Rond privacy en leadgeneratie cirkelt een heel vocabulaire aan afkortingen en vaktermen: AVG, AP, grondslag, verwerkersovereenkomst, doelbinding. Stuk voor stuk hebben ze een precieze betekenis, maar die betekenis is zelden helder als je er voor het eerst tegenaan loopt. Deze kennisbank vertaalt dat jargon naar gewone taal, vanuit het perspectief van de leadgenerator die het moet toepassen.
Per begrip vind je een korte, accurate uitleg en, waar dat helpt, een verwijzing naar de plek op de site waar we laten zien hoe OXIAE dat onderwerp in het platform heeft ingebouwd, van grondslag en toestemming tot herkomst en de audit trail. Geen juridisch geleerd proza, maar de kern van wat een term betekent en waarom die ertoe doet als je vanuit één platform intake, matching, levering en facturatie draait.
De Algemene verordening gegevensbescherming (AVG) is de Europese privacywet die regelt hoe organisaties met persoonsgegevens omgaan. GDPR (General Data Protection Regulation) is exact dezelfde verordening, maar dan met haar Engelse naam: inhoudelijk is er geen verschil. De wet geeft mensen rechten over hun eigen gegevens en legt organisaties een verantwoordingsplicht op: je moet niet alleen zorgvuldig handelen, je moet dat ook kunnen aantonen. Als leadgenerator betekent dat geen losse belofte, maar een controleerbare praktijk in je hele operatie.
De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder die controleert of organisaties zich aan de AVG houden. De AP kan onderzoek doen, aanwijzingen geven en boetes opleggen, en publiceert richtsnoeren over hoe de wet in de praktijk moet worden uitgelegd. Bij een meldplichtig datalek is de AP de instantie die je in de regel binnen 72 uur informeert. Wie zijn platform rond die uitgangspunten inricht, loopt als leadgenerator zelden tegen verrassingen aan.
Toestemming is één van de zes AVG-grondslagen en de meest gebruikte voor het delen van een lead met een afnemer. Geldige toestemming is vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig: de betrokkene zegt actief ja tegen een concreet doel en kan die keuze later weer intrekken. Vooraf aangevinkte vakjes of stilzwijgen tellen dus niet. OXIAE legt de toestemming voor jou vast op het moment van binnenkomst, met tijdstip, getoonde tekst en bron, zodat jij als operator later kunt aantonen dat de keuze echt geïnformeerd was.
Een grondslag is de wettelijke rechtvaardiging waarop je een verwerking baseert. Zonder grondslag is verwerken van persoonsgegevens simpelweg niet toegestaan. De AVG kent er zes, waaronder toestemming, gerechtvaardigd belang en de uitvoering van een overeenkomst, en voor leadgeneratoren zijn vooral die drie relevant. Welke grondslag geldt, bepaalt wat je mag doen en wat je moet kunnen onderbouwen; in OXIAE registreer je per aanvraag welke grond van toepassing is.
Herkomst beschrijft waar een lead precies vandaan komt: via welk formulier, welke landingspagina, welke campagne of welke publisher een aanvraag is binnengekomen. Die informatie is onmisbaar om te kunnen aantonen dat een lead rechtmatig is verkregen en dat de bijbehorende toestemming bij de juiste bron hoort. Zonder vastgelegde herkomst blijft een lead een los gegeven zonder context. OXIAE koppelt herkomst onlosmakelijk aan elke aanvraag die door jouw platform loopt, zodat bron en toestemming altijd samen reizen.
Een audit trail is een chronologisch, niet-bewerkbaar logboek van alles wat er met een gegeven is gebeurd: wanneer het binnenkwam, hoe het werd geverifieerd, naar wie het is gerouteerd en wanneer het verliep. Het is het bewijsmateriaal achter je verantwoordingsplicht: jij hoeft niets achteraf te reconstrueren, want de geschiedenis staat er al. Bij een verzoek van een betrokkene of een vraag van de toezichthouder kun je zo precies laten zien wat er in jouw platform is gebeurd. In OXIAE wordt elke verwerkingsstap automatisch en exporteerbaar vastgelegd.
De verwerkingsverantwoordelijke is de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt: wie het doel en de middelen vaststelt. Als leadgenerator ben jij dat doorgaans: jij voert het label, jij bepaalt welke leads worden ingekocht en aan wie ze worden geleverd. De verantwoordelijke draagt de eindverantwoordelijkheid richting betrokkenen en de toezichthouder, en is degene die een datalek bij de AP meldt. Heldere rolverdeling begint met de vraag wie deze rol vervult.
Een verwerker verwerkt persoonsgegevens uitsluitend in opdracht van en volgens de instructies van de verwerkingsverantwoordelijke. De verwerker bepaalt dus niet zelf het doel, maar levert de infrastructuur of dienst waarmee de verwerking plaatsvindt. Als platform treedt OXIAE in veel gevallen op als verwerker: het verwerkt aanvragen namens jou, binnen de grenzen die jij als operator hebt vastgelegd. De afspraken daarover leg je vast in een verwerkersovereenkomst.
Een sub-verwerker is een partij die een verwerker inschakelt om een deel van de verwerking uit te voeren, denk aan een hostingleverancier of een dienst voor e-mailafhandeling. De verwerker blijft tegenover de verantwoordelijke aansprakelijk voor wat de sub-verwerker doet, en mag een sub-verwerker alleen inzetten als die aan dezelfde verplichtingen is gebonden. Daarom hoort elke sub-verwerker onder een eigen verwerkersovereenkomst te vallen en hoor jij als operator inzicht te krijgen in welke partijen het betreft.
Een verwerkersovereenkomst (in het Engels een Data Processing Agreement, of DPA) is het contract dat de verwerkingsverantwoordelijke en de verwerker verplicht sluiten. Daarin staat onder meer welke gegevens voor welk doel worden verwerkt, welke beveiligingsmaatregelen gelden, hoe met sub-verwerkers en datalekken wordt omgegaan en wat er met de gegevens gebeurt na afloop. De AVG schrijft deze overeenkomst dwingend voor; zonder DPA mag een verwerker niet voor je verwerken.
Dataminimalisatie is het beginsel dat je niet meer persoonsgegevens verzamelt dan strikt nodig is voor het doel. Een intakeformulier vraagt dus alleen wat het doel echt vereist; velden die niet bijdragen worden niet uitgevraagd en niet bewaard. Minder data betekent minder risico bij een lek en minder dat je als leadgenerator hoeft te beschermen en te verantwoorden. Het is een ontwerpkeuze die je het beste vooraf maakt, niet een opschoonactie achteraf.
Doelbinding houdt in dat je persoonsgegevens alleen verwerkt voor het concrete, vooraf bepaalde doel waarvoor ze zijn verzameld. Gegevens die zijn verkregen voor het ene doel zomaar inzetten voor een ander doel is niet toegestaan zonder nieuwe grond. Voor lead-verwerking betekent dit dat routing, matching en levering binnen de afgesproken grenzen blijven en niet erbuiten. Het doel dat de betrokkene voor ogen had bij het geven van toestemming is leidend, ook als een lead via meerdere afnemers in jouw platform beweegt.
Een bewaartermijn is de periode waarin je persoonsgegevens mag bewaren; daarna moeten ze worden verwijderd of geanonimiseerd. De AVG verbiedt onbeperkt bewaren: je houdt gegevens niet langer dan nodig is voor het doel of dan een wettelijke plicht voorschrijft. In de praktijk koppel je een termijn aan de status van een lead: een afgewezen aanvraag hoort niet even lang te blijven staan als een geleverde lead met een lopende garantietermijn. OXIAE laat data in jouw platform automatisch verlopen wanneer de termijn is bereikt.
Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens onbedoeld zijn ingezien, gewijzigd, gelekt of vernietigd. Niet elk lek hoeft te worden gemeld, maar een meldplichtig lek moet de verwerkingsverantwoordelijke in de regel binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens melden, en bij hoog risico ook de betrokkenen informeren. Snelheid en helderheid bepalen dan alles, dus de route hoort vooraf vastgelegd te zijn in jouw operatie in plaats van geïmproviseerd op het moment zelf.
De betrokkene is de natuurlijke persoon op wie de persoonsgegevens betrekking hebben: achter elke lead die door jouw platform loopt zit dus een mens met rechten. De AVG kent die persoon onder meer het recht op inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar toe. Die rechten zijn alleen waardevol als jij als leadgenerator ze snel, volledig en aantoonbaar kunt uitvoeren. Doordat OXIAE alle gegevens rond één persoon koppelt, wordt een verzoek een handeling van minuten in plaats van een zoektocht door losse systemen.
Privacy by design is het uitgangspunt dat privacybescherming vanaf het ontwerp in een systeem wordt ingebouwd, in plaats van er achteraf bovenop te worden geplakt. In de praktijk betekent het dat dataminimalisatie, grondslagregistratie, bewaartermijnen en een audit trail standaard meekomen, niet als optie die je zelf moet bouwen of aanzetten. De AVG noemt dit, samen met privacy by default, als expliciete verplichting. OXIAE is rond dit principe gebouwd: de compliance-bouwstenen zitten al in het fundament van het platform dat je licenseert.
Deze kennisbank legt begrippen in gewone taal uit en is bedoeld als hulpmiddel om de materie te begrijpen, niet als juridisch advies. De uitleg is met zorg opgesteld, maar elke verwerking is anders en wetgeving en richtsnoeren veranderen. Voor de beoordeling van je eigen verwerkingen, verantwoordelijkheden en specifieke situatie raden we aan een jurist of privacy-deskundige te raadplegen.
Noodzakelijke cookies houden de site werkend. Analytische en marketingcookies plaatsen we alleen met jouw toestemming. Jij kiest per categorie en we leggen je keuze met tijdstempel vast.