Category

NL

Direct Marketing en Relevantie – de Opt-in Challenge

By NL No Comments

Lees hier het OptInsight artikel, geschreven samen met BakerMcKenzie over het uitoefenen van direct marketing onder AVG en ePrivacy-wetgeving.

In dit artikel leest u:
Wat er veranderd is voor direct marketing activiteiten sinds 25 mei 2018
Hoe bedrijven inzichten kunnen verkrijgen in persoonlijke voorkeuren door relevantie
Een direct marketing stappenplan voor verantwoording en relevantie voor uw business relaties
De Opt-in Challenge in de praktijk, een use case

Download het artikel: Direct Marketing en Relevantie – de Opt-in Challenge

Privacybescherming & AVG, wat betekent het voor mij als lid van een fitnessclub?

By NL No Comments

Als lid van een fitnessclub ga ik regelmatig naar de sportschool. Ik neem deel aan groepslessen en aan spinninglessen. Als privacy & AVG consultant, ben ik me er volledig van bewust dat ik nogal wat persoonsgegevens achterlaat. Waaronder informatie over mijn gezondheid, zogenoemde bijzondere persoonsgegevens onder de AVG.
Ik vind dat prima, zolang ik er zeker van ben dat de fitnessclub mijn gegevens zorgvuldig beschermt en dat ze mijn gegevens gebruiken met mijn uitdrukkelijke toestemming en alleen voor de doeleinden waarvoor ze hebben verklaard mijn persoonsgegevens te gaan gebruiken. Dit wordt privacy by default genoemd.

Ik verwacht dat de fitnessclub mijn gegevens gebruikt om mijn gezondheid en prestaties te verbeteren. Ik hou van de competitie in de spinningklas, die is gebaseerd op mijn persoonsgegevens en de persoonsgegevens van mijn concurrenten. Ik begrijp dat het bedrijf mijn gegevens gebruikt voor het aanbieden en verbeteren van hun diensten. Dit zijn diensten die ik als klant waardeer en ik begrijp dat dit bedrijf gegevens gebruikt als een kans om hun eigen bedrijfsprestaties te verbeteren.

Ik verwacht, en ik heb het recht om dit te verwachten onder de AVG, dat de fitnessclub, die deel uitmaakt van een keten van clubs, mijn gegevens op de juiste manier beschermt en mijn gegevens niet overdraagt aan derden waarvoor het niet nodig is om diensten door mijn fitnessclub te kunnen aanbieden. Het zijn mijn (bijzondere) persoonsgegevens en verwacht van organisaties dat ze mijn gegevens zorgvuldig behandelen.

Ten slotte verwacht ik dat wanneer ik besluit om mijn lidmaatschap te beëindigen, de organisatie al mijn persoonsgegevens verwijdert, omdat er geen juridische grond meer is voor de verwerking van mijn gegevens.

Wat betekent privacybescherming voor jou als persoon? Bespreek het met ons.
Wil je meer weten over wat privacybescherming zou kunnen betekenen voor een fitnessbedrijf, lees dan dit artikel:

AVG-en-persoonsgegevensverwerking-voor-Fitness-Centra.pdf

Hierin beschrijven we wat het betekent voor fitnessclubs om gezondheidsgegevens te verwerken met toestemming onder de AVG.

Waarde benutten van data binnen de reisbranche, privacy by design.

By NL No Comments

Afgelopen week was ik op skivakantie in Oostenrijk. De eigenaresse van ons pension had net als ieder bedrijf dat persoonsgegevens verwerkt met de GDPR (DSGVO) te maken gekregen, waardoor de administratieve last van deze kleine ondernemer behoorlijk was toegenomen. Zonder dat dit heeft geleid tot een verbetering van het waardevol inzetten van (persoons) gegevens. Ten slotte is het gebruikersgemak van mij als gast verslechterd.

Dit kan beter, zodat zowel de ondernemers in het toerisme als de gasten hier bij gebaat zijn.

Wilt u weten hoe OptInsight kan helpen met het waardevol inzetten van persoonsgegevens, binnen de kaders van de privacywetgeving?

Lees ons artikel.

 

An English version of the article can be found here: Data processing in the travel sector, Privacy by design

Hoe je als kennisintensieve organisatie met de AVG relevanter kunt worden

By NL No Comments

Ben je commercieel verantwoordelijk bij een detacheringsbureau, Partner bij een advieskantoor of een accountantskantoor?
Of ben je verantwoordelijk bij een groot IT bedrijf voor nieuwe klanten?
Of wil je als marketingafdeling de professionals met een commercieel target helpen?
Lees dan hoe je relevanter voor decisionmakers wordt met behulp van de privacywetgeving (AVG/GDPR).
Klantrelevantie en de AVG kunnen hand in hand gaan als je het slim aanpakt.

Opt-In challenge kennisorganisaties

Grotere kans op nieuwe verzekerden door slim gebruik te maken van toestemming

By NL No Comments

Wilt u als zorgverzekeraar uw new business vergroten binnen de kaders van de AVG?

Lees hieronder onze onze one-pager of download hier in Pdf.

Consent
Voldoe op efficiënte wijze aan AVG-compliance uitdagingen

Content
Deel relevante content met uw business relaties, afgestemd op individuele behoeften van uw prospect

Controller
Combineer Regulatory Analytics en Commercial Analytics om betere commerciële besluitvorming te realiseren

OptInsight creating business value with RegTech

Neem contact op met OptInsight

Samenvatting McKinsey Podcast over GDPR implementatie

By NL No Comments

Lees hieronder een korte samenvatting door OptInsight van een McKinsey podcast over de stand van zaken met betrekking tot GDPR implementatie.

 

Ieder bedrijf zit in de privacy-business

Ieder bedrijf zit in de privacy-business. In welke business u ook actief bent, of u het leuk vindt of niet.

Persoonsgegevens

In het verleden dachten we dat persoonsgegevens beperkt was tot naam, adres, en BSN-nummer. Tegenwoordig wordt er ook veel info verzameld over gedrag, transacties en gebruiken we zelf complexe data analytics methoden om informatie te verkrijgen over personen.
We schatten in dat veel managers nu pas grip beginnen te krijgen over de operationele consequenties van deze verwerking.

GDPR vereist structuur en discipline

De GDPR dwingt organisaties structuur en discipline aan te brengen in wat persoonsgegevens zijn, waar het wordt verwerkt en geeft betrokkenen, de personen, meer de regie en beheersing over hun persoonsgegevens, zodat zij zelf kunnen besluiten of uw organisatie het mag verwerken en over hoe u het mag verwerken.

Rechten personen

De operationele gevolgen van de controle over de persoonsgegevens die bij de betrokkenen is neergelegd zijn ongeëvenaard. Zij hebben rechten om de data te laten verwijderen, rechten om in te zien welke persoonsgegevens de organisatie verwerkt en ze hebben het recht om hun persoonsgegevens over te laten dragen. 

Rechtvaardiging van de verwerking

Één van de meest uitdagende verplichtingen voor organisaties is om inzichtelijk te hebben of ze gegevens mogen verwerken, waarom ze deze gegevens verwerken en waar ze deze data verwerken. Verwerken organisaties gegevens omdat ze een wettelijke plicht hebben, bijvoorbeeld voor fiscale redenen of voor andere wettelijke grondslagen? En wanneer moeten persoonsgegevens verwijderd worden om de duur van de verwerking te beperken.

Doelbinding

GDPR verplicht organisaties de betrokkenen te informeren over de reden van verwerking van hun persoonsgegevens en organisaties moeten daarvoor een legale reden (rechtvaardiging of grondslag) voor hebben. Wanneer de organisatie de gegevens hebben verwerkt een bepaald doel, mogen zij de persoonsgegevens niet voor andere doeleinden gebruiken. Bijvoorbeeld persoonsgegevens voor het openen van een bankrekening mogen niet voor marketingdoeleinden en andere zaken gebruikt worden.

