Salesforce & AVG..Salesforce & GDPR

....

Zo maak je Salesforce AVG-bestendig

Maandagochtend, 9 uur. Je manager wil weten of Salesforce al AVG-proof is. Als applicatiebeheerder wil je natuurlijk aantonen dat dit prima geregeld is en deze blogpost gaat jou daarbij helpen!

expliciete toestemming

..

this is how you make Salesforce GDPR-proof

Monday morning, 9 am. Your manager wants to know if Salesforce has been made GDPR-proof already. As the application manager, of course you want to show that this has already been arranged properly. And this blogpost will help you in getting there!

explicit consent

....

salesforce.png

....

De Spring ‘18 editie van Salesforce introduceert het ‘Individuals’ object. Deze kun je koppelen aan leads en contacten, en bevat bovendien een aantal handige selectievakjes. Zo kun je bijvoorbeeld registreren of gegevens van een individu gedeeld mogen worden. Het activeren van dit object kan via de setup geregeld worden. Er worden bovendien triggers meegeleverd voor het aanpassen van bestaande contacten. 

recht op inzage

Help, een klant wil een overzicht van alle gegevens die van hem of haar zijn geregistreerd! Dit kun je het beste regelen met een app zoals Conga, die data uit verschillende objecten samenvoegt in een toegankelijk formaat. Je kunt bovendien een workflow gebruiken om de verzending per e-mail te automatiseren. Een andere optie is het gebruikmaken van Community Cloud, waarmee je je klant zelf controle geeft over de vastgelegde gegevens.

recht om vergeten te worden

Dit is misschien wel het lastigste aspect van de AVG. Immers: persoonsgegevens vormen het hart van je crm-systeem, met vertakkingen naar een groot aantal objecten. En je wilt natuurlijk niet dat rapportages worden aangetast door het weggooien van accounts en contacten. Als alternatief kun je denken aan het anonimiseren of versleutelen van persoonsgegevens. Er bestaan apps die je hierin kunnen ondersteunen, zoals Odaseva of DataPro Tools, die door een klant van g-company worden gebruikt. Wist je trouwens dat een verwijderde contactpersoon nog 15 dagen bewaard wordt in de prullenbak? Handig, maar ook een potentiële overtreding van de wet!

privacy by design

..

The Spring ‘18 edition of Salesforce introduces the 'Individuals' object. You can link this to leads and contacts, as it contains a couple of handy selection boxes. You can use it to register if an individual’s information may be shared, for instance. The object can be activated via the setup, and triggers are added in to update existing contacts.

right to access

Mayday, a customer wants an overview of all their registered data! This can be easily organized via an app like Conga, which combines data from different sources in an accessible format. Furthermore, you can use a workflow to automate the mailing of this data. Another option would be to make use of Community Cloud, which gives control to the client where registered data is concerned.

right to be forgotten

This is potentially the most tricky aspect of GDPR. Personal data form the cornerstone of your crm system, of course, and is linked to a large number of objects. The last thing you want is to corrupt your statistics by throwing away accounts and contacts. An alternative could be to anonymize or pseudonymize personal data. AppExchange has apps that help you do this, such as Odaseva or DataPro Tools, that are used by one of our customers. Furthermore, did you know that deleted contacts are kept in your recycle bin for fifteen days? While handy, it is also a potential violation of the law!

privacy by design

....

Gdpr.jpg

....

Het uitgangspunt van de AVG is dat je zorgvuldig omgaat met persoonsgegevens, en dat ook afdwingt bij het ontwerp van informatiesystemen. Wat dat betreft heb je met Salesforce een goede keuze gemaakt! Met profielen, rollen en permissie-sets heb je ijzersterke tools in handen om bescherming van gegevens goed te regelen. Door op organisatieniveau de rechten zo strak mogelijk in te richten heb je meteen een goede start, en kun je vervolgens per persoon of per functie permissies toevoegen. Besteed ook aandacht aan data-minimalisatie. Leg alleen gegevens vast die écht nodig zijn voor je bedrijfsvoering en geef uitvoering aan de bewaartermijnen die je intern hebt afgesproken. Vergeet niet om te documenteren welke technische maatregelen je hebt genomen en waarom.

Laat die manager nu maar komen met zijn AVG-vragen. Jij bent er klaar voor!

Heb je toch nog een vraag waar je niet uitkomt, neem dan gerust contact op met g-company voor advies.

..

The starting point for GDPR is that you have to handle personal data carefully, and that this diligence is built into information systems from the start. Salesforce is a solid choice where this is concerned! Thanks to profiles, roles and permission sets, you have a solid tool at your disposal to properly handle protection of data. You can start of right by designing permissions as tightly as possible at the organizational level. Additional permissions can later be added per person or per function. Lastly, do not forget to pay attention to data minimisation. Only retain data that are necessary to operate your business, and stick to the retention periods as agreed upon internally. Do not forget to document which technical measures you have taken and why.

Let the manager ask his questions about GDPR now. You are ready for it!

Should you still struggle with a question, please contact g-company for advice.

....

nl
en