Zo maak je Salesforce AVG-bestendig
Maandagochtend, 9 uur. Je manager wil weten of Salesforce al AVG-proof is. Als applicatiebeheerder wil je natuurlijk aantonen dat dit prima geregeld is en deze blogpost gaat jou daarbij helpen!
Expliciete toestemming
De Spring ‘18 editie van Salesforce introduceert het ‘Individuals’ object. Deze kun je koppelen aan leads en contacten, en bevat bovendien een aantal handige selectievakjes. Zo kun je bijvoorbeeld registreren of gegevens van een individu gedeeld mogen worden. Het activeren van dit object kan via de setup geregeld worden. Er worden bovendien triggers meegeleverd voor het aanpassen van bestaande contacten.
Recht op inzage
Help, een klant wil een overzicht van alle gegevens die van hem of haar zijn geregistreerd! Dit kun je het beste regelen met een app zoals Conga, die data uit verschillende objecten samenvoegt in een toegankelijk formaat. Je kunt bovendien een workflow gebruiken om de verzending per e-mail te automatiseren. Een andere optie is het gebruikmaken van Community Cloud, waarmee je je klant zelf controle geeft over de vastgelegde gegevens.
Recht om vergeten te worden
Dit is misschien wel het lastigste aspect van de AVG. Immers: persoonsgegevens vormen het hart van je crm-systeem, met vertakkingen naar een groot aantal objecten. En je wilt natuurlijk niet dat rapportages worden aangetast door het weggooien van accounts en contacten. Als alternatief kun je denken aan het anonimiseren of versleutelen van persoonsgegevens. Er bestaan apps die je hierin kunnen ondersteunen, zoals Odaseva of DataPro Tools, die door een klant van g-company worden gebruikt. Wist je trouwens dat een verwijderde contactpersoon nog 15 dagen bewaard wordt in de prullenbak? Handig, maar ook een potentiële overtreding van de wet!
Privacy by design
Het uitgangspunt van de AVG is dat je zorgvuldig omgaat met persoonsgegevens, en dat ook afdwingt bij het ontwerp van informatiesystemen. Wat dat betreft heb je met Salesforce een goede keuze gemaakt! Met profielen, rollen en permissie-sets heb je ijzersterke tools in handen om bescherming van gegevens goed te regelen. Door op organisatieniveau de rechten zo strak mogelijk in te richten heb je meteen een goede start, en kun je vervolgens per persoon of per functie permissies toevoegen. Besteed ook aandacht aan data-minimalisatie. Leg alleen gegevens vast die écht nodig zijn voor je bedrijfsvoering en geef uitvoering aan de bewaartermijnen die je intern hebt afgesproken. Vergeet niet om te documenteren welke technische maatregelen je hebt genomen en waarom.
Laat die manager nu maar komen met zijn AVG-vragen. Jij bent er klaar voor!
Heb je toch nog een vraag waar je niet uitkomt, neem dan gerust contact op met g-company voor advies.