DPO en het privacy-team

Binnen de organisatie moeten de implicaties van GDPR worden uitgevoerd bij DPO en het privacy-team, dat moeten een team zijn dat in de gehele organisatie met allerlei disciplines samenwerkt. Dit kan niet door één individu, de DPO alleen gedaan worden.

Big Data en AI (on)mogelijkheden

Er zijn heel wat data-science communities zenuwachtig geworden die gewend waren om grote hoeveelheden gegevens te verzamelen en daar hun creativiteit en modellen op los te laten. Organisaties nu dienen inzichtelijk te maken wat hier nog van is toegestaan onder GDPR. Er moeten nieuwe controls worden ingericht rondom de AI modellen.
Een van de meest voor de hand liggende maatregelen is om de gegevens te maskeren en te anonimiseren alvorens er tot analyse wordt overgegaan. Als je dit goed doet hoef je betrokkenen ook niet van tevoren te informeren.
McKinsey ziet ook allerlei mogelijkheden voor AI, zoals het identificeren van persoonsgegevens, het structureren (cleansing) van de gegevens en het maskeren en anonimiseren van de persoonsgegevens.

Consent

Veel organisaties stellen de toestemmingsparagraaf in de privacy-verklaring zeer breed op. Daarbij bestaat het risico dat de betrokkene geen toestemming verleend. Dan zeggen ze feitelijk Nee tegen het verwerken van mijn persoonsgegevens, we willen dat de organisatie alle persoonsgegevens verwijdert die jullie over mij verwerken. Er zijn nog niet veel organisaties die precies weten hoe ze hier mee om moeten gaan. Zij zullen dan precies inzichtelijk moeten hebben waar de persoonsgegevens zijn opgeslagen, in welke systemen ze worden verwerkt en hoe zij deze verwerkingen kunnen rechtvaardigen.

Wilt u hulp bij de beheersing van uw GDPR verplichtingen?

Neem contact op

Beluister hier de volledige podcast.

Hoe kan een grote organisatie mij inzicht geven in de verwerking van mijn persoonsgegevens?

By NL No Comments

Hoe kan een grote organisatie als een verzekeringsmaatschappij voor mij inzichtelijk maken welke persoonsgegevens ze van mij verwerken? De Autoriteit Persoonsgegevens (AP), de toezichthouder op de privacy-wet AVG, publiceerde een lijst met verwerkingsactiviteiten waarvoor een risico-assessment (DPIA = Data Protection Impact Assessment) gehouden moet worden.

De AP vermeldt hierbij Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft.

Als privépersoon vraag ik mij af of grote organisaties hiertoe in staat zijn. Ik heb in het verleden bijvoorbeeld bij een grote verzekeraar in loondienst gewerkt, ik heb meerdere aanvragen voor verzekeringen bij hen gedaan, ik heb een deel van mijn hypotheek bij hen ondergebracht en ik heb een deel van mijn pensioen bij deze maatschappij lopen.

Op de lijst met activiteiten waarvoor een DPIA is vereist volgens de AVG, staan onder andere:

  • Zwarte lijsten
  • Creditscores
  • Financiële situatie
  • Gezondheidsgegevens
  • Controle werknemers
  • Profilering

Dit zijn allemaal verwerkingsactiviteiten die door de verzekeringsmaatschappij zijn uitgevoerd en nog steeds worden uitgevoerd om te kunnen voldoen aan de hiervoor beschreven werknemer- en klantrelatie activiteiten.

Mag ik verwachten dat de genoemde verzekeringsmaatschappij mijn persoonsgegevens dusdanig goed beschermd heeft en dat ze daadwerkelijk voor al deze activiteiten een DPIA heeft uitgevoerd?

Hoe denken jullie hierover? 

OptInsight

Inzicht in persoonsgegevensverwerking van klanten en (ex-)medewerkers

By NL

Hoe kan een grote organisatie als een verzekeringsmaatschappij inzichtelijk maken welke persoonsgegevens ze verwerken van hun klanten en (ex-)medewerkers?

