Print:

Bij Coolblue zorgt zelfs de AVG voor een glimlach

Ferry Waterkamp, Journalist

LinkedIn profiel

“Wat betreft de implementatie van de AVG loopt e-commerce best wel voorop”, vindt legal counsel Cassandra Moons van Coolblue. Tijdens het IIR-congres ‘Implementatie AVG’ deelt Moons de inzichten die Coolblue heeft opgedaan. Hier alvast een voorproefje.

Coolblue zou Coolblue niet zijn als het ook op het gebied van privacy kiest voor een eigenzinnige aanpak. Met bijvoorbeeld een privacystatement dat niet alleen helder en transparant is zoals de Algemene Verordening Gegevens (AVG) het voorschrijft, maar ook opvalt en zelfs zorgt voor een glimlach. Geheel in lijn met de slogan van het bedrijf.

Want waarom heeft Coolblue adres en woonplaats van zijn klanten nodig? Het antwoord in het privacystatement: “Onze bezorgers vinden racen véél leuker dan spoorzoekertje spelen. Met het juiste adres bezorgen ze je bestelling supersnel.” En waarom heeft Coolblue een naam nodig? “Hey zeg je maar tegen je vriendjes op straat. Toch?” Het zijn teksten die je niet snel tegenkomt in de privacystatements van andere bedrijven.

“Coolblue bestaat nu vijftien jaar, maar is nooit een bedrijf van de gevestigde orde geworden”, vertelt Cassandra Moons. “Door het ontbreken van een gelaagdheid binnen de organisatie kunnen we snel schakelen. Ook de veranderingen die nodig zijn om te voldoen aan de AVG kunnen we snel doorvoeren.” Het e-commercebedrijf heeft dan ook al enkele belangrijke stappen gezet in de voorbereiding op de Europese privacyverordening. Moons licht er enkele toe:

1. Vroegtijdige aanwijzing van een DPO

“Het wel of niet aanstellen van een DPO was voor ons geen punt van discussie”, stelt Moons. “Een bedrijf met ruim 2500 medewerkers en gemiddeld 13.000 orders per dag moet gewoon een DPO hebben. Dat verwacht de buitenwereld ook. Als er vragen zijn over privacy, dan moet een DPO die kunnen beantwoorden.”

“Wat ons betreft is het domein van IT Security de meest logische plek om de DPO-rol te beleggen”, vervolgt Moons. “Die afdeling ziet ook echt alle datastromen. De benodigde juridische kennis is bovendien makkelijker over te hevelen naar IT en security dan andersom.”

2. Knoop doorgehakt over gebruik ‘registertooling’

Veel bedrijven zijn onder de AVG verplicht om een ‘register van de verwerkingsactiviteiten’ bij te houden, zo ook Coolblue. In dit overzicht staat onder andere welke persoonsgegevens worden verwerkt, van wie en met welk doel, waar deze gegevens vandaan komen en met wie ze worden gedeeld. Tooling helpt bij het opzetten en bijhouden van zo’n register.

3. Dienstverlening van derden ‘AVG-proof’ maken

“We doen veel met partners”, zegt Moons. Zo werkt Coolblue samen met logistieke partners, IT-dienstverleners en innovatieve start-ups die bijvoorbeeld specifieke applicaties leveren waar het Rotterdamse e-commercebedrijf gebruik van maakt. “Die partners hebben we uitgebreide vragenlijsten toegestuurd om bijvoorbeeld te documenteren hoe deze partijen hun security hebben geregeld en hoe de datastromen lopen. Een belangrijk deel van de informatie die je terugkrijgt, heb je nodig voor het register.”

“Ook hebben we de verwerkersovereenkomsten die we aangaan met onze partners ‘AVG-proof’ gemaakt”, vervolgt de legal counsel. “Natuurlijk hebben we nog wel te maken met legacy in de vorm van contracten die jaren geleden zijn gesloten, maar er ligt nu een goede basis.”

4. Inventariseren gegevensstromen en verwerkingsactiviteiten

“Daar ben je zo maanden mee bezig, en dan heb je de gegevensstromen alleen nog maar in kaart gebracht”, waarschuwt Moons. Na de inventarisatie moeten nog enkele belangrijke stappen worden gezet, zoals dataminimalisatie, het opstellen van een beleid voor de bewaartermijnen en het kritisch evalueren van de toegang tot de geïnventariseerde data.

“De toegang tot data moet voorbehouden zijn aan een beperkt aantal personen”, stelt de legal counsel van Coolblue. In veel gevallen hebben medewerkers genoeg aan geanonimiseerde data en is toegang tot de database met persoonsgegevens helemaal niet nodig.

5. Proactief aan de slag met open normen

De AVG zadelt organisaties op met vrij veel abstracte begrippen. “Bepalingen als consent, Privacy by Design en Privacy by Default lijken vrij basaal, maar toch kan het voor een organisatie onduidelijk zijn hoe je daar invulling aan moet geven.” Het advies van Moons: “Onderschat deze open normen niet, maar maak het ook niet te ingewikkeld en ga gewoon aan de slag.”

“Zoek ook contact met andere bedrijven om te kijken hoe zij de implementatie aanpakken. Als je intern blijft kijken, weet je niet of je de goede kant opgaat”, aldus Moons. “En ga uit van transparantie. Informeer de klant altijd heel duidelijk over wat je aan het doen bent en waarom, en waar die data naartoe gaan. Richt het zo klantvriendelijk mogelijk in, dan levert de AVG al heel wat minder zorgen op. Ook hier geldt: alles voor een glimlach.”

AVG IIR

Meer weten over hoe Coolblue de implementatie van de AVG aanpakt? Cassandra Moons verzorgt tijdens het tweedaagse IIR-congres ‘Implementatie AVG’ een keynote met als titel ‘Gegevensverwerkingen onder de AVG’. De aanpak van Coolblue komt dan uitgebreid aan bod.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten