GDPR compliance Consent management en data bescherming

De Algemene Verordening Gegevensbescherming (AVG/GDPR) regelt hoe bedrijven met persoonlijke data omgaan. Voor CRM communicatie zijn deze regels cruciaal.

Wat is GDPR?

• EU wetgeving: Sinds 25 mei 2018 van kracht
• Doel: Bescherming van persoonlijke data
• Geldt voor: Alle bedrijven die EU-burgers data verwerken
• Boetes: Tot €20 miljoen of 4% jaaromzet

GDPR Principes voor Communicatie

1. Rechtmatigheid: Je moet een legale basis hebben (consent, contract, legitiem belang)
2. Transparantie: Duidelijk communiceren waarom je data verzamelt
3. Doelbinding: Data alleen gebruiken waarvoor toestemming is
4. Minimalisatie: Niet meer data verzamelen dan nodig
5. Juistheid: Data up-to-date houden
6. Opslagbeperking: Niet langer bewaren dan noodzakelijk
7. Integriteit: Beveiligd opslaan

GDPR voor Email, SMS, WhatsApp

Email Marketing:

• Opt-in vereist voor marketing emails
• Opt-out link verplicht in elke email
• Duidelijke sender identificatie

SMS Marketing:

• Expliciete toestemming nodig
• "STOP" functionaliteit verplicht
• Kosten transparant communiceren

WhatsApp Business:

• Opt-in voor business initiated messages
• Duidelijk doel communicatie
• 24h window voor vrije berichten

Consent Types Configureren

1. Ga naar Settings > Privacy > Consent Types
2. Tesoro heeft standaard consent types:
   • Email Marketing: Marketing emails ontvangen
   • SMS Marketing: SMS berichten ontvangen
   • WhatsApp Marketing: WhatsApp berichten ontvangen
   • Phone Marketing: Telefonisch contact
   • Data Processing: Verwerking persoonlijke data
3. Pas aan of voeg custom types toe

Consent Vastleggen

Bij Contact Aanmaken:

1. Open nieuw contact formulier
2. Sectie Consent & Privacy
3. Check per kanaal:
   • ☑️ Email Marketing (opt-in)
   • ☑️ SMS Marketing (opt-in)
   • ☑️ WhatsApp (opt-in)
4. Vul in:
   • Consent Date: Wanneer toestemming gegeven
   • Consent Method: Hoe (form, phone, in-person, etc.)
   • Consent Source: Waar (website form, event, etc.)
5. Save contact

Consent via Web Forms

Voor online forms:

<form>
  <input type="checkbox" name="consent_email" required>
  Ik ga akkoord met marketing emails
  
  <input type="checkbox" name="consent_sms">
  Ik ga akkoord met SMS berichten
  
  <!-- Link naar privacy policy -->
  <a href="/privacy">Lees ons privacybeleid</a>
</form>

Tesoro slaat automatisch consent op bij form submission.

Double Opt-in Email

Voor extra zekerheid:

1. Klant vult form in
2. Tesoro stuurt bevestiging email
3. Klant klikt "Ja, schrijf me in" link
4. Consent wordt geactiveerd
5. Klant komt in email lijst

Consent History

Alle wijzigingen worden gelogd:

• 2024-01-15: Email consent gegeven (via website form)
• 2024-02-20: SMS consent gegeven (via phone call)
• 2024-03-10: Email consent ingetrokken (via unsubscribe link)

Automatische Opt-out Links

Tesoro voegt automatisch unsubscribe links toe:

Email Footer:

Wil je geen marketing emails meer ontvangen?
[Uitschrijven] | [Voorkeuren aanpassen]

{{company.name}}
{{company.address}}

SMS Opt-out:

Reageer met STOP om geen SMS meer te ontvangen.