De Autoriteit Persoonsgegevens (AP) publiceerde een lijst met verwerkingsactiviteiten waarvoor een risico-assessment (DPIA = Data Protection Impact Assessment) gehouden moet worden.

De AP vermeldt hierbij Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft.

Tezamen met de documentatieplicht die geldt onder de AVG is een organisatie verplicht om aantoonbaar inzichtelijk te hebben wat de verwerkingsgrondslagen zijn op grond waarvan ze persoonsgegevens verwerken.

Grote organisaties verwerken op tientallen plekken binnen hun organisaties persoonsgegevens en doen dat vaak op grond van verschillende grondslagen. Hoe zijn zij in staat om dit aantoonbaar inzichtelijk te maken? Bijvoorbeeld wanneer er een onderzoek wordt gedaan door de AP of wanneer betrokkenen van hun rechten gebruik wensen te maken.

Een verzekeringsmaatschappij verwerkt persoonsgegevens van haar medewerkers, verwerkt aanvragen van potentiële klanten voor verschillende (leven en schade) producten en verwerkt allerlei persoonsgegevens ten behoeve van hun dienstverlening. Dit kan ook nog eens betrekking hebben op een en dezelfde persoon. Deze verwerkingen en de verantwoording hierover vindt plaats op verschillende plekken binnen de organisatie. Hoe is een verzekeringsmaatschappij in staat om aantoonbaar aan de AVG te voldoen?

Op de lijst met activiteiten waarvoor een DPIA is vereist volgens de AVG, staan onder andere:

  • Zwarte lijsten
  • Creditscores
  • Financiële situatie
  • Gezondheidsgegevens
  • Controle werknemers
  • Profilering

Dit zijn allemaal verwerkingsactiviteiten die door de verzekeringsmaatschappij zijn uitgevoerd en nog steeds worden uitgevoerd om te kunnen voldoen aan de hiervoor beschreven werknemer- en klantrelatie activiteiten.

Het afleggen van verantwoording over deze verwerkingsactiviteiten, dient gecentraliseerd plaats te vinden. Met OptInsight zijn organisaties in staat om verwerkingsgrondslagen op persoonsniveau, gecentraliseerd te managen.

 

OptInsight

Meer weten? Maak een afspraak voor een demo.

Hoe een middelgroot HR-recruitment bureau een kans creëert met OptInsight

By NL

Lees hier de casus, waarin wij de ervaringen van een middelgroot recruitment bedrijf delen door het gebruik van OptInsight.

Zij realiseren nu:

  • Aanzienlijke verlaging van de compliance-kosten.
  • Real-time inzichten in de verwerkingsgrondslagen en het bijbehorende bewijsmateriaal.
  • Versterkte relatie met kandidaten.
  • Verbeterde matching door inzichten in persoonlijke voorkeuren en vacatures.

Achtergrond en aanleiding

Een middelgroot recruitmentbedrijf, beheerde een aantal databases met honderdduizenden profielen van mogelijke kandidaten samengesteld op basis van de verschillende searches die het bedrijf in de loop der jaren had uitgevoerd. In deze systemen waren tevens de CV’s opgeslagen van tienduizenden (voormalig) kandidaten die in trajecten betrokken waren. Daarnaast werd er een enorme hoeveelheid persoonsgegevens bijgehouden op allerlei plekken in de organisaties, waarbij verschillende soorten ongestructureerde lijstjes werden bijgehouden.

Er was om deze redenen binnen deze organisatie een groot risico op non-compliance met de privacywetgeving AVG/GDPR en het bedrijf maakte hoge kosten door in kaart te moeten brengen waar in de organisaties al deze persoonsgegevens werden verwerkt.

De communicatie met potentiële kandidaten verliep op basis van generieke nieuwsbrieven en door middel van het delen van vacatures die niet altijd even goed op de persoonlijke voorkeuren van de kandidaten waren afgestemd.

