Is customer service al klaar voor de nieuwe privacywet AVG/GDPR?

In contactcenters wordt een hoop gepraat met klanten. Veel van de conversaties (gesprekken, chatsessies, e-mails) worden opgeslagen. Dat geldt ook voor data over transacties: wat consumenten kopen, hoe ze diensten gebruiken, wat ze betalen en steeds vaker ook: waar ze zich bevinden, wat ze zeggen en wat ze leuk vinden.

Vanaf 25 mei 2018 moet ook uw organisatie voldoen aan de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG, ook bekend als GDPR). Wat gaat er veranderen en wat is met name relevant voor customerservice-afdelingen en contactcenters?

Persoonsgegevens: begrip wordt opgerekt

In de nieuwe wet verandert het begrip ‘persoonsgegevens’. Naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens als IP-adressen, MAC- adressen, cookies en dergelijke definitief onder de wet. In klantcontact worden adres- en contactgegevens zoals NAW, telefoonnummers en e-mailadressen opgeslagen. Bij klantcontact draait het ook om de cookies die middels een website (bijvoorbeeld via de chatfunctie), of een systeem worden opgeslagen.

De privacyverklaring wordt nog belangrijker

De privacyverklaring die u hanteert moet in eenvoudige taal precies en volledig uitleggen wat u doet met persoonsgegevens. Ook moet u mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, inzien of zelfs laten vernietigen. Bouwt u interesseprofielen op, dan moeten die op verzoek kunnen worden verwijderd. Een klant kan bij u aankloppen om letterlijk zijn/haar opgeslagen klantgegevens te mogen inzien. Daarom is het belangrijk dat de organisatie weet welke gegevens men daadwerkelijk over iemand verwerkt.

Op het moment dat een klant niet meer geïnteresseerd is in de diensten van een aanbieder, kan de klant vragen om verwijdering van de gegevens. Omdat een webshop wettelijk verplicht is bepaalde gegevens voor een termijn van zeven jaar te bewaren voor de Belastingdienst, slaat het recht van de klant niet direct op alle gegevens. De webshop zal op dat moment dan alleen de niet noodzakelijke gegevens moeten verwijderen.

Hoe de klant zo’n verwijderingsverzoek moet doen, dient in de privacyverklaring te zijn beschreven. Bijvoorbeeld door een e-mailadres of telefoonnummer te vermelden waarbij een klant met dergelijke verzoeken terechtkan. Indien de gegevens van de klant digitaal zijn verzameld, moeten verzoeken ook digitaal ingediend kunnen worden. Het volstaat dan niet om aan te geven dat ze een brief moeten sturen Het kan handig zijn om een apart e-mailadres hiervoor aan te maken zoals privacy@… en een apart contactpersoon hiervoor aan te wijzen. Zo weet je als organisatie zeker dat de communicatie naar de klant consistent zal zijn.

De plicht om datalekken te melden wordt uitgebreid

Volgens de huidige privacywet hoeft u alleen datalekken bij te houden wanneer u ze ook moet melden aan de toezichthouder. Volgens de nieuwe AVG moeten alle datalekken bijgehouden worden, en zal een contactcenter een datalek ook aan zijn opdrachtgever melden (iets wat op dit moment al van toepassing is).

Hierover moet de opdrachtgever afspraken maken met de contactcenters. Dit kan gedaan worden in een bewerkersovereenkomst (onder de AVG verwerkersovereenkomst genoemd). Het maken van goede afspraken is erg belangrijk zodat de opdrachtgever de termijn waarbinnen een datalek moet worden gemeld aan de toezichthouder (72 uur) kan halen, en er afgesproken wordt wie de toezichthouder en/of de slachtoffers benadert.

Een of twee registers voor het verwerken van gegevens?

Alle verwerkingen van persoonsgegevens moeten geregistreerd worden. In dit register moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, en hoe deze gegevens beveiligd worden. Het gaat bijvoorbeeld ook om klantnummers of personeelsnummers op een brief. Als een facilitair contactcenter gegevens voor eigen doeleinden verwerkt, bijvoorbeeld het analyseren van gesprekken of berichten om de effectiviteit van de geboden service aan de klanten te kunnen meten en verbeteren, is het contactcenter als ‘verwerkingsverantwoordelijke’ aan te merken.

