele proces documenteert, dat kan je handig doen in verschillende modules van SuiteCRM zelf. Deze vormt meteen de verantwoording. Uit deze verantwoording moet ook opgemaakt kunnen worden welke organisatorische en technische maatregelen zijn genomen om de persoonsgegevens te beschermen. Wanneer de AP dat aan de organisatie vraagt moet er verantwoording afgelegd kunnen worden m.b.v. deze aanwezige documentatie. De AVG laat zien dat er aantal verplichte maatregelen genomen moeten worden.

 

De volgende maatregelen staan vermeld;

  • houd een register van verwerkingsactiviteiten bij;
  • voer een Protection Impact Assessment (PIA) uit;
  • houd een register van opgetreden datalekken bij;
  • toon aan dat een betrokkene echt toestemming geeft voor gegevensverwerking wanneer toestemming deze nodig is;
  • wanneer het onduidelijk is of het verplicht is om een Functionaris Gegevensbescherming te hebben, onderbouw goed waarom dat niet is gedaan.

 

Het is verstandig deze verplichte punten uit te breiden met extra maatregelen zoals;

  • gebruik een bestaande gedragscode (in ons geval een IT gedragscode);
  • behaal specifieke certificaten;/li>
  • gebruik een specifiek ICT-beveiligingsbeleid;
  • leg verantwoording af over de verwerking van persoonsgegevens in een jaarverslag of privacy-jaarverslag;
  • Je gaat door deze documentatie een register samenstellen en bijhouden. Wat is een register verwerkinsactiviteiten.

 

Zo'n register is nodig wanneer een organisatie meer dan 250 medewerkers heeft of wanneer de verwerken niet incidenteel of wanneer er gewerkt wordt met specifiek persoonsgegevens zoals;

  • hoog risico inhouden voor de rechten en vrijheden van de personen van wie persoonsgegevens zijn;
  • de verwerking niet incidenteel is;
  • persoonsgegevens die onder de categorie bijzondere persoonsgegevens vallen.

 

Wanneer de AVG vraagt om dat register moet een organisatie deze kunnen overhandigen. Wat is de inhoud van dat register? Als de organisatie verwerkingsverantwoordelijke is dan moet de volgende informatie daarin staan;

  • naam contactgegevens van de organisatie en/of de vertegenwoordiger;
  • wanneer van toepassing gegevens van andere organisaties met wie gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld;
  • mogelijk de aangestelde FG of de verantwoording waarom dat niet nodig is;
  • wanneer van toepassing gegevens andere internationale organisaties waarmee persoonsgegevens worden gedeeld;
  • hoe te voldoen aan de beginselen verwerking persoonsgegevens;
  • juridische grondslag verwerken persoonsgegevens;
  • doelen verwerken persoonsgegevens;
  • omschrijving categorieën personen van wie gegevens worden verwerkt;
  • omschrijving categorieën persoonsgegevens;
  • datum wissen van de persoonsgegevens;
  • omschrijving categorieën ontvangers persoonsgegevens;
  • vastleggen of de persoongegevens gedeeld worden met organisaties van buiten de EU en welke dat zijn;
  • algemene beschrijving van de technische en organisatorische maatregelen om de gegevens te beschermen;
  • omschrijven rechten betrokkenen;
  • hoe kan iemand deze rechten uitoefenen (recht om een klacht in te dienen bij de AP, recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens).

 

De inhoud van een register verschilt iets als de organisatie een verwerker is. De volgende informatie moet daarin staan;

  • naam contactgegevens van de organisatie of de vertegenwoordiger en/of de verwerkingsverantwoordelijke;
  • mogelijk de aangestelde FG of de verantwoording waarom dat niet nodig is;
  • omschrijving categorieën van verwerkingen die gedaan moeten worden in opdracht van de verantwoordelijke;
  • aangeven of de persoonsgegevens worden gedeeld met internationale organisaties;
  • vastleggen of de persoongegevens gedeeld worden met organisaties van buiten de EU en welke dat zijn;
  • algemene beschrijving van de technische en organisatorische maatregelen om de gegevens te beschermen.

 

Hoe aantonen dat er door iemand toestemming is gegeven? Toestemming is alleen geldig wanneer men de AP kan laten zien op basis van welke informatie een betrokkene toestemming heeft gegeven. Iemand moet geïnformeerd zijn en de toestemming is specifiek gegeven. Laat het complete plaatje zien en niet alleen de toestemming zelf. Bij online toestemming voor het verwerken van persoonsgegevens kan het volgende worden vastgelegd:

  • vastleggen van de informatie websitebezoek waarin iemand toestemming geeft;
  • documenteer proces op welke manier toestemming wordt gevraagd, hoe deze wordt ontvangen en wordt vastgelegd;
  • kopie van de informatie die iemand krijgt voor het geven van deze toestemming.

 

Toon aan dat de verzamelde data gelinkt kan worden tussen verwerking en toestemming van betrokkene. Verzamel niet meer data dan nodig. Volgende week zullen wij ingaan op het gebruik van Alfresco icm de AVG.

 

Hoe kan SuiteCRM hierbij helpen?

  • Leg de benodigde gegevens vast in het CRM, zodat die altijd vindbaar zijn.
  • Zorg voor procedures die de gegevens actueel houden, danwel maak gebruik van de WorkFlow module om bepaalde processen en wijzigingen te automatiseren.

 

Volgende week gaan wij aan de hand van het laten zien van een specifiek werkproces hoe om te gaan met Alfresco in relatie tot de AVG.