Vraagstelling en aanpak

Er werd een enorme hoeveelheid persoonsgegevens bijgehouden op allerlei plekken in de organisatie, op basis van verschillende soorten ongestructureerde lijstjes. Om deze redenen was er binnen deze organisatie een groot risico op non-compliance met de privacywetgeving AVG/GDPR en het bedrijf maakte hoge kosten omdat steeds handmatig in kaart moet worden gebracht waar in de organisaties al deze persoonsgegevens worden verwerkt.

De communicatie met potentiële kandidaten verliep op basis van generieke nieuwsbrieven en door middel van het delen van vacatures die niet altijd even goed op de persoonlijke voorkeuren van de kandidaten zijn afgestemd.

De organisatie vroeg aan OptInsight: Hoe kunnen wij meer regie krijgen over de verwerking van persoonsgegevens van kandidaten en kandidaten beter aan ons binden?

Het bedrijf heeft op advies van OptInsight alle persoonsgegevens van kandidaten in 1 centrale database opgeslagen die alleen met het recruitmentsysteem benaderbaar is. Medewerkers ontvangen vanuit het bedrijf de instructies om alleen nog via het recruitmentsysteem persoonsgegevens van kandidaten te verwerken.

De OptInsight Consent Manager is volledig geïntegreerd met het recruitmentsysteem. Hierdoor kunnen de medewerkers vanuit het recruitmentsysteem via enkele buttons de toestemming van kandidaten inzien en bijwerken. Daarnaast kunnen kandidaten via meerdere kanalen hun toestemming aanpassen. Via de OptInsight app kunnen de medewerkers samen met de kandidaat de toestemming verwerken. De kandidaat kan tevens via de web-portal van het recruitmentbedrijf en via de telefoon hun wijzigingen doorgeven.

Compliance is door de real-time verwerking van de toestemming in staat om het bewijsmateriaal van de verkregen toestemming aan te tonen.

Doordat de kandidaten hun toestemming verlenen voor specifieke content, is het recruitment bedrijf in staat om met de OptInsight Content Library veel relevanter met kandidaten te communiceren. Vooral met op de persoonlijke voorkeuren van de kandidaat afgestemde content.

De OptInsight Controller biedt de organisatie nuttige inzichten, waaronder dashboards met informatie over de persoonlijke voorkeuren van de kandidaten en informatie om het matchingsproces verder te verbeteren doordat er nu gerichter naar geschikte kandidaten gezocht kan worden.

Resultaat als gevolg van de implementatie van OptInsight

Doordat alle persoonsgegevens van kandidaten nu wordt bijgehouden via een centraal systeem met de volledig geïntegreerde Consent Manager is het voor de organisatie veel eenvoudiger om de inzichten centraal te verkrijgen Er hoeft er niet op allerlei plekken in de organisatie door verschillende werknemers informatie opgevraagd te worden. Dit leidt tot een aanzienlijke verlaging van de compliance-kosten. Door een sterke reducering van de handmatige aanpassingen, is bovendien de foutkans aanzienlijk verlaagd.

De compliance-afdeling heeft toegang tot de centrale OptInsight Consent Manager waarmee ze in staat zijn om real-time de verwerkingsgrondslagen toestemming en gerechtvaardigd belang en het bijbehorende bewijsmateriaal aan te tonen voor eventuele onderzoeken van de Autoriteit Persoonsgegevens.

Medewerkers en kandidaten kunnen op verschillende manieren de toestemming en de persoonlijke content-voorkeuren van de kandidaten bijwerken. Onder andere middels de OptInsight App, die ingezet kan worden tijdens recruitment-gesprekken en beurzen.  De content die gedeeld wordt met kandidaten is nu veel relevanter voor hen, omdat deze is afgestemd op de persoonlijke content-voorkeuren van de kandidaten. Dit heeft geleid tot een versterkte relatie met kandidaten en door een verbetering van de matching.

Wilt u weten wat OptInsight voor uw recruitment-bedrijf of HR-afdeling kan betekenen? Maak hier een afspraak voor een demo