ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Is customer service al klaar voor de nieuwe privacywet AVG/GDPR?

In contactcenters wordt een hoop gepraat met klanten. Veel van de conversaties (gesprekken, chatsessies, e-mails) worden opgeslagen. Dat geldt ook voor data over transacties: wat consumenten kopen, hoe ze diensten gebruiken, wat ze betalen en steeds vaker ook: waar ze zich bevinden, wat ze zeggen en wat ze leuk vinden.

Vanaf 25 mei 2018 moet ook uw organisatie voldoen aan de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG, ook bekend als GDPR). Wat gaat er veranderen en wat is met name relevant voor customerservice-afdelingen en contactcenters?

Persoonsgegevens: begrip wordt opgerekt

In de nieuwe wet verandert het begrip ‘persoonsgegevens’. Naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens als IP-adressen, MAC- adressen, cookies en dergelijke definitief onder de wet. In klantcontact worden adres- en contactgegevens zoals NAW, telefoonnummers en e-mailadressen opgeslagen. Bij klantcontact draait het ook om de cookies die middels een website (bijvoorbeeld via de chatfunctie), of een systeem worden opgeslagen.

De privacyverklaring wordt nog belangrijker

De privacyverklaring die u hanteert moet in eenvoudige taal precies en volledig uitleggen wat u doet met persoonsgegevens. Ook moet u mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, inzien of zelfs laten vernietigen. Bouwt u interesseprofielen op, dan moeten die op verzoek kunnen worden verwijderd. Een klant kan bij u aankloppen om letterlijk zijn/haar opgeslagen klantgegevens te mogen inzien. Daarom is het belangrijk dat de organisatie weet welke gegevens men daadwerkelijk over iemand verwerkt.

Op het moment dat een klant niet meer geïnteresseerd is in de diensten van een aanbieder, kan de klant vragen om verwijdering van de gegevens. Omdat een webshop wettelijk verplicht is bepaalde gegevens voor een termijn van zeven jaar te bewaren voor de Belastingdienst, slaat het recht van de klant niet direct op alle gegevens. De webshop zal op dat moment dan alleen de niet noodzakelijke gegevens moeten verwijderen.

Hoe de klant zo’n verwijderingsverzoek moet doen, dient in de privacyverklaring te zijn beschreven. Bijvoorbeeld door een e-mailadres of telefoonnummer te vermelden waarbij een klant met dergelijke verzoeken terechtkan. Indien de gegevens van de klant digitaal zijn verzameld, moeten verzoeken ook digitaal ingediend kunnen worden. Het volstaat dan niet om aan te geven dat ze een brief moeten sturen Het kan handig zijn om een apart e-mailadres hiervoor aan te maken zoals privacy@… en een apart contactpersoon hiervoor aan te wijzen. Zo weet je als organisatie zeker dat de communicatie naar de klant consistent zal zijn.

De plicht om datalekken te melden wordt uitgebreid

Volgens de huidige privacywet hoeft u alleen datalekken bij te houden wanneer u ze ook moet melden aan de toezichthouder. Volgens de nieuwe AVG moeten alle datalekken bijgehouden worden, en zal een contactcenter een datalek ook aan zijn opdrachtgever melden (iets wat op dit moment al van toepassing is).

Hierover moet de opdrachtgever afspraken maken met de contactcenters. Dit kan gedaan worden in een bewerkersovereenkomst (onder de AVG verwerkersovereenkomst genoemd). Het maken van goede afspraken is erg belangrijk zodat de opdrachtgever de termijn waarbinnen een datalek moet worden gemeld aan de toezichthouder (72 uur) kan halen, en er afgesproken wordt wie de toezichthouder en/of de slachtoffers benadert.

Een of twee registers voor het verwerken van gegevens?

Alle verwerkingen van persoonsgegevens moeten geregistreerd worden. In dit register moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, en hoe deze gegevens beveiligd worden. Het gaat bijvoorbeeld ook om klantnummers of personeelsnummers op een brief. Als een facilitair contactcenter gegevens voor eigen doeleinden verwerkt, bijvoorbeeld het analyseren van gesprekken of berichten om de effectiviteit van de geboden service aan de klanten te kunnen meten en verbeteren, is het contactcenter als ‘verwerkingsverantwoordelijke’ aan te merken.

