Hoe software helpt om kaartverkoop AVG-proof te maken

Festivalorganisatoren moeten de coronatijd zien te overbruggen. Daarbij kan, als de onrust niet overheerst, ruimte ontstaan om na te denken over het verbeteren van evenementen. Dat begint met oog hebben voor de festivalganger, die verwacht dat je zorgvuldig omgaat met zijn of haar persoonsgegevens. In deze blog delen we kennis om je daarbij te helpen.

Wie zorgvuldig omgaat met de privacy van festivalgangers, neemt de nieuwe AVG-wetgeving die in 2018 het daglicht zag als vertrekpunt. Die gaat namelijk over de bewaring en verwerking van persoonsgegevens. Maar hoe zorg je er nu voor dat de kaartverkoop voldoet aan deze regelgeving? De transactiesoftware moet AVG-proof zijn. Wij ontwikkelen deze software en adviseren en ondersteunen je bij het inrichten van AVG-functionaliteiten.

AVG en de invloed op de cultuursector

AVG staat voor Algemene Verordening Gegevensbescherming en gaat over de toestemming voor verwerking van gegevens. Bezoekers moeten organisaties toestemming geven voor het opslaan en bewaren van hun data. Het is voor bedrijven een hele kluif om hier handen en voeten aan te geven. Correcte gegevensbescherming heb je niet in een middagje geregeld. Dat komt doordat er zoveel partijen bij betrokken zijn waarmee je afspraken maakt: websitebouwers, CRM-partijen, betaalplatforms, leveranciers van ticketsoftware en promotors.

Om het allemaal wat eenvoudiger te maken, ontwikkelden we vier softwaretoepassingen waarmee festivalorganisaties persoonsgegevens beschermen in hun transactieproces met de klant. Daarbij maken we onderscheid tussen kaartverkoop en marketingdoeleinden van festivalorganisaties, zodat degenen die kaartjes kopen aan kunnen geven of ze nieuws willen ontvangen of niet. Dat organisatoren niet beschikken over de persoonsgegevens van hun bezoekers, maar ze slechts in bruikleen hebben, houden we scherp in het vizier. Dat vereist zorgvuldigheid in de omgang met data van anderen. Dat betekent bijvoorbeeld dat áls data al worden uitgewisseld met andere partijen, de gegevens versleuteld zijn.

Vier functionaliteiten die jou gaan helpen

Doordat we transacties verwerken, hebben we veel met data en persoonsgegevens te maken. We nemen de nieuwe wet serieus en helpen onze klanten met het toepassen ervan. In samenwerking met een jurist hebben we vier functionaliteiten ontwikkeld die rekening houden met de privacy van festivalbezoekers.

  1. Opt-ins voor toestemming: de AVG vereist toestemming van festivalbezoekers voor gegevensverwerking en aanhangende marketingactiviteiten. Bovendien zijn de data van hen in bruikleen. Dat vereist zorgvuldigheid in het bewaar- en bewerkingsproces. Deze functionaliteit tackelt deze aspecten. De festivalorganisatie weet precies wie op welke dag toestemming heeft verleend. Voorheen was dat niet verplicht, maar nu wel. Deze informatie kun je als rapportage afdrukken.
  2. Verwijderproces: als een organisatie inzicht heeft in welke accounts zijn verwijderd en wanneer, kan het bedrijf de data anonimiseren en zo recht doen aan de eisen van de AVG. Mensen hebben het ‘recht van vergetelheid’. Daar wordt gehoor aan gegeven door deze functionaliteit. Als iemand zijn of haar account wil verwijderen, ben je als organisatie wettelijk verplicht om hier binnen 30 dagen op in te gaan. De gegevens moeten dan verwijderd worden, of in elk geval niet meer herleidbaar zijn. Wij verwijderen ze binnen 21 dagen. Zo komen we tegemoet aan de rechten van festivalbezoekers. Zij mogen hun gegevens en toestemmingshandeling inzien. Ook mogen zij hun gegevens aanpassen, verwijderen en toestemming intrekken. Dit kunnen ze doen via ‘mijn account’ in de webshop. Goede communicatie met de bezoeker is hierbij cruciaal. Hij of zij krijgt steeds via een automatische terugkoppeling de status van zijn acties te zien.
  3. Database opschonen: als iemand in je database nooit meer gebruik maakt van jouw diensten, mag je die gegevens niet meer bewaren. In de wet staat ‘niet langer dan nodig’ en het advies is 2 of 5 jaar. Dit betekent: heeft een bezoeker binnen die 2 of 5 jaar geen transactie meer gedaan, dan moet je de gegevens verwijderen. Je kunt dan namelijk niet meer aantonen dat je de gegevens nodig hebt omdat diegene af en toe nog iets koopt.
  4. Bestellen zonder account: juristen zijn het er niet helemaal over eens: is een optie om te kunnen bestellen zonder account verplicht? Wij willen de optie graag aanbieden vanwege gebruikersvriendelijkheid. Met deze functionaliteit kunnen websitebezoekers dus een transactie doen zonder een account aan te maken, waardoor ze hun gegevens (e-mailadres, adres, telefoonnummer, etc.) niet achter te hoeven laten.

De functionaliteiten voor opt-ins, verwijderproces en database opschonen zijn services waar elke klant gebruik van kan maken. Omdat bestellen zonder account niet verplicht is, is dit optioneel. We hebben nog een andere optionele functie: CRM-export, waarbij de externe CRM-partij precies weet welke toestemming er is gegeven door de bezoeker of wanneer een account is verwijderd. Dan kan de CRM-partij de toestemming wijzigen of het account verwijderen in andere documenten. Dit is belangrijk omdat een CRM-partij vaak wordt ingehuurd om data te analyseren en die data dus wel AVG-proof moet zijn.

Vijf tips

We sluiten af met vijf tips die helpen jouw organisatie AVG-proof te maken.

  1. Regel je opt ins goed. Wellicht overbodig om te noemen, maar dit raakt aan de essentie van de AVG-wet.
  2. Duik eens in je database. Welke gegevens staan er eigenlijk allemaal in? Heb je die allemaal nodig?
  3. Zorg voor goede communicatie tussen afdelingen. AVG is voor de marketingafdeling geen pretje, omdat het moeilijker is om een database met potentiële klanten op te bouwen. Hierdoor kan er een spanningsveld ontstaan tussen de marketingafdeling en de rest van de organisatie, wat zorgt voor vertraging in de implementatie. Goede communicatie tussen de afdelingen voorkomt dit.
  4. Als je een derde partij inhuurt, ga dan na dan hoe ze omgaan met de AVG-wetgeving. Dit sluit aan bij het onderwerp CRM-export.
  5. Controleer welke bezoekersgegevens je opvraagt. Welke informatie heb je écht nodig, welke niet noodzakelijk?
2020-05-29T11:45:22+02:00 Blog|