Steeds vaker benutten bedrijven de kracht van gegevens om inzicht te krijgen in klanten en ze beter van dienst te kunnen zijn. Het is daarom van cruciaal belang dat bedrijven hun verantwoording nemen voor het recht van iedere persoon op privacy en veiligheid. Als beste CRM-platform ter wereld biedt Salesforce bedrijven transparantie en controle over klantgegevens. Zo zijn ze sneller in staat om regels van bijvoorbeeld de AVG na te leven, terwijl ze toch de kracht van die gegevens kunnen blijven benutten om op nieuwe manieren met klanten te communiceren. 
 
 
Soms moet je klantgegevens verwijderen om aan de regels voor gegevensbescherming en privacy te voldoen. Salesforce Platform biedt allerlei functies waarmee je aan de verplichtingen van de AVG kunt voldoen. Met Salesforce kunnen klanten persoonsgegevens op zowel individueel als organisatieniveau verwijderen. Verwijderingen uit Salesforce-systemen worden regelmatig gesynchroniseerd.
Conform de AVG kunnen klanten verzoeken om export van hun gegevens, en met Salesforce Platform kun je daar eenvoudig aan voldoen. Exporteren kan zowel via een gebruikersinterface als met API's, zoals rapport- of dashboard-API's, Data Loader-, Apex-, SOAP- en REST-API's of externe ETL-tools. De gegevens kunnen worden geëxporteerd naar onder andere CSV-, JSON- en XML-formaat.
 
Salesforce Platform helpt je aan de regels voor gegevensbescherming en privacy te voldoen. Zo kun je voor personen instellen dat ze niet gebeld, gemaild of gefaxt mogen worden. Salesforce Platform bevat nu ook een individueel object voor het bijhouden van privacy voorkeuren voor meerdere rollen in je organisatie. Denk aan een of meer contactpersonen, leads, persoonsaccounts en aanpasbare objectrecords.
Geldt er een beperking voor de verwerking van bepaalde gegevens naar aanleiding van een gevalideerd verzoek? Op het Salesforce Platform vind, exporteer en verwijder je dergelijke gegevens in een handomdraai. Als de beperking later wordt opgeheven, kunnen de records weer worden geïmporteerd.
 
Salesforce biedt klanten een robuuste verwerkersovereenkomst (data processing addendum) aan, waarin vergaande verplichtingen ten aanzien van gegevensbescherming zijn opgenomen. Maar weinig softwarebedrijven kunnen hieraan tippen. De verwerkersovereenkomst bevat kaders voor gegevensoverdracht die onze klanten in staat stellen op een wettelijk verantwoorde manier persoonsgegevens over te brengen naar Salesforce-systemen die zich buiten de Europese Economische Ruimte bevinden. Afhankelijk van de service maken we hiervoor gebruik van Binding Corporate Rules, onze Privacy Shield-certificering of de EU Modelcontracten. Het addendum bevat bovendien specifieke bepalingen om klanten te helpen bij het naleven van de AVG.
Salesforce heeft in elke laag van het platform beveiliging ingebouwd. De infrastructuurlaag biedt planningsfunctionaliteit voor replicatie, back-up, en noodherstel. In de netwerkservices zijn versleuteling tijdens overdracht en geavanceerde dreigingsdetectie ingebouwd. Onze applicatieservices bieden identiteitscontrole, verificatie en gebruikersmachtigingen. Salesforce Shield biedt een extra vertrouwenslaag met onder andere de functies Platform Encryption, Event Monitoring en Field Audit Trail.
 
 

Wij vinden het succes van onze klanten belangrijk en daarom zorgen we er ook voor dat ze de AVG kunnen naleven.”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- Ervoor zorgen dat het hoger management zich bewust is van het belang van naleving van de AVG
- Lobbyen voor speciale medewerkers en financiële investeringen
- Iemand aanwijzen die de leiding neemt in het traject naar naleving van de AVG
- Een stuurgroep van relevante afdelingsleiders opzetten
- In de hele organisatie aanspreekpunten voor privacy aanwijzen 
- Kijken waar in het bestaande beleid voor privacy en beveiliging de sterke punten en de aandachtspunten zitten
- Vaststellen in welke systemen de organisatie persoonsgegevens opslaat en een gegevensinventaris maken
- Een register van gegevensverwerkingsactiviteiten maken en voor elke risicovolle activiteit een privacyeffectbeoordeling uitvoeren
- Nalevingsregels documenteren
- Ervoor zorgen dat privacyverklaringen overal beschikbaar zijn waar persoonsgegevens worden verzameld
- Controlemechanismen instellen zodat gegevens alleen worden gebruikt voor de doeleinden waarvoor ze zijn verzameld
- Mechanismen inrichten voor het beheer van toestemmingsvoorkeuren van betrokkenen
- Passende administratieve, fysieke en technologische beveiligingsmaatregelen treffen en processen opzetten voor het opsporen van en reageren op inbreuken op de beveiliging
- Procedures opstellen voor verzoeken van betrokkenen tot correctie van, toegang tot, bezwaar tegen en beperking, uitwisseling en verwijdering van gegevens (het recht om vergeten te worden)
- Contracten aangaan met partners en leveranciers die persoonlijke gegevens verzamelen of ontvangen
- Een procedure voor privacyeffectbeoordelingen opstellen
- Werknemers en leveranciers training over privacy en beveiliging geven
- Zorgen dat er voldoende exemplaren zijn van privacyverklaringen toestemmingsformulieren, de gegevensinventaris en het register van gegevensverwerkingsactiviteiten, schriftelijke versies van beleid en procedures, trainingsmateriaal, interne overeenkomsten over gegevensoverdracht en contracten met leveranciers
- Zo nodig een functionaris voor gegevensbescherming aanstellen en vaststellen wat de relevante toezichthoudende autoriteit van de EU is
- Periodiek risicobeoordelingen uitvoeren