Maar als een facilitair contactcenter gegevens verwerkt volgens een opdracht van een opdrachtgever, is het klantcontactcentrum aan te merken als ‘verwerker’. Aangezien het voor de hand ligt dat facilitairen op beide fronten actief zijn, zijn er in dit geval twee registers nodig: een voor de situaties waarin een organisatie verantwoordelijke is, en een voor de situaties waarin zij bewerker is.

Waar slaat een facilitair contactcenter gegevens van uw klanten op?

Er moeten verwerkersovereenkomsten tussen het facilitair contactcenter en de opdrachtgever worden gesloten over de omgang met persoonsgegevens. Als je als organisatie het klantcontact uitbesteedt aan een facilitair contactcenter, en dit facilitair contactcenter slaat op haar beurt deze gegevens op bij een ander bedrijf, dan moet het facilitaire contactcenter hiervoor eerst toestemming van jouw organisatie krijgen. Het zou bijvoorbeeld kunnen gaan om een facilitair contactcenter dat gegevens opslaat bij een cloudprovider zoals Salesforce of Amazon.

Heeft u al een privacy officer?

Een privacy officer, ofwel functionaris voor de gegevensbescherming (FG), is een onafhankelijk persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Deze is verplicht wanneer u op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als u structureel mensen observeert (fysiek of digitaal).

Een privacy officer kan intern aangesteld worden, maar mag ook iemand zijn die extern aangesteld wordt, het mag zelfs een virtuele privacy officer zijn. Een privacy officer is niet meteen noodzakelijk als er teams op afstand worden aangestuurd (denk aan work from home); in dit geval is de werkwijze niet als ‘structureel observeren’ te zien omdat dit niet de hoofdtaak van het betreffende bedrijf is. Een privacy officer is in dit voorbeeld dus niet verplicht.

Weggooien als het kan

De strekking van de nieuwe privacywet is dat u het minimale aan persoonsgegevens onder u heeft. U moet dus actief informatie ‘weggooien’ wanneer deze niet meer relevant is – en u moet beleid hebben dat bepaalt wanneer iets wel of niet relevant is, en hoe het weggooien dan veilig wordt gerealiseerd.

Wanneer een contactcenter kan onderbouwen dat historische data cruciaal zijn voor de dienstverlening, dan kunnen deze data gebruikt worden. Historische data van iemand die bijvoorbeeld al jaren geen klant meer is, is echter niet meer noodzakelijk en mag dus niet gebruikt worden.

Wanneer gesprekken worden opgenomen, dient dit voordat het opnemen begint te worden gemeld. De opnames mogen niet worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld. Let op: weggooien betekent niet altijd dat de gegevens ook écht weg zijn. Draag er zorg voor dat gegevens definitief worden verwijderd, en niet nog ergens blijven rondzweven in de organisatie.

Export van persoonlijke informatie moet kunnen

Heeft u online diensten waarin klanten persoonsgegevens kunnen opslaan? Dan moeten zij in staat zijn al hun informatie te kunnen exporteren in een standaardformaat, zodat zij die naar een andere organisatie kunnen overdragen. Dit noemt men ook wel het recht op dataportabiliteit. Denk aan downloaden van foto’s, socialmediaberichten of forumbijdragen. Het gaat hierbij om alle persoonsgegevens die verwerkt worden van klanten, dus ook bijvoorbeeld in forumprofielen, mijn-pagina’s of gebruikersportals. De klanten hebben het recht de gegevens over te laten dragen naar een andere organisatie, wanneer dit technisch mogelijk is.

Voorbereiden is verstandig

De AVG bevat bepalingen over privacy by design, over adequate beveiliging, over het opnieuw en uitvoerig publiceren van het privacybeleid (wie mag wat doen met welke persoonsgegevens) en over het in staat zijn goed te handelen bij verzoeken om gegevens van klanten te wissen of wijzigen. De vraag is of uw organisatie op tijd klaar is om verzoeken over persoonsgegevens binnen een maand (de voorgeschreven termijn) en kosteloos af te handelen. Hoe ga je dit proces inrichten?

En voor wie straks de fout in gaat…

De maximale boete per overtreding van de huidige privacywet is nu 900.000 euro. Dit verandert met de komst van de AVG naar maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Bovendien komt er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG. In plaats van een boete te betalen kunt u natuurlijk ook investeren in customer service.

