Menig bedrijf worstelt met de aankomende AVG verordening en door welke hoepels je allemaal moet springen om aan de wet die uit deze verordening voortvloeit te voldoen. Het is geen optie om er niet aan te voldoen: het is immers een aangenomen wetgeving. Dus op zoek in de spelonken naar welke data er staat, hoe die destijds verzameld is en hoe bruikbaar deze is met de nieuwe wet aanstaande.
Dat betekent dat je als bedrijf dat persoonsgegevens verwerkt zorgvuldig naar je eigen privacy processen moet kijken. Ook wij hebben dit pad bewandeld. In januari 2017 hebben wij ons tot doel gesteld om aan het eind van 2017 conform de AVG te werken en dus ook alle procedures aangepast te hebben. Omdat wij elke dag met de business bezig zijn en wij dit ook belangrijk vinden, hebben wij extra capaciteit ingehuurd om deze stappen te zetten. Anders heb je kans dat het verwatert en kom je er te laat achter dat je niet bent waar je wilde zijn.
Wij zijn dus al een tijdje terug gestart hiermee. De eerste periode hebben wij allerlei checklijsten gemaakt, procedures duidelijker beschreven, functies formeel belegd en ons team elke twee weken geïnformeerd over de stappen, voortgang en wat het voor hen betekent. Dit klink allemaal logisch en redelijk voortvarend, totdat we kritisch gingen kijken naar onze data en leveranciers.
We kwamen tot de conclusie dat we niet met al onze leveranciers van brondata overeenkomsten hadden die de toets van de 2018 wetgeving zouden doorstaan. Met name het feit dat de bewijslast voor doelbinding strakker is geworden, betekent dat sommige vormen van data die onder de WBP konden worden ingezet, dienden te worden geschrapt of aangepast in het licht van de nieuwe AVG. Om die reden hebben wij contracten opnieuw opgesteld en verwerkersovereenkomsten ondertekend.
Daarnaast hebben wij ook kritisch naar onze data gekeken. Het was goed geregeld, maar voor straks gelden toch echt andere voorwaarden. Is de data wel voor het juiste doel verzameld en is dat dan ook aantoonbaar? Van welke data is dat niet duidelijk en moeten wij dus verwijderen? Lastige keuzes, maar zo is de wet nu eenmaal. Data verwijderen betekent overigens ook dat je sommige van je producten waar die data onderdeel van uitmaakt, zult moeten updaten. Dat betekent nogal wat, want er is altijd wel data die in het verleden op correcte wijze is verzameld, maar waarvoor de bewijslast die de AVG meebrengt, moeilijk te realiseren is. Die informatie moet je dan direct verwijderen, of in ieder geval voordat de wet van kracht wordt. Met het verwijderen van die data heb je dan ook direct de keuze moeten maken om de bestaande producten te updaten en dat kost tijd.
In Q4 2017 hadden wij inderdaad alles conform de nieuwe wet op de rit staan en in januari kregen wij ook het bericht van DDMA dat wij het nieuwe AVG Privacy Waarborg mogen voeren ter bevestiging daarvan.
De soms moeilijke keuzes die we in het afgelopen jaar hebben moeten maken, betekenen voor ons dan ook een kans. Enerzijds omdat de discussie over de rechtmatigheid van data voor eens en voor altijd is beslecht, anderzijds omdat we in de loop van het jaar ook kennis hebben mogen maken met nieuwe leveranciers die ons hebben geholpen onze segmentatieproducten nog solider en onderscheidender te maken.
Het jaar 2018 wordt een jaar van vernieuwing. We starten met een nieuwe naam voor ons geupdate segmentatiemodel. Later dit jaar zullen wij ook nieuwe producten introduceren en zijn bijzonder trots dat ook deze AVG proof zullen zijn!
Wil je reageren op dit bericht of heb je een vraag?
-----