Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming in werking. Inmiddels hebben veel bedrijven de juiste stappen ondernomen om te voldoen aan deze uitgebreide, nieuwe privacywetgeving in de Europese Unie. Omdat in de Summer ‘19 release van Salesforce verschillende objecten zijn toegevoegd die bij kunnen dragen aan een correcte invulling van deze wetgeving, wil ik in deze blog hier graag dieper op ingaan.
Allereerst wil ik kort ingaan op wat deze wet inhoudt:
Wat is de Algemene Verordening Gegevensbescherming (AVG) ook alweer?
De AVG is een uitgebreide privacywetgeving die er specifiek op gericht is een betere bescherming van persoonsgegevens te waarborgen. Deze wet is in de plaats gekomen van de vele verschillende nationale wetten, zodat voor de gehele Europese Unie dezelfde set aan regels gehanteerd wordt.
De AVG omvat regels voor de verwerking van persoonsgegevens. Onder verwerking wordt het verzamelen, opslaan, overdragen en/of gebruiken van geïdentificeerde of identificeerbare personen verstaan. Zo hebben personen meer rechten op het gebied van gegevensbescherming, moeten datalekken worden gemeld en moeten bedrijven voldoen aan allerlei extra eisen op het gebied van beveiliging van deze gegevens. Dit zijn de belangrijkste bepalingen van deze wet:
- Verwerking van persoonsgegevens mag alleen in overeenstemming met de wet;
- Verzameling van van persoonsgegevens mag alleen voor een duidelijk bepaald, omschreven en gerechtvaardigd doel;
- De identiteit van de verwerkingsverantwoordelijke moet bekend zijn bij de persoon;
- Uitgangspunt van de verwerking van persoonsgegevens is ‘zo min mogelijk’;
- Gegevens moeten juist zijn;
- De verwerking moet passend worden beveiligd. Voor bijzondere gegevens zoals ras, gezondheid en geloofsovertuiging gelden extra strenge regels.
Als Salesforce partner hebben wij en onze klanten te maken met omgevingen die juist zijn ingericht voor het vastleggen van persoonsgegevens en het verwerken hiervan. Welke voorzieningen biedt Salesforce voor het voldoen aan de AVG-bepalingen en hoe kun je hier als klant gebruik van maken?
Salesforce was één van de eerste softwareleveranciers die gecertificeerd werd onder het zogenaamde EU-US Privacy shield. Deze overeenkomst is een vervanging van het Safe Harbor-verdrag dat op 6 oktober 2015 door het Europese hof ongeldig werd verklaard, en is bedoeld om het uitwisselen van persoonsgegevens tussen Europa en Amerika te reguleren. Daarnaast bevat iedere Salesforce omgeving nu standaard enkele AVG-gerelateerde objecten die verder door de gebruiker kunnen worden ingericht. Eén daarvan is het Individual-object. Op dit record kan worden vastgelegd welke persoonsgegevens mogen worden vastgehouden. Een aantal voorbeelden hiervan zijn:
- Registreren dat van een persoon geen profiel mag worden opgebouwd;
- Registreren dat een persoon niet door sales mag worden benaderd;
- Registreren dat er geen tracking mag plaatsvinden;
- Vastleggen dat een export van persoonlijke data is opgevraagd;
- Vastleggen dat de persoon verzoekt om ‘vergeten te worden’.
Kort samengevat bevat dit Individual object de voorkeuren van de gekoppelde persoon, en kan een relatie worden gelegd met leads, contactpersonen en/of accounts.
In de Summer ’19 release van Salesforce is ook de Authorization Form toegevoegd. Hierbij zijn een aantal objecten geïntroduceerd die nog meer mogelijkheden bieden tot het vastleggen en vasthouden van toestemmingen op het gebied van gegevensverwerking. Zo is het consent-mechanisme verder verfijnd, en kan worden vastgehouden hoe lang persoonsgegevens verwerkt mogen worden. Dit Authorization Form kan worden gepubliceerd en gepresenteerd aan de gebruiker en vormt samen met de volgende toegevoegde objecten één geheel:
- Authorization Form Text
Hiermee kunnen verschillende tekstversies worden gemaakt voor een formulier
om bijvoorbeeld meerdere talen, regio’s en situaties te ondersteunen. - Authorization Form Consent
Hiermee kan worden bijgehouden welk individu instemming heeft gegeven, wanneer, hoe en met welke versie van het formulier. - Authorization Form Data Use
Hiermee kan het Authorization Form worden gekoppeld aan een doel inzake gegevensgebruik.
Een andere toevoeging is de mogelijkheid om voor ieder veld in Salesforce een aantal gegevens vast te leggen door middel van een classificatie, welke informatie geeft over de volgende punten:
- Wat het doel is van het vastleggen;
- Wie is de eigenaar van de gegevens;
- Of het veld actief gebruikt wordt;
- Wat het niveau van gevoeligheid is.
De invulling van deze classificatie kan uiteraard naar wens worden aangepast, zodat deze aansluit bij de wensen van jouw organisatie.
Kom je er niet uit? Bij Growteq kunnen we je natuurlijk helpen om deze functionaliteit voor je in te richten. Stuur ons je vraag en wij nemen contact met je op.