Maar als een facilitair contactcenter gegevens verwerkt volgens een opdracht van een opdrachtgever, is het klantcontactcentrum aan te merken als ‘verwerker’. Aangezien het voor de hand ligt dat facilitairen op beide fronten actief zijn, zijn er in dit geval twee registers nodig: een voor de situaties waarin een organisatie verantwoordelijke is, en een voor de situaties waarin zij bewerker is.

Waar slaat een facilitair contactcenter gegevens van uw klanten op?

Er moeten verwerkersovereenkomsten tussen het facilitair contactcenter en de opdrachtgever worden gesloten over de omgang met persoonsgegevens. Als je als organisatie het klantcontact uitbesteedt aan een facilitair contactcenter, en dit facilitair contactcenter slaat op haar beurt deze gegevens op bij een ander bedrijf, dan moet het facilitaire contactcenter hiervoor eerst toestemming van jouw organisatie krijgen. Het zou bijvoorbeeld kunnen gaan om een facilitair contactcenter dat gegevens opslaat bij een cloudprovider zoals Salesforce of Amazon.

Heeft u al een privacy officer?

Een privacy officer, ofwel functionaris voor de gegevensbescherming (FG), is een onafhankelijk persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Deze is verplicht wanneer u op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als u structureel mensen observeert (fysiek of digitaal).

Een privacy officer kan intern aangesteld worden, maar mag ook iemand zijn die extern aangesteld wordt, het mag zelfs een virtuele privacy officer zijn. Een privacy officer is niet meteen noodzakelijk als er teams op afstand worden aangestuurd (denk aan work from home); in dit geval is de werkwijze niet als ‘structureel observeren’ te zien omdat dit niet de hoofdtaak van het betreffende bedrijf is. Een privacy officer is in dit voorbeeld dus niet verplicht.

Weggooien als het kan

De strekking van de nieuwe privacywet is dat u het minimale aan persoonsgegevens onder u heeft. U moet dus actief informatie ‘weggooien’ wanneer deze niet meer relevant is – en u moet beleid hebben dat bepaalt wanneer iets wel of niet relevant is, en hoe het weggooien dan veilig wordt gerealiseerd.

Wanneer een contactcenter kan onderbouwen dat historische data cruciaal zijn voor de dienstverlening, dan kunnen deze data gebruikt worden. Historische data van iemand die bijvoorbeeld al jaren geen klant meer is, is echter niet meer noodzakelijk en mag dus niet gebruikt worden.

Wanneer gesprekken worden opgenomen, dient dit voordat het opnemen begint te worden gemeld. De opnames mogen niet worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld. Let op: weggooien betekent niet altijd dat de gegevens ook écht weg zijn. Draag er zorg voor dat gegevens definitief worden verwijderd, en niet nog ergens blijven rondzweven in de organisatie.

Export van persoonlijke informatie moet kunnen

Heeft u online diensten waarin klanten persoonsgegevens kunnen opslaan? Dan moeten zij in staat zijn al hun informatie te kunnen exporteren in een standaardformaat, zodat zij die naar een andere organisatie kunnen overdragen. Dit noemt men ook wel het recht op dataportabiliteit. Denk aan downloaden van foto’s, socialmediaberichten of forumbijdragen. Het gaat hierbij om alle persoonsgegevens die verwerkt worden van klanten, dus ook bijvoorbeeld in forumprofielen, mijn-pagina’s of gebruikersportals. De klanten hebben het recht de gegevens over te laten dragen naar een andere organisatie, wanneer dit technisch mogelijk is.

Voorbereiden is verstandig

De AVG bevat bepalingen over privacy by design, over adequate beveiliging, over het opnieuw en uitvoerig publiceren van het privacybeleid (wie mag wat doen met welke persoonsgegevens) en over het in staat zijn goed te handelen bij verzoeken om gegevens van klanten te wissen of wijzigen. De vraag is of uw organisatie op tijd klaar is om verzoeken over persoonsgegevens binnen een maand (de voorgeschreven termijn) en kosteloos af te handelen. Hoe ga je dit proces inrichten?

En voor wie straks de fout in gaat...

De maximale boete per overtreding van de huidige privacywet is nu 900.000 euro. Dit verandert met de komst van de AVG naar maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Bovendien komt er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG. In plaats van een boete te betalen kