Vier aandachtspunten bij het kiezen van een AVG-conforme toestemmingsoplossing

De Algemene Verordening Gegevensbescherming (AVG) legt sterk de nadruk op de verantwoordingsplicht en vereist controleerbare toestemming. Hoewel er op niet-naleving van deze regelgeving flinke boetes staan, is het verkrijgen van toestemming voor sommige bedrijven méér dan slechts een manier om boetes te voorkomen: het is bovenal een kans om het vertrouwen van klanten te winnen en een sterkere relatie met ze op te bouwen.

Veel bedrijven werken nog met verouderde systemen. Het probleem daarvan is dat deze meestal te weinig gegevens registreren om aan te tonen dat er op een rechtsgeldige en ondubbelzinnige manier toestemming of contractuele aanvaarding is verkregen. Doordat hun transacties veelal plaatsvinden via handmatige, papierafhankelijke processen, kunnen er problemen ontstaan op de momenten die voor hun bedrijf zo belangrijk zijn.

Met tools van derden kunnen bedrijven rechtsgeldige, verifieerbare en eenduidige toestemming van personen verkrijgen. Daarbij is het uiteraard belangrijk om de juiste keuze te maken. Een bedrijf moet namelijk niet alleen een systeem kiezen dat voldoet aan de AVG, maar ook voorziet in de behoeften omtrent gegevensverwerkingsactiviteiten.

Welke belangrijke factoren spelen een rol bij het kiezen van een toestemmingsoplossing?

1. Internationale veiligheidsnormen

Gegevensbescherming is de hoeksteen van de AVG. Het spreekt dus voor zich dat de privacy en veiligheid van klantgegevens de hoogste prioriteit genieten bij bedrijven en hun technologische partners. 

Certificeringen op basis van uitgebreide evaluaties, audits en strenge normen, zoals ISO 27001:2013, dragen bij aan de beveiliging van informatie op internationaal niveau en zijn vaak van toepassing op datacenters, digitale platforms en activiteiten. Leveranciers moeten niet alleen controles op de informatiebeveiliging uitvoeren, maar ook bevestigen dat deze op orde is. Voorbeelden hiervan zijn SOC 1 type 2, waarvoor een externe serviceauditor nodig is, en SOC 2 type 2, waarmee wordt bevestigd dat de technologie van de leverancier voldoet aan de toepasselijke criteria voor veiligheid, beschikbaarheid en vertrouwelijkheid.

2. Grensoverschrijdende activiteiten

Aangezien de AVG vaak van toepassing is op bedrijven die internationaal actief zijn, kan een toonaangevende oplossing deze bedrijven helpen complete digitale workflows te automatiseren en te beheren, met inachtneming van lokale en branchespecifieke normen. Voor een technologieaanbieder met vestigingen en datacenters over de hele wereld is het daarom belangrijk om de toepasselijke lokale en branchespecifieke normen strikt na te leven, ongeacht waar men zaken doet.

Zo ondersteunt DocuSign alle soorten handtekeningen die in het kader van de eIDAS-verordening zijn gedefinieerd, waaronder geavanceerde en gekwalificeerde elektronische handtekeningen in de EU.

3. Flexibiliteit

Aangezien elk bedrijf unieke toestemmingsvereisten heeft, is een andere belangrijke factor de flexibiliteit om de oplossing te verbinden met de bestaande bedrijfssystemen door middel van vooraf gebouwde integraties met bestaande software of maatwerkverbindingen. In het laatste geval verdienen zeer configureerbare REST- en SOAP-API's de voorkeur of zijn deze voor sommige bedrijven zelfs noodzakelijk om gegevens vast te leggen, op te slaan en te beheren.

4. Gestroomlijnde gebruikerservaring

Voor bedrijven die toestemmingsformulieren versturen, bieden robuuste workflows met gebruiksvriendelijke documentsjablonen een uitkomst om het proces te automatiseren. Voor eindgebruikers is het ideaal als bedrijven de mogelijkheid bieden om gegevens en handtekeningen gelijktijdig vast te leggen – altijd en overal vanaf elk apparaat. Zo kan hun toestemming snel en probleemloos worden geregistreerd.

Als je over de juiste digitale tools beschikt om het gehele proces te beheren, is toestemming verkrijgen voor alle verwerkingsactiviteiten een peulenschil. Klanten kunnen overal vanaf hun mobiele apparaat toestemming geven, terwijl bedrijven profiteren van een audittrail die aantoont dat ze de benodigde maatregelen hebben genomen om aan de AVG te voldoen. Klanten kunnen er dus op vertrouwen dat je bedrijf de AVG-regelgeving naleeft en ze hoeven geen ingewikkeld en belastend proces te doorlopen om toestemming te geven.