Dit artikel is eerder gepubliceerd bij klantcontact.

 

ICTRecht Academy

Onze juridische trainingen geven u en uw organisatie een goede voorbereiding op (naderende) privacywetgeving. Wij verzorgen praktische (PO-)trainingen voor advocaten, juristen en algemeen publiek.

 

Lisette Chew-Meij

Juridisch adviseur & Manager privacy

Lisette Chew-Meij is manager privacy en juridisch adviseur bij ICTRecht. Lisette houdt zich bezig met alle juridische aspecten rondom privacy en Big Data. Zij is lid van the International Association of Privacy Professionals (IAPP), Certified Information Privacy Professional/Europe en United States (CIPP/E en CIPP/US), Certified Information Privacy Manager (CIPM) én Certified Information Privacy Technologist (CIPT).

 


Er zijn 3 reacties

  1. Hoe zit het eigenlijk met vrijwel alle organisaties met een website, mailserver en trackerdiensten van derden (zoals Google Analytics) geïntegreerd?

    IP adressen worden veelal standaard al gelogd:
    – in de mailserver
    – in de webserver
    – bij derden (Google Analytics).

    Volgens mij zijn er voor elk van bovenstaande omgevingen, 3 scenario’s mogelijk:
    1) De organisatie heeft de omgeving zelf volledig in beheer (op locatie). Organisatie is zowel verwerker als bewerker.
    2) De organisatie heeft de omgeving uitbesteed aan een derde (faciliterend) partij, maar wel volledige toegang tot de gegevens.
    3) De organisatie heeft de omgeving uitbesteed aan een derde (faciliterend) partij, en beperkte zeggenschap/controle over de gegevens.

    Scenario 3 lijkt mij van toepassing op Google Analytics; GA slaat gegevens op, zonder dat de organisatie directe controle heeft over deze gegevens. Organisaties hebben niet eens directe toegang tot de IP gegevens zoals opgeslagen door GA. De organisatie kan m.i. dan ook geen gehoor geven aan verzoeken tot verwijdering van de gegevens.

    Daarnaast, als nu alle IP adressen standaard als persoonsgegevens worden gezien, betekent dit dan niet dat praktisch iedereen persoonsgegevens verwerkt, en er door de nieuwe wet nu massaal bewerkersovereenkomsten worden afgesloten? Want ook een consument met een internetaansluiting heeft wel een modem of router (of computer) staan die connecterende IP adressen logt.

  2. Beste Norman Rice,

    Dank voor bovenstaande reactie! Het klopt dat nu in de AVG is opgenomen dat online identificatoren (zoals een IP-adres) ook persoonsgegevens zijn, de term persoonsgegeven breed is geworden. Daarbij wel de toevoeging dat IP-adres momenteel ook al als persoonsgegeven wordt gezien, maar de AVG in ieder geval een einde aan de discussie maakt.

    Op het moment dat je een partij zoals Google inschakelt voor Google Analytics, dan is Google de bewerker, en ben jij als afnemer de verantwoordelijke. Dit houdt dus inderdaad in dat je een bewerkersovereenkomst met Google dient te sluiten. Als we verder gaan op het voorbeeld met Google: Google biedt standaard een modelcontract (standaard bewerkersovereenkomst voor het verwerken van gegevens buiten de EU) aan die gesloten kan worden.

    Consumenten zullen echter geen bewerkersovereenkomsten hoeven te sluiten voor zover het gebruik van persoonsgegevens ziet op huishoudelijk gebruik, hier wordt namelijk een uitzondering voor gemaakt in de wet. Privacyregels zijn niet van toepassing op huishoudelijk gebruik.

    Hopelijk is het zo iets duidelijker!

  3. Lisette, Dank voor het goeie heldere artikel. Ik vroeg me af of er nog onderscheid was tussen IP adressen die frequent wisselen of anoniem worden uitgegeven (en dus niet herleidbaar zijn tot natuurlijke personen) en IP adressen met een duidelijke heldere binding.

    Voorbeeld: het IP wat ik gekoppeld krijg thuis van een ISP en het IP wat mijn smartphone krijgt bij een open wifi hotspot.

    Dank!!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *