Achtergrond & aanleiding
- Grote internationale sales-organisatie
- Persoonsgegevens worden verwerkt in verschillende databases en systemen binnen de organisatie
- Marketingacties halen niet de gewenste response
- Contactmomenten met potentiële klanten niet altijd effectief
- Het bereiken van prospects is met de AVG/GDPR een uitdaging geworden ivm verplichte toestemming
Complicatie en vraag
- Er wordt een grote hoeveelheid persoonsgegevens bijgehouden op allerlei plekken in de organisatie in verschillende soorten lijstjes en systemen, waaronder het CRM-systeem.
- De toestemming voor de verwerking van deze persoonsgegevens gebeurt niet of is niet aantoonbaar. Bovendien gebruikt het bedrijf diverse communicatiekanalen (gesprekken, website, campagnes, beurzen)
- Er is om deze redenen binnen deze organisatie een groot risico op non-compliance met de privacywetgeving AVG/GDPR en het bedrijf maakt hoge kosten omdat steeds handmatig in kaart moet worden gebracht waar in de organisatie al deze persoonsgegevens worden verwerkt en onder welke grondslagen.
- De communicatie met potentiële klanten bereikt niet het gewenste resultaat en men is niet in staat om op 1 plek deze toestemming te beheren
Vraag: Hoe kunnen wij onze (potentiële) klanten meer regie geven over de verwerking van Persoonsgegevens, alle verwerkingsgrondslagen op persoonsniveau op 1 plek beheren en hoe kunnen we klanten beter aan ons binden?
Oplossingsrichting
Resultaat
- 1 centrale plek waar alle grondslagen worden beheerd gekoppeld aan alle communicatiekanalen
- Hogere conversie (> 20% verbetering) doordat zij nu op basis van écht relevante content met hun relaties communiceren;
- Aanzienlijke verlaging van de compliance-kosten; handmatige coördinatie door de organisatie heen is gereduceerd tot praktisch 0
- Real-time inzichten in de verwerkingsgrondslagen en het bijbehorende bewijsmateriaal.
De Opt-in challenge: Permissie als asset van uw bedrijf
Hoe kan een grote organisatie als een verzekeringsmaatschappij voor mij inzichtelijk maken welke persoonsgegevens ze van mij verwerken? De Autoriteit Persoonsgegevens (AP), de toezichthouder op de privacy-wet AVG, publiceerde een lijst met verwerkingsactiviteiten waarvoor een risico-assessment (DPIA = Data Protection Impact Assessment) gehouden moet worden.
De AP vermeldt hierbij Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft.
Als privépersoon vraag ik mij af of grote organisaties hiertoe in staat zijn. Ik heb in het verleden bijvoorbeeld bij een grote verzekeraar in loondienst gewerkt, ik heb meerdere aanvragen voor verzekeringen bij hen gedaan, ik heb een deel van mijn hypotheek bij hen ondergebracht en ik heb een deel van mijn pensioen bij deze maatschappij lopen.
Op de lijst met activiteiten waarvoor een DPIA is vereist volgens de AVG, staan onder andere:
- Zwarte lijsten
- Creditscores
- Financiële situatie
- Gezondheidsgegevens
- Controle werknemers
- Profilering
Dit zijn allemaal verwerkingsactiviteiten die door de verzekeringsmaatschappij zijn uitgevoerd en nog steeds worden uitgevoerd om te kunnen voldoen aan de hiervoor beschreven werknemer- en klantrelatie activiteiten.
Mag ik verwachten dat de genoemde verzekeringsmaatschappij mijn persoonsgegevens dusdanig goed beschermd heeft en dat ze daadwerkelijk voor al deze activiteiten een DPIA heeft uitgevoerd?
Hoe kan een grote organisatie als een verzekeringsmaatschappij inzichtelijk maken welke persoonsgegevens ze verwerken van hun klanten en (ex-)medewerkers?
De Autoriteit Persoonsgegevens (AP) publiceerde een lijst met verwerkingsactiviteiten waarvoor een risico-assessment (DPIA = Data Protection Impact Assessment) gehouden moet worden.
De AP vermeldt hierbij Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft.
Tezamen met de documentatieplicht die geldt onder de AVG is een organisatie verplicht om aantoonbaar inzichtelijk te hebben wat de verwerkingsgrondslagen zijn op grond waarvan ze persoonsgegevens verwerken.
Grote organisaties verwerken op tientallen plekken binnen hun organisaties persoonsgegevens en doen dat vaak op grond van verschillende grondslagen. Hoe zijn zij in staat om dit aantoonbaar inzichtelijk te maken? Bijvoorbeeld wanneer er een onderzoek wordt gedaan door de AP of wanneer betrokkenen van hun rechten gebruik wensen te maken.
Een verzekeringsmaatschappij verwerkt persoonsgegevens van haar medewerkers, verwerkt aanvragen van potentiële klanten voor verschillende (leven en schade) producten en verwerkt allerlei persoonsgegevens ten behoeve van hun dienstverlening. Dit kan ook nog eens betrekking hebben op een en dezelfde persoon. Deze verwerkingen en de verantwoording hierover vindt plaats op verschillende plekken binnen de organisatie. Hoe is een verzekeringsmaatschappij in staat om aantoonbaar aan de AVG te voldoen?
Op de lijst met activiteiten waarvoor een DPIA is vereist volgens de AVG, staan onder andere:
- Zwarte lijsten
- Creditscores
- Financiële situatie
- Gezondheidsgegevens
- Controle werknemers
- Profilering
Dit zijn allemaal verwerkingsactiviteiten die door de verzekeringsmaatschappij zijn uitgevoerd en nog steeds worden uitgevoerd om te kunnen voldoen aan de hiervoor beschreven werknemer- en klantrelatie activiteiten.
Het afleggen van verantwoording over deze verwerkingsactiviteiten, dient gecentraliseerd plaats te vinden. Met OptInsight zijn organisaties in staat om verwerkingsgrondslagen op persoonsniveau, gecentraliseerd te managen.
Meer weten? Maak een afspraak.
Recent Comments