Met Commerce Cloud kunnen retailers via elk contactpunt een uniforme klantervaring bieden, onafhankelijk of dat via web, social, mobiel of in de winkel is. Van winkel tot klantenservice zorgt Commerce Cloud voor een persoonlijke ervaring die resulteert in een hoge waardering en conversie, en een grotere betrokkenheid en loyaliteit. Als organisatie doen wij er alles aan om bij te dragen aan het succes van onze klanten. Daarom bieden we tools en functionaliteiten die retailers helpen om de AVG na te leven en een vertrouwde partner te zijn. Zo kunnen zij op een betrouwbare en veilige manier zakendoen en voldoen aan de regels.
 
 
Klanten kunnen een verkoper vragen om hun persoonsgegevens te verwijderen. Salesforce biedt verkopers een tool die ze kunnen gebruiken bij verzoeken tot gegevensverwerking: een API voor het verwijderen van deze persoonsgegevens. Klanten kunnen om allerlei redenen willen dat hun gegevens worden verwijderd, bijvoorbeeld omdat ze de relatie met een merk willen beëindigen. Salesforce geeft verkopers de mogelijkheid om order- en trackinggegevens te verwijderen. Op die manier kan de verkoper voldoen aan de regels met betrekking tot het recht om vergeten te worden als een klant daartoe een verzoek indient.
Klanten kunnen bepaalde persoonsgegevens opvragen in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat, zodat ze relevante gegevens aan een ander bedrijf kunnen doorgeven. Met de nieuwe gegevensexportfunctie van Salesforce kunnen verkopers hun klanten de mogelijkheid bieden om zelf hun gegevens te exporteren. Daarnaast kunnen verkopers met een speciale nieuwe API ook zelf gegevens exporeren.
 
Klanten kunnen bezwaar maken tegen het feit dat hun persoonsgegevens worden gebruikt om hen marketingcommunicatie te sturen, online gevolgd te worden en een profiel te maken. Salesforce heeft een nieuwe 'Do Not Track'-optie voor de Digital Script API for Session waarmee retailers zelf hun oplossing voor toestemmingsbeheer kunnen regelen.
Klanten kunnen een verkoper verzoeken om hun persoonsgegevens niet meer te bekijken of te wijzigen. Salesforce biedt verkopers twee tools die ze kunnen gebruiken bij verzoeken tot beperking van gegevensverwerking: een nieuwe API voor het exporteren van gegevens en een API voor het verwijderen van gegevens. Als de beperking later wordt opgeheven, kunnen de records weer worden geïmporteerd.
 
Salesforce biedt klanten een robuuste verwerkersovereenkomst (data processing addendum) aan, waarin vergaande verplichtingen ten aanzien van gegevensbescherming zijn opgenomen. Maar weinig softwarebedrijven kunnen hieraan tippen. De verwerkersovereenkomst bevat kaders voor gegevensoverdracht die onze klanten in staat stellen op een wettelijk verantwoorde manier persoonsgegevens over te brengen naar Salesforce-systemen die zich buiten de Europese Economische Ruimte bevinden. Afhankelijk van de service maken we hiervoor gebruik van Binding Corporate Rules, onze Privacy Shield-certificering of de EU Modelcontracten. Het addendum bevat bovendien specifieke bepalingen om klanten te helpen bij het naleven van de AVG.
Voor Salesforce en Commerce Cloud heeft de bescherming van gegevens van klanten en kaarthouders een net zo hoge prioriteit als voor onze eigen klanten. Commerce Cloud implementeert voortdurend robuuste technische en organisatorische beveiligingscontroles om ervoor te zorgen dat bedrijven op een betrouwbare en veilige manier zaken kunnen doen en tegelijkertijd aan de regels kunnen voldoen. En dat allemaal zonder extra kosten of nieuwe infrastructuur.
 
 

Wij vinden het succes van onze klanten belangrijk en daarom zorgen we er ook voor dat ze de AVG kunnen naleven.”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- Maak het hoger management bewust van het belang van naleving van de AVG
- Lobby voor de benodigde financiële investeringen en personeel
- Wijs iemand aan die de leiding neemt in het traject naar naleving van de AVG
- Zet een stuurgroep van relevante afdelingsleiders op
- Benoem in de hele organisatie aanspreekpunten en ambassadeurs voor privacy 
- Kijk waar in het bestaande beleid voor privacy en beveiliging de sterke punten en de aandachtspunten zitten
- Stel vast in welke systemen de organisatie persoonsgegevens opslaat en maak een gegevensinventarisatie 
- Stel een register van gegevensverwerkingsactiviteiten op en voer voor elke risicovolle activiteit een privacyeffectbeoordeling uit
- Naleving documenteren
- Zorg ervoor dat privacyverklaringen overal beschikbaar zijn waar persoonsgegevens worden verzameld
- Stel controlemechanismen in zodat gegevens alleen worden gebruikt voor de doeleinden waarvoor ze zijn verzameld
- Richt mechanismen in voor het beheer van toestemmingsvoorkeuren van betrokkenen
- Tref passende administratieve, fysieke en technologische beveiligingsmaatregelen en zet processen op om inbreuk op de beveiliging op te sporen en erop te kunnen reageren
- Stel procedures op voor verzoeken van betrokkenen tot correctie van, toegang tot, bezwaar tegen en beperking, overdragen en verwijdering van gegevens 
- Sluit verwerkersovereenkomsten met partners en leveranciers die persoonlijke gegevens verzamelen of ontvangen
- Stel een procedure op voor gegevensbeschermingseffectbeoordelingen op
- Organiseer een training voor werknemers en leveranciers over privacy en beveiliging 
- Documenteer de verkregen toestemmingen, de gegevensinventaris en het register van gegevensverwerkingsactiviteiten, schriftelijke versies van beleid en procedures, trainingsmateriaal, interne overeenkomsten over gegevensoverdracht en verwerkersovereenkomsten
- Stel zo nodig een functionaris voor gegevensbescherming (FG) aan en stel vast wat de relevante toezichthoudende autoriteit van de EU is
- Voer periodiek gegevensbeschermingseffectbeoordelingen uit