Category

NL

Direct Marketing en Relevantie – de Opt-in Challenge

By NL No Comments

Lees hier het OptInsight artikel, geschreven samen met BakerMcKenzie over het uitoefenen van direct marketing onder AVG en ePrivacy-wetgeving.

In dit artikel leest u:
Wat er veranderd is voor direct marketing activiteiten sinds 25 mei 2018
Hoe bedrijven inzichten kunnen verkrijgen in persoonlijke voorkeuren door relevantie
Een direct marketing stappenplan voor verantwoording en relevantie voor uw business relaties
De Opt-in Challenge in de praktijk, een use case

Download het artikel: Direct Marketing en Relevantie – de Opt-in Challenge

Privacybescherming & AVG, wat betekent het voor mij als lid van een fitnessclub?

By NL No Comments

Als lid van een fitnessclub ga ik regelmatig naar de sportschool. Ik neem deel aan groepslessen en aan spinninglessen. Als privacy & AVG consultant, ben ik me er volledig van bewust dat ik nogal wat persoonsgegevens achterlaat. Waaronder informatie over mijn gezondheid, zogenoemde bijzondere persoonsgegevens onder de AVG.
Ik vind dat prima, zolang ik er zeker van ben dat de fitnessclub mijn gegevens zorgvuldig beschermt en dat ze mijn gegevens gebruiken met mijn uitdrukkelijke toestemming en alleen voor de doeleinden waarvoor ze hebben verklaard mijn persoonsgegevens te gaan gebruiken. Dit wordt privacy by default genoemd.

Ik verwacht dat de fitnessclub mijn gegevens gebruikt om mijn gezondheid en prestaties te verbeteren. Ik hou van de competitie in de spinningklas, die is gebaseerd op mijn persoonsgegevens en de persoonsgegevens van mijn concurrenten. Ik begrijp dat het bedrijf mijn gegevens gebruikt voor het aanbieden en verbeteren van hun diensten. Dit zijn diensten die ik als klant waardeer en ik begrijp dat dit bedrijf gegevens gebruikt als een kans om hun eigen bedrijfsprestaties te verbeteren.

Ik verwacht, en ik heb het recht om dit te verwachten onder de AVG, dat de fitnessclub, die deel uitmaakt van een keten van clubs, mijn gegevens op de juiste manier beschermt en mijn gegevens niet overdraagt aan derden waarvoor het niet nodig is om diensten door mijn fitnessclub te kunnen aanbieden. Het zijn mijn (bijzondere) persoonsgegevens en verwacht van organisaties dat ze mijn gegevens zorgvuldig behandelen.

Ten slotte verwacht ik dat wanneer ik besluit om mijn lidmaatschap te beëindigen, de organisatie al mijn persoonsgegevens verwijdert, omdat er geen juridische grond meer is voor de verwerking van mijn gegevens.

Wat betekent privacybescherming voor jou als persoon? Bespreek het met ons.
Wil je meer weten over wat privacybescherming zou kunnen betekenen voor een fitnessbedrijf, lees dan dit artikel:

AVG-en-persoonsgegevensverwerking-voor-Fitness-Centra.pdf

Hierin beschrijven we wat het betekent voor fitnessclubs om gezondheidsgegevens te verwerken met toestemming onder de AVG.

Waarde benutten van data binnen de reisbranche, privacy by design.

By NL No Comments

Afgelopen week was ik op skivakantie in Oostenrijk. De eigenaresse van ons pension had net als ieder bedrijf dat persoonsgegevens verwerkt met de GDPR (DSGVO) te maken gekregen, waardoor de administratieve last van deze kleine ondernemer behoorlijk was toegenomen. Zonder dat dit heeft geleid tot een verbetering van het waardevol inzetten van (persoons) gegevens. Ten slotte is het gebruikersgemak van mij als gast verslechterd.

Dit kan beter, zodat zowel de ondernemers in het toerisme als de gasten hier bij gebaat zijn.