Opt-out Afhandeling

Wanneer klant uitschrijft:

1. Direct verwerkt: Binnen seconden geregistreerd
2. Consent ingetrokken: Email/SMS consent = false
3. Suppressie lijst: Contact komt op do-niet-contact lijst
4. Sequences gestopt: Alle actieve sequences worden gepauzeerd
5. nietification: Agent krijgt bericht

Preference Center

Geef klanten controle:

1. Link in email footer: "Voorkeuren aanpassen"
2. Klant ziet form met opties:
   • ☑️ Nieuwe property alerts
   • ☐ Nieuwsbrief
   • ☑️ Belangrijk nieuws
   • ☐ Promoties en aanbiedingen
3. Frequentie kiezen:
   • Dagelijks
   • Wekelijks
   • Maandelijks
4. Sla voorkeuren op

Opt-out Reporting

Track unsubscribe rates:

• Ga naar Reports > Consent & Privacy
• Dashboard toont:
  • Unsubscribe rate per email
  • Unsubscribe rate per sequence
  • Top redenen voor uitschrijven
  • Trend over tijd

Re-engagement

Contact die opt-out heeft gedaan:

• Niet meer contacteren: Voor marketing
• Transactionele emails OK: Bijv. confirmaties, facturen
• Re-opt-in mogelijk: Via nieuwe form submission of expliciete vraag

Types Data Subject Requests

Onder GDPR hebben klanten rechten:

1. Right to Access (Inzage): Alle data over hen zien
2. Right to Rectification (Correctie): Onjuiste data corrigeren
3. Right to Erasure (Verwijdering): "Recht om vergeten te worden"
4. Right to Restriction: Verwerking beperken
5. Right to Data Portability: Data exporteren
6. Right to Object: Bezwaar maken tegen verwerking

Request Afhandeling in Tesoro

Access Request (Inzage):

1. Klant stuurt email: "Ik wil al mijn data zien"
2. In Tesoro: Open contact → ... menu → Export Data
3. Kies format: PDF Report (voor klant) of JSON (technisch)
4. PDF bevat:
   • Contact details
   • Communication history (emails, SMS, calls)
   • Properties viewed
   • Deals
   • Consent history
   • notes
5. Verstuur binnen 30 dagen naar klant

Deletion Request (Verwijdering):

1. Klant stuurt email: "Verwijder al mijn data"
2. In Tesoro: Open contact → ... menu → Delete Contact
3. Tesoro toont confirmation:
   • "Are you sure? This canniet be undone."
   • "This will delete: Contact, Communication, notes, Deals"
   • "Properties and Documents remain (legal obligation)"
4. Check GDPR Deletion Request (logging voor audit)
5. Klik Confirm Delete
6. Bevestig verwijdering naar klant

Legal Holds

Sommige data MOET bewaard blijven:

• Accounting: Facturen 7 jaar (wettelijk)
• Contracts: Getekende overeenkomsten
• Legal disputes: Tijdens procedures

Tesoro markeert deze data als "Canniet be deleted (legal hold)".

Request Logging

Alle data subject requests worden gelogd:

• 2024-03-15: Access request received
• 2024-03-20: Data export sent to customer
• 2024-04-10: Deletion request received
• 2024-04-11: Contact deleted (GDPR compliance)

Tesoro Security Measures

Tesoro beveiligt je data met:

• Encryption at rest: AES-256 database encryptie
• Encryption in transit: TLS 1.3 voor alle verbindingen
• Access control: Role-based permissions (RBAC)
• Two-factor authentication: 2FA voor alle accounts
• Audit logging: Alle data access wordt gelogd
• Regular backups: Dagelijkse encrypted backups
• Pen testing: Jaarlijkse security audits
• SOC 2 Type II: Certified compliance

User Permissions

Beperk data access per teamlid:

• Admin: Volledige toegang
• Manager: Team data + reports
• Agent: Eigen contacten + toegewezen
• Read-only: Alleen bekijken, niet wijzigen

Data Retention Policy

Stel bewaartermijnen in:

1. Ga naar Settings > Data Retention
2. Configureer per data type:
   • Inactive contacts: 3 jaar → automatisch verwijderen
   • Email history: 2 jaar → archiveren
   • Call logs: 1 jaar → verwijderen
   • Closed deals: 7 jaar → legal hold
3. Tesoro voert automatisch uit

Data Processing Agreement (DPA)

Tesoro biedt GDPR-compliant DPA:

• Download via Settings > Legal > DPA
• Tekenen en uploaden
• Vereist voor EU bedrijven
• Beschrijft verantwoordelijkheden

Data Breach Protocol

Als data breach gebeurt:

1. Detection: Tesoro detecteert breach
2. nietification: Je krijgt binnen 24h bericht
3. Assessment: Impact analyse
4. Reporting: Indien nodig, melden bij autoriteit (binnen 72h)
5. Mitigation: Maatregelen om schade te beperken
6. Communicatie: Informeer betrokken klanten