Oxyma

Dit certificaat toont onze professionaliteit en laat zien dat wij privacy serieus nemen

Oxyma eerste bedrijf in Nederland met Technical Standard Personal Data Protection certificaat

Een certificatienorm die de eisen vastlegt voor het beheer en de verwerking van persoonlijke klantgegevens was er tot voor kort niet. QSN begeleidde Oxyma bij het behalen van het certificaat voor de ‘Technical Standard related to Personal Data Protection against EU regulation 2016/679’ die ontwikkeld is door Bureau Veritas. Het lukte de specialist in CRM en people-based marketing om zich in Nederland als eerste en in Europa als een van de eersten voor deze norm te certificeren. QSN consultant Lonneke van Harrewijn en Maike Boumen, Data Protection Manager bij Oxyma, vertellen hoe dit traject in zijn werk is gegaan.

Wat is Oxyma?

“Oxyma is gespecialiseerd in CRM (Customer Relationship Management) en customer loyalty. We zijn onderdeel van Merkle, een van oorsprong Amerikaans adviesbureau voor ‘data-driven, technology-enabled performance marketing’. Onze marketeers, data scientists, creatives en marketing technology professionals werken intensief samen met marketeers van nationale en internationale opdrachtgevers als BMW, KPN, NS, Air France-KLM, VodafoneZiggo, Volkswagen en Feyenoord. Met databases en campagnemanagementsystemen faciliteren we de interactie tussen merken en consumenten. Wij verzamelen en verwerken data van consumenten om marketingboodschappen gerichter te verspreiden. Die klantdata komt niet alleen van online platformen, maar ook van transactie- en CRM-systemen. Wij helpen klanten die datastromen bij elkaar te brengen en te beheren. Daarnaast maken we marketinguitingen voor klanten.” Vertelt Maike Boumen, Data Protection Manager bij Oxyma.

“Het certificaat levert ons bij tenders zeker een voorsprong op”

Oxyma bedrijft ‘People-based marketing’. Data staat centraal in alles wat ze doen. Toch is de filosofie van het bedrijf dat privacy van mensen vóór data gaat. “Dit certificaat laat zien dat we heel zorgvuldig met de privacy en gegevens van consumenten omgaan”, aldus Maike. “Wij vinden dat we daar als goed adviesbureau ook op de juiste manier mee om moeten gaan. Het lastige is dat je aan de ene kant zoveel mogelijk data wilt verzamelen om gericht marketing te kunnen bedrijven. Aan de andere kant wil je de privacy van consumenten beschermen. In dat spanningsveld opereren wij.”

We hebben in Nederland de AVG. Wat voegt dit certificaat hieraan toe?

“Wij zijn al een aantal jaar gecertificeerd voor ISO 27001. Daarmee laten we aan onze klanten zien hoe wij werken. Dat dit veilig gebeurt en dat de informatie op een veilige manier verwerkt wordt. Alleen is ISO 27001 erg gericht op technische maatregelen. Met het nieuwe certificaat kunnen we aantonen dat we kijken wat voor soort informatie we in huis hebben en wat we ermee doen. Wij vinden het heel belangrijk om te kunnen laten zien dat we ook bezig zijn met de privacy van een consument.”

Zegt het certificaat alleen dat je de goede procedures volgt en alles op een juiste manier vastlegt?

“Enerzijds is het natuurlijk een vorm van accountability. We laten klanten zien dat wij privacy serieus nemen. Dat geeft vertrouwen. We merken dat klanten dat belangrijk vinden. Ook bij tenders word je als leverancier hierop gescreend. Met dit certificaat kunnen we aantonen dat we de Europese privacywetgeving hebben gewaarborgd in de bedrijfsprocessen.

Aan de andere kant kunnen we, als er iets misgaat met gegevens, bij de Autoriteit Persoonsgegevens aantonen dat wij serieus handelen naar de AVG. We laten zien dat wij verder kijken dan alleen maar wetgeving en een goede adviespartner zijn voor onze klanten.”

Hoe belangrijk is behalen van dit certificaat voor Oxyma?

“Het toont de professionaliteit aan van onze dienstverlening. Hiermee onderscheiden we ons in de markt. Samen met de andere door ons behaalde certificaten laat het zien dat we een sterk governance programma hebben. We hebben het gewoon op orde. Binnenkort krijgen we ook klantenaudits en hiermee tonen we heel makkelijk aan dat we compliant zijn.”

Was het direct een uitgemaakte zaak dat QSN jullie ging begeleiden bij dit certificaat?

