Da’s handig: met één druk op de knop de gegevens van een klant oproepen. Als je een webwinkel hebt, doe je dit dagelijks. Maar ook als je niet online verkoopt, zul je een groeiende database met persoonsgegevens hebben. Bijvoorbeeld van leads die een offerte aanvroegen, of geïnteresseerden die je nieuwsbrief ontvangen. 

Vanzelfsprekend wil je zorgvuldig met die gevoelige data omgaan. Uit respect voor je klanten, maar ook om een mogelijke boete te voorkomen. De Algemene Verorderning Gegevensbescherming (AVG) is namelijk behoorlijk streng en de boetes die de Autoriteit Persoonsgegevens (AP) kan opleggen, zijn niet mals. Gelukkig hoef je niets te vrezen als je deze vijf tips toepast.

1. Vraag niet meer dan je nodig hebt

Dat je een naam en e-mailadres van je klanten vraagt, is normaal. Ook zul je willen weten naar welk adres hun bestelling mag. Maar heb je werkelijk een geboortedatum nodig? Of het beroepsveld waarin iemand actief is?

Vraag alleen het strikt noodzakelijke. Dat is prettig voor je (potentiële) klanten omdat ze niet zoveel hoeven in te vullen. Daarnaast geldt dat wat je niet aan je klant vraagt, je ook niet hoeft te bewaren en beveiligen. Dat scheelt weer.

2. Bewaar gegevens niet langer dan noodzakelijk

Ook de bewaartermijn van gegevens is belangrijk. Hier geldt: hoe korter, hoe beter. Schrijft iemand zich uit voor een nieuwsbrief, verwijder deze persoon dan meteen uit de database. En vult iemand het contactformulier in, bedenk dan goed hoelang je de ingevulde gegevens nodig hebt.

Is een gebruiker of klant er snel bij en verzoekt deze om verwijdering uit de database? Meteen gehoor aan geven.

Om fiscale redenen moet je bepaalde gegevens langer bewaren. De Belastingdienst kan tot zeven jaar na dato inzage in je administratie verzoeken. Wel kun je afspraken met de Belastingdienst maken om deze bewaartermijn te verkorten.  

3. Informeer je bezoekers

Zorgvuldig met data omgaan is één ding, maar je moet je bezoekers en klanten hier ook over informeren. Deze informatieplicht houdt in dat je allereerst een privacyverklaring op moet stellen. Daarin vertel je welke gegevens je verzamelt, waarom je die gegevens nodig hebt en hoelang je die bewaart. 

Plaatst jouw website cookies op het apparaat van de gebruiker, dan is ook een cookieveklaring vereist. Daarin vertel je welke cookies actief zijn, welke gebruikersacties die volgen en welk doel zij dienen. Vaak wordt deze cookieverklaring bij de privacyverklaring gevoegd, maar je kunt er ook een aparte pagina aan wijden. 

Geef je persoonsgegevens door aan externe partijen, bijvoorbeeld omdat je CRM-software gebruikt? Dan moet je afspraken over de verwerking van deze gegevens maken en die schriftelijk vastleggen. Dit document noemen we ook wel de verwerkersovereenkomst.

4. Neem goede beveiligingsmaatregelen

Goed, je verzamelt nu dus alleen het absolute minimum aan persoonsgegevens. Maar hoe bewaar je die veilig? Allereerst door de toegang ertoe te beveiligen. De weinige mensen die de rechten ertoe hebben, zouden alleen met tweestapsverificatie toegang moeten hebben.

Verder is het belangrijk om in beveiligingssoftware te investeren om malware en ransomware aan de deur te kunnen weren. Wees ook als team alert op pogingen tot phishing – niet alleen per mail, maar ook telefonisch.

5. Versleutel je e-mails

Verrassend of niet, maar de meeste datalekken gebeuren per e-mail. Bijvoorbeeld doordat een medewerker een verkeerde bijlage aan een mailtje hangt, of door een tikfoutje in de naam van de ontvanger. Door e-mails versleuteld te versturen en bijlagen met wachtwoorden te vergrendelen, blijven vertrouwelijke gegevens uit handen van onbevoegden.

Dit is het eerste artikel in de Maand van privacy in business samen met Piwik PRO. Met het analyticsplatform van Piwik PRO kun je elke stap in de customer journey op websites en apps meten, analyseren, verbeteren en stroomlijnen. Piwik PRO is het Europese alternatief voor Google Analytics, gericht op naleving van de strengste beveiligings- en privacyregels.