AVG in een business-to-business omgeving

Blog
08 Dec 2017
Max Verbong
business to business 350x250

Nadat we in onze vorige blog kennis hebben gemaakt met de belangrijkste terminologie, bekijken we vandaag hoe we om moeten gaan met AVG bij het vastleggen van contactgegevens in een business-to-business omgeving. Hiervoor kijken we eerst naar de verschillende soorten overeenkomsten die je als organisatie kunt aangaan;

- Overeenkomsten met leveranciers

- Overeenkomsten met partners

- Overeenkomsten met klanten

 

Op basis van deze overeenkomsten wil je als organisatie contactgegevens vastleggen, bijvoorbeeld voor het uitvoeren van een project. Binnen dit project zijn zowel vanuit de uitvoerende organisatie als bij de klant meerdere personen betrokken en deze personen worden op verschillende plekken vastgelegd in:

- Projectdocumenten, zoals bijvoorbeeld een Project Initiatie Document (PID), bevatten alle personen die aan het project deelnemen, inclusief hun contactinformatie.

- Het CRM-Systeem, aan beide zijden worden de contactpersonen van de andere partij vastgelegd in het CRM-systeem als contactpersoon onder de organisatie.

De vraag is of de vastlegging van persoonsgegevens, zoals hierboven beschreven is, onder de AVG zomaar mag worden gedaan. Voor gegevensverwerking zijn er zijn zes mogelijke gronden waarop verwerking van persoonsgegevens zijn toegestaan. Van deze gronden zullen we er twee nader bekijken om antwoord te kunnen geven op deze vraag.

a. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. De nadruk ligt hierbij op ‘noodzakelijk’ en dus niet op ‘wel handig’. Dit betekent dat er geen andere reële mogelijkheid is om de overeenkomst uit te voeren (subsidiariteit) en dat de gegevensverwerking niet verder gaat dan nodig (proportionaliteit). Als het van belang is voor het uitvoeren van het contract kunnen hiervoor de relevante gegevens als naam, functie, zakelijk emailadres en zakelijk telefoonnummer worden vastgelegd. In de (project)overeenkomst tussen de organisaties kan worden vastgelegd dat contactpersonen voor deze doeleinden over en weer worden vastgelegd.

b. De gegevensverwerking is noodzakelijk voor de behartiging van een belang van de verantwoordelijke of een derde, tenzij het belang van de betrokkene prevaleert. Bijvoorbeeld voor het voeren van een normale bedrijfsvoering kan er sprake zijn van een gerechtvaardigd belang. Ook hierbij is het begrip 'noodzakelijk' van belang. Bij een beroep op basis van deze grond wordt altijd een zorgvuldige afweging gemaakt tussen het belang van de verantwoordelijke en dat van de betrokkene. Het recht op privacy van de betrokkene prevaleert hierbij.

Op basis van bovenstaande hebben wij ervoor gekozen om deze gegevensverwerking te classificeren als noodzakelijk voor de uitvoering van een overeenkomst. In de overeenkomsten die we met onze klanten, partners en leveranciers opstellen zullen we opnemen dat we persoonsgegevens op basis van deze grond zullen vastleggen.

Van lead tot klant
Voordat er een overeenkomst is tussen de verschillende partijen is er reeds communicatie. Dit kan op verschillende manieren tot stand komen en elke manier kan op verschillende wijze worden opgepakt. Onderstaand zijn enkele mogelijkheden nader uitgediept:

- Website

Via de website wordt een contactformulier ingevuld waarmee wordt aangegeven dat men interesse heeft. Het contactformulier is zodanig opgesteld dat er een actie wordt gevraagd van de ontvanger. De verzender geeft akkoord voor het vastleggen van de contactgegevens door actief een vinkje te plaatsen, daarnaast kan de verzender een akkoord geven dat ze buiten het gevraagde contact ook benaderd mogen worden met toekomstige direct marketing acties. Het contactformulier kan alleen verzonden worden als akkoord wordt gegeven op het verwerken van de contactdata voor het vooraf opgegeven doel. Het tweede akkoord, dat voor direct marketing doeleinden, blijft echter altijd optioneel. De rechtvaardigingsgrond hiervoor is dat de betrokkene zijn ondubbelzinnige toestemming verleend heeft. Hiervan is alleen sprake als de toestemming vrij, geïnformeerd en een actieve handeling is. Hierbij is het van belang dat de toestemming gegeven wordt vooraf aan de verwerking. Daarbij moet de betrokkene er middels een privacy statement op gewezen worden welke gegevens verwerkt worden, hoe die verwerking plaatsvindt en moet het vinkje actief door de betrokkenen worden aangevinkt. Om het cirkeltje rond te maken wordt een email naar de contactpersoon gestuurd om de gegevens en toestemming te accorderen. Dit laatste dient om te voorkomen dat namens iemand anders toestemming verleend kan worden. De toestemming moet goed worden vastgelegd in het systeem en dient als bewijsvoering voor de gegeven toestemming (audit trail).

- Beurs

Op een beurs worden visitekaartjes uitgewisseld. Door onze medewerkers worden deze gegevens na de beurs altijd netjes ingevoerd in het CRM-systeem. Op basis van deze informatie zal vervolgens het eerste contact plaatsvinden. Helaas voldoet dit aan geen enkele grond en zal er dus geen contact opgenomen mogen worden. De verwachting is dat hiervoor andere oplossingen bedacht gaan worden. De oplossing kan bestaan uit de volgende stappen:

  • De badge van de betrokkene wordt gescand (vrij);
  • Op de tablet worden de gegevens van de betrokkene getoond en het privacy statement (geïnformeerd);
  • De betrokkene zet zijn handtekening en klikt op akkoord en opslaan (actieve handeling);
  • De toestemming wordt samen met de gegevens gelogd.

In de aanloop naar het in werking treden van de AVG zullen hiervoor zeker nog creatieve oplossingen worden bedacht, deze zullen we graag met jullie delen.

In control
Om er zorg voor te dragen dat iedereen in de organisatie goed omgaat met de AVG is het van belang dat iedereen op tijd en juist geïnformeerd is en zich naar deze privacy verordening gaat gedragen en dat we als organisatie stappen maken om steeds beter in control te komen. Hierover meer in onze volgende blog over AVG.