Wilt u weten hoe OptInsight kan helpen met het waardevol inzetten van persoonsgegevens, binnen de kaders van de privacywetgeving?

Lees ons artikel.

 

An English version of the article can be found here: Data processing in the travel sector, Privacy by design

Hoe je als kennisintensieve organisatie met de AVG relevanter kunt worden

By NL No Comments

Ben je commercieel verantwoordelijk bij een detacheringsbureau, Partner bij een advieskantoor of een accountantskantoor?
Of ben je verantwoordelijk bij een groot IT bedrijf voor nieuwe klanten?
Of wil je als marketingafdeling de professionals met een commercieel target helpen?
Lees dan hoe je relevanter voor decisionmakers wordt met behulp van de privacywetgeving (AVG/GDPR).
Klantrelevantie en de AVG kunnen hand in hand gaan als je het slim aanpakt.

Opt-In challenge kennisorganisaties

Grotere kans op nieuwe verzekerden door slim gebruik te maken van toestemming

By NL No Comments

Wilt u als zorgverzekeraar uw new business vergroten binnen de kaders van de AVG?

Lees hieronder onze onze one-pager of download hier in Pdf.

Consent
Voldoe op efficiënte wijze aan AVG-compliance uitdagingen

Content
Deel relevante content met uw business relaties, afgestemd op individuele behoeften van uw prospect

Controller
Combineer Regulatory Analytics en Commercial Analytics om betere commerciële besluitvorming te realiseren

OptInsight creating business value with RegTech

Neem contact op met OptInsight

Samenvatting McKinsey Podcast over GDPR implementatie

By NL No Comments

Lees hieronder een korte samenvatting door OptInsight van een McKinsey podcast over de stand van zaken met betrekking tot GDPR implementatie.

 

Ieder bedrijf zit in de privacy-business

Ieder bedrijf zit in de privacy-business. In welke business u ook actief bent, of u het leuk vindt of niet.

Persoonsgegevens

In het verleden dachten we dat persoonsgegevens beperkt was tot naam, adres, en BSN-nummer. Tegenwoordig wordt er ook veel info verzameld over gedrag, transacties en gebruiken we zelf complexe data analytics methoden om informatie te verkrijgen over personen.
We schatten in dat veel managers nu pas grip beginnen te krijgen over de operationele consequenties van deze verwerking.

GDPR vereist structuur en discipline

De GDPR dwingt organisaties structuur en discipline aan te brengen in wat persoonsgegevens zijn, waar het wordt verwerkt en geeft betrokkenen, de personen, meer de regie en beheersing over hun persoonsgegevens, zodat zij zelf kunnen besluiten of uw organisatie het mag verwerken en over hoe u het mag verwerken.

Rechten personen

De operationele gevolgen van de controle over de persoonsgegevens die bij de betrokkenen is neergelegd zijn ongeëvenaard. Zij hebben rechten om de data te laten verwijderen, rechten om in te zien welke persoonsgegevens de organisatie verwerkt en ze hebben het recht om hun persoonsgegevens over te laten dragen. 

Rechtvaardiging van de verwerking

Één van de meest uitdagende verplichtingen voor organisaties is om inzichtelijk te hebben of ze gegevens mogen verwerken, waarom ze deze gegevens verwerken en waar ze deze data verwerken. Verwerken organisaties gegevens omdat ze een wettelijke plicht hebben, bijvoorbeeld voor fiscale redenen of voor andere wettelijke grondslagen? En wanneer moeten persoonsgegevens verwijderd worden om de duur van de verwerking te beperken.

Doelbinding

GDPR verplicht organisaties de betrokkenen te informeren over de reden van verwerking van hun persoonsgegevens en organisaties moeten daarvoor een legale reden (rechtvaardiging of grondslag) voor hebben. Wanneer de organisatie de gegevens hebben verwerkt een bepaald doel, mogen zij de persoonsgegevens niet voor andere doeleinden gebruiken. Bijvoorbeeld persoonsgegevens voor het openen van een bankrekening mogen niet voor marketingdoeleinden en andere zaken gebruikt worden.