“Ja, we wisten vooraf dat QSN ons ging begeleiden bij dit traject. Sterker nog, eigenlijk klopte QSN bij ons aan met dit certificaat. Ik was het interne aanspreekpunt binnen Oxyma, maar QSN heeft alle begeleiding met het certificeringsbureau verzorgd. We zijn echt samen de uitdaging aangegaan om dit nieuwe certificaat voor ons tot een succes te maken.”

Wat heeft het certificaat jullie tot nu toe opgeleverd?

“Het is nog te vroeg om daar antwoord op te geven. Binnen onze Merkle familie wordt het behalen van dit certificaat zeker gewaardeerd. En we worden binnenkort geaudit door bedrijven. Die audits zullen makkelijker gaan, omdat heel veel dingen nu bij de certificering al zijn vastgelegd. Ik verwacht ook dat het ons bij tenders een voorsprong oplevert. Je moet dan van alles aantonen en veel informatie opleveren over je bedrijf. Normaal moet je daarvoor allemaal assessments door. Met dit certificaat laten we zien dat we hierop zijn getoetst door externe auditors en goed zijn bevonden. Het is gewoon een bewijs dat je dienstverlening is ingericht volgens de wet- en regelgeving. Het toont ook onze professionaliteit. Ben je ISO-gecertificeerd, dan ga je sneller door naar de volgende ronde.”

“We hebben veel pionierswerk moeten verrichten”

QSN werkt al drie jaar samen met Oxyma voor de certificaten en het managementsysteem van kwaliteit en informatiebeveiliging. “Toen wij hoorden van dit nieuwe certificaat dachten we al vrij snel aan Oxyma. Op een integere manier omgaan met klantgegevens is erg belangrijk voor hen. Deze nieuwe norm omvat zes toetsbare normelementen, die geïnspireerd zijn op de wettelijke bepalingen uit de GDPR of AVG. Wij zijn enorm trots dat we het eerste bedrijf hebben begeleid dat dit certificaat heeft behaald in Nederland.” Aldus Lonneke van Harrewijn.

Hoe hebben jullie die match tussen het certificaat en Oxyma gemaakt?

“Het certificaat is ontwikkeld door Bureau Veritas. Dat is een van de certificerende instanties in Nederland. We werken veel samen met dit bureau voor andere certificeringen. Toen zij dit nieuwe certificaat uitbrachten, zagen wij direct dat het zeer geschikt zou zijn voor grote organisaties die marketing bedrijven en marketing ondersteunen. Bij hen staat de privacy van klant- en consumentengegevens vaak hoog op de agenda. Zo kwam Oxyma in beeld. Ook zij zagen al snel de toegevoegde waarde van deze certificering voor hun business. In de loop van het traject heeft Oxyma een flinke ontwikkeling doorgemaakt. Het bedrijf is onderdeel geworden van Merkle. En ook dit bedrijf heeft compliance en data protection hoog op de agenda staan.”

Waarin wijkt dit certificeringstraject af van ‘normale’ certificeringen?

“Ik moet zeggen dat de samenwerking voor dit traject wel heel bijzonder is geweest. Normaal gesproken zijn wij als QSN’ers zo’n beetje de meewerkend voorman en nemen we organisaties werk uit handen. Bij deze certificering heeft Maike echt heel veel zelf gedaan. Ze heeft veel dingen voor het hele framework zelf ontwikkeld. Bij dit certificeringstraject ben ik vooral betrokken geweest bij de data protectie van interne processen. Zeg maar de interne AVG. Ik heb getoetst wat Maike had opgezet voor haar klanten en interne organisatie. Want de medewerkers bij sales, marketing en projectmanagement krijgen ook te maken met data protection.”

Heb je veel pionierswerk moeten verrichten omdat Oxyma toch de eerste klant was voor dit certificaat?

“Ja, best wel. In de loop van dit traject hadden we bij QSN een aantal templates ontwikkeld en gaandeweg merkten we dat deze niet passend waren voor deze specifieke AVG-wetgeving en de dienstverlening van Oxyma. De templates zijn in nauwe samenwerking met Maike aangepast. Ook zij heeft veel pionierswerk verricht. Zeker met het creëren van awareness bij klanten. Oxyma organiseert bijvoorbeeld AVG-awareness-sessies voor marketeers. Dat is echt iets wat ik bij andere klanten en trajecten over informatiebeveiliging niet eerder heb gezien. Daar waren de externe auditoren van bureau Veritas ook erg lovend over.”