skip to Main Content

Wat is de impact van de AVG in B2B?

Rik van Bavel

De AVG wetgeving lijkt een behoorlijke impact te hebben op ieders bedrijfsvoering. Niet alleen krijgen natuurlijke personen meer rechten, maar bedrijven krijgen vooral meer verplichtingen. Zo dien je aan allerlei zaken te voldoen. Maar wat is nu precies de impact van deze veranderingen in de privacywetgeving, de AVG in B2B? Wat behoor je te doen en wat niet? Wat mag er nu precies niet meer?

De impact

Wellicht wordt de AVG wetgeving wat groter gemaakt dan dat hij is, maar de impact in B2B is dan ook vele malen kleiner dan in B2C. De wetgeving dwingt je om goed na te denken over wat voor campagnes er nu lopen en je gaat uitvoeren en welke data je daarvoor gebruikt of wilt gaan gebruiken. Je kunt je sowieso afvragen wat je met gevoelige persoonsgegevens doet in B2B? Heb je die foto’s nodig? Heb je de datums van verjaardagen nodig? Of heb je echt trouwdata nodig? Is het nodig dat je het aantal kinderen van een DMU weet? Is de kennis van hobby’s nodig? De privacyparadox speelt natuurlijk een hele grote rol. Van de ene kant heb je de AVG wetgeving en van de andere kant wil je het liefst zoveel mogelijk van de DMU van een bedrijf te weten komen om zo aantrekkelijk mogelijk met hen te kunnen communiceren.  En dat is dus precies wat de AVG probeert tegen te gaan. We hebben namelijk niet alle informatie nodig om fatsoenlijk marketing te kunnen voeren. En dus dwingt deze wetgeving ons om zoveel mogelijk “to the point” te blijven.

Daarnaast dient je database op orde te zijn: verwijder namen van ex-werknemers op tijd, registreer toestemmingen correct en bewaar bovendien enkel wat je ook daadwerkelijk nodig hebt.

Wat staat je te doen?

Een aantal punten zijn essentieel in het voldoen aan de AVG in B2B. Onder andere de documentatieplicht die wordt opgelegd. Documenteren is dus essentieel.

  • Update je privacybeleid. Leg zoveel mogelijk informatie voor in je publieke privacybeleid en geef daarmee inzicht in wat je doet, wat je aan data verzameld en waarom je deze data  verzameld. Overigens benoem je niet alleen je eigen database, maar denk ook aan de data die je plaatst bij derden, zoals in je marketing automation tool. Geef in je documentatie aan wat de bewaartermijnen zijn.
  • Krijg inzicht in je gehele keten. Schakel je verwerkers in? En schakelen zij wellicht weer subverwerkers in? Zorg dat je deze hele keten inzichtelijk hebt: waar staat de data en waar gaat deze heen? Als verantwoordelijke ben en blijf je verantwoordelijk waar de data heen gaat en wie er toegang tot heeft, je bent dus óók verantwoordelijk als er iets vervelends mee gebeurt… Sluit verwerkersovereenkomsten af met je verwerkers en zorg ervoor dat zij subverwerkersovereenkomsten afsluiten met hun toeleveranciers.
  • Zorg dat alles goed beveiligd is. Geef niet zomaar een stagiair toegang tot je CRM als hij of zij dat helemaal niet nodig heeft; laat wachtwoorden en gebruikersnamen van systemen niet rondslingeren; log uit als je even van je plaats afbent; bij een vertrek van een collega zorg je voor het blokkeren van toegang tot systemen; en daarnaast ga je met IT na of alle nodige voorzorgsmaatregelen getroffen zijn. Jouw organisatie zou maar de volgende zijn genoemd in titelkoppen op gerenommeerde nieuwssites omdat er in de database is ingebroken en gegevens op straat liggen…
  • Zorg voor interne procedures. Zorg ervoor dat intern iedereen op de hoogte is wat een datalek is en wat er moet gebeuren wanneer zich een datalek voordoet,  dat iedereen de rechten van de betrokkenen kent en dat dit proces waterdicht is. Je hoeft niet alles te automatiseren in B2B, maar zorg er in ieder geval voor dat deze procedures gedekt zijn, zodat je organisatie weet wat ze te doen staat wanneer een natuurlijke persoon een beroep doet op zijn of haar rechten.
  • Update je database. Indien je een database hebt met e-mailadressen waarnaar je e-mailcampagnes verstuurt, zorg dan dat je toestemming krijgt om deze te mailen (opt-in) en deze duidelijk zichtbaar registreert in je database. Deze registratie geldt uiteraard ook voor mailadressen waarvan je deze toestemming al wel hebt. Heb je je data nog niet met toestemmingen met datum, tijd en bron geregistreerd? Zorg dan dat je huidige database op de hoogte gesteld wordt van je privacybeleid en registreer alsnog datums en tijden waarop kennis is genomen van deze e-mail. Men heeft te allen tijde natuurlijk de optie om zich af te melden van mailcampagnes. Indien zij zich niet afmelden en men zelfs je e-mails opent en leest, kun je daarmee veronderstellen dat hiervoor ooit toestemming is gegeven.

Zoek je concrete tips? We hebben 5 tips om een boete te voorkomen voor je opgesteld.

Wat mag er nu precies niet meer?

Het is onzin te denken dat je marketingtechnisch niks meer mag. De AVG wetgeving is er niet om zaken te verbieden, de AVG is bedacht en opgezet om ons na te laten denken over het verwerken van data en de privacy die we daarmee kunnen aantasten. Dat zou kunnen betekenen dat wanneer je een marketingactie bedenkt en je daarop een Privacy Impact Assessment uitvoert, blijkt dat bepaalde onderdelen van je campagne niet geschrapt moeten worden omdat deze de privacy van de natuurlijke personen in kwestie te veel zouden schenden. Gelukkig hebben wij in B2B in 99% van de gevallen te maken met enkel de opslag van persoonsgegevens zoals naam, telefoonnummer, e-mailadres, functietitel en geslacht. Uiteraard moeten we bij elke actie altijd in gedachte houden dat we de privacy niet moeten en mogen schenden, maar de verwachting is dat dit met deze toch wel basisgegevens niet zo snel zal gebeuren.

Documentatie

Belangrijk is wel om al je keuzes toe te lichten en te documenteren. Kies je om bepaalde gegevens te verwerken, leg dan vast waarom je deze gegevens denkt nodig te hebben om je marketing te kunnen uitvoeren. Daarnaast documenteer je ook welke beveiligingsmaatregelen je hebt genomen, hoe je offline en online data beschermd wordt en hoe je hier mee om gaat. Dat hoeft niet altijd in een publiekelijk privacybeleid, maar dat mag ook in bijvoorbeeld een intern informatiebeveiligingsbeleid. Zorg dat je documenten beschikbaar hebt, zodat je binnen enkele minuten kunt responderen wanneer de Autoriteit Persoonsgegevens haar blik op jouw organisatie laat vallen en informatie opvraagt.

Ben jij klaar voor de AVG? Vul nu de AVG checklist in.

Disclaimer: Wij zijn geen juridisch adviesbureau noch de Autoriteit Persoonsgegevens en geven enkel vrijblijvend advies over hoe je met de nieuwe wetgeving zou kunnen omgaan. Aan dit bericht kunnen echter geen rechten worden ontleend.


Rik van Bavel | Marketing Technologist
+31 (0)13 528 73 07 | LinkedIn
Back To Top