DPO en het privacy-team

Binnen de organisatie moeten de implicaties van GDPR worden uitgevoerd bij DPO en het privacy-team, dat moeten een team zijn dat in de gehele organisatie met allerlei disciplines samenwerkt. Dit kan niet door één individu, de DPO alleen gedaan worden.

Big Data en AI (on)mogelijkheden

Er zijn heel wat data-science communities zenuwachtig geworden die gewend waren om grote hoeveelheden gegevens te verzamelen en daar hun creativiteit en modellen op los te laten. Organisaties nu dienen inzichtelijk te maken wat hier nog van is toegestaan onder GDPR. Er moeten nieuwe controls worden ingericht rondom de AI modellen.
Een van de meest voor de hand liggende maatregelen is om de gegevens te maskeren en te anonimiseren alvorens er tot analyse wordt overgegaan. Als je dit goed doet hoef je betrokkenen ook niet van tevoren te informeren.
McKinsey ziet ook allerlei mogelijkheden voor AI, zoals het identificeren van persoonsgegevens, het structureren (cleansing) van de gegevens en het maskeren en anonimiseren van de persoonsgegevens.

Consent

Veel organisaties stellen de toestemmingsparagraaf in de privacy-verklaring zeer breed op. Daarbij bestaat het risico dat de betrokkene geen toestemming verleend. Dan zeggen ze feitelijk Nee tegen het verwerken van mijn persoonsgegevens, we willen dat de organisatie alle persoonsgegevens verwijdert die jullie over mij verwerken. Er zijn nog niet veel organisaties die precies weten hoe ze hier mee om moeten gaan. Zij zullen dan precies inzichtelijk moeten hebben waar de persoonsgegevens zijn opgeslagen, in welke systemen ze worden verwerkt en hoe zij deze verwerkingen kunnen rechtvaardigen.

Wilt u hulp bij de beheersing van uw GDPR verplichtingen?

Neem contact op

Beluister hier de volledige podcast.

Hoe kan een grote organisatie mij inzicht geven in de verwerking van mijn persoonsgegevens?

By NL No Comments

Hoe kan een grote organisatie als een verzekeringsmaatschappij voor mij inzichtelijk maken welke persoonsgegevens ze van mij verwerken? De Autoriteit Persoonsgegevens (AP), de toezichthouder op de privacy-wet AVG, publiceerde een lijst met verwerkingsactiviteiten waarvoor een risico-assessment (DPIA = Data Protection Impact Assessment) gehouden moet worden.

De AP vermeldt hierbij Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft.

Als privépersoon vraag ik mij af of grote organisaties hiertoe in staat zijn. Ik heb in het verleden bijvoorbeeld bij een grote verzekeraar in loondienst gewerkt, ik heb meerdere aanvragen voor verzekeringen bij hen gedaan, ik heb een deel van mijn hypotheek bij hen ondergebracht en ik heb een deel van mijn pensioen bij deze maatschappij lopen.

Op de lijst met activiteiten waarvoor een DPIA is vereist volgens de AVG, staan onder andere:

  • Zwarte lijsten
  • Creditscores
  • Financiële situatie
  • Gezondheidsgegevens
  • Controle werknemers
  • Profilering

Dit zijn allemaal verwerkingsactiviteiten die door de verzekeringsmaatschappij zijn uitgevoerd en nog steeds worden uitgevoerd om te kunnen voldoen aan de hiervoor beschreven werknemer- en klantrelatie activiteiten.

Mag ik verwachten dat de genoemde verzekeringsmaatschappij mijn persoonsgegevens dusdanig goed beschermd heeft en dat ze daadwerkelijk voor al deze activiteiten een DPIA heeft uitgevoerd?

Hoe denken jullie hierover?