Bij Salesforce zien we de AVG als een geweldige kans voor marketeers om meerwaarde te bieden, de relatie met klanten en consumenten te verdiepen en het vertrouwen te vergroten. Als je in je marketingactiviteiten de AVG wilt volgen en tegelijkertijd toonaangevend en innovatief wilt blijven, moet je een balans zoeken tussen klantgerichtheid, goed beleid en naleving. Marketing Cloud kan bedrijven helpen om deze balans te vinden.
 
 

Het recht om vergeten te worden, wordt vooral beheerd via het Marketing Cloud-framework voor het verwijderen van contactpersonen. Marketing Cloud heeft een robuuste aanpak ontwikkeld voor het verwijderen van deze gegevens. Momenteel bestaat al de mogelijkheid om de persoonsgegevens van individuele personen te verwijderen na een verzoek van de betrokkene, en die mogelijkheid wordt nog verder uitgebreid en verbeterd nu er meer functies beschikbaar gaan komen. In mei 2018 kunnen contactpersonen via Marketing Cloud uit alle kanalen en doelgroepen worden verwijderd.

Hoewel Salesforce DMP (Data Management Platform) onderdeel uitmaakt van Marketing Cloud, besteden we hier apart aandacht aan vanwege het unieke karakter van dit product. Met Salesforce DMP kunnen klanten complete gegevensrecords volledig verwijderen, maar ook alleen bepaalde gegevenssets of -velden. Wanneer klanten geen gebruik meer maken van de services, moet het mogelijk zijn dat al de betreffende gegevens automatisch worden verwijderd.

Marketing Cloud beschikt over functionaliteit voor het exporteren en onttrekken van gegevens. Daarnaast is het mogelijk om gegevens op verschillende manieren over te zetten, afhankelijk van de behoeften van de klant. Gegevensextensies en individuele contactgegevens kunnen worden geëxporteerd met de huidige functionaliteit via de gebruikersinterface of een API. Salesforce werkt momenteel aan een betere gebruikerservaring en nieuwe interfacefuncties voor het exporteren van contactgegevens. In onze documentatie met best practices voor de AVG leest u hoe u met deze bestaande functies de benodigde gegevens kunt ophalen.

Met het Data Management Platform kunnen klanten alle gegevens in hun DMP-account exporteren. De gegevens worden aan de klant geleverd in een voor de computer leesbaar formaat. Hiervoor wordt het bestaande proces voor de export en overdracht van gegevensfeeds gebruikt. Het beheer kan plaatsvinden via een API of direct in de gebruikersinterface. 
 
Marketeers kunnen toestemming voor alle kanalen beheren en voor transparantie zorgen. Elk product binnen Marketing Cloud heeft achter de schermen functionaliteit waarvoor mogelijk toestemming nodig is. We adviseren je om samen met de juridisch adviseur van je bedrijf toestemmingsformulieren op te stellen en in de privacyverklaringen te vermelden voor welke typen informatie toestemming vereist is. Om je bedrijf en juridisch adviseur op weg te helpen, hebben we in onze best practices-informatie per product vermeld voor welke functionaliteit binnen Marketing Cloud mogelijk toestemming vereist is.

Salesforce DMP biedt verschillende methoden om de toestemmingen van je klanten te beheren en te registreren. DMP richt zich alleen op gebruikers die toestemming hebben gegeven en baseert zich daarbij op de toestemmingsgegevens die jij hebt verstrekt. Het beheer kan plaatsvinden via een API of direct in de gebruikersinterface. 
In Marketing Cloud kan het gebruik van individuele contactgegevens op verzoek worden beperkt. Vanaf mei 2018 is ook API-functionaliteit in Marketing Cloud opgenomen. Hiernaast kunnen uitschrijvingen nog steeds worden verzameld via de mogelijkheid in Marketing Cloud tot beperking van gegevensverwerking.

In Salesforce DMP hebben beheerders de mogelijkheid om de verwerking van gegevens voor een bepaalde gebruiker te stoppen. Dat betekent dat de gegevens niet meer worden gebruikt in analytische taken die binnen het product worden uitgevoerd, totdat de beperking wordt opgeheven. Het beheer kan plaatsvinden via een API of direct in de gebruikersinterface.
 

Salesforce biedt klanten een robuuste verwerkersovereenkomst (data processing addendum) aan, waarin vergaande verplichtingen ten aanzien van gegevensbescherming zijn opgenomen. Maar weinig softwarebedrijven kunnen hieraan tippen. De verwerkersovereenkomst bevat kaders voor gegevensoverdracht die onze klanten in staat stellen op een wettelijk verantwoorde manier persoonsgegevens over te brengen naar Salesforce-systemen die zich buiten de Europese Economische Ruimte bevinden. Afhankelijk van de service maken we hiervoor gebruik van Binding Corporate Rules, onze Privacy Shield-certificering of de EU Modelcontracten. Het addendum bevat bovendien specifieke bepalingen om klanten te helpen bij het naleven van de AVG.

 

Met Marketing Cloud beschikken onze klanten over een veilige oplossing die in overeenstemming is met onze Trust en Compliance documentatie.
 
 

Wij vinden het succes van onze klanten belangrijk en daarom zorgen we er ook voor dat ze de AVG kunnen naleven.”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- Ervoor zorgen dat het hoger management zich bewust is van het belang van naleving van de AVG
- Lobbyen voor speciale medewerkers en financiële investeringen
- Iemand aanwijzen die de leiding neemt in het traject naar naleving van de AVG
- Een stuurgroep van relevante afdelingsleiders opzetten
- In de hele organisatie aanspreekpunten voor privacy aanwijzen
- Kijken waar in het bestaande beleid voor privacy en beveiliging de sterke punten en de aandachtspunten zitten
- Vaststellen in welke systemen de organisatie persoonsgegevens opslaat en een gegevensinventaris maken
- Een register van gegevensverwerkingsactiviteiten maken en voor elke risicovolle activiteit een privacyeffectbeoordeling uitvoeren
- Nalevingsregels documenteren
- Ervoor zorgen dat privacyverklaringen overal beschikbaar zijn waar persoonsgegevens worden verzameld
- Controlemechanismen instellen zodat gegevens alleen worden gebruikt voor de doeleinden waarvoor ze zijn verzameld
- Mechanismen inrichten voor het beheer van toestemmingsvoorkeuren van betrokkenen
- Passende administratieve, fysieke en technologische beveiligingsmaatregelen treffen en processen opzetten voor het opsporen van en reageren op inbreuken op de beveiliging
- Procedures opstellen voor verzoeken van betrokkenen tot correctie van, toegang tot, bezwaar tegen en beperking, uitwisseling en verwijdering van gegevens (het recht om vergeten te worden)
- Contracten aangaan met partners en leveranciers die persoonlijke gegevens verzamelen of ontvangen
- Een procedure voor privacyeffectbeoordelingen opstellen
- Werknemers en leveranciers training over privacy en beveiliging geven
- Zorgen dat er voldoende exemplaren zijn van privacyverklaringen toestemmingsformulieren, de gegevensinventaris en het register van gegevensverwerkingsactiviteiten, schriftelijke versies van beleid en procedures, trainingsmateriaal, interne overeenkomsten over gegevensoverdracht en contracten met leveranciers
- Zo nodig een functionaris voor gegevensbescherming aanstellen en vaststellen wat de relevante toezichthoudende autoriteit van de EU is
- Periodiek risicobeoordelingen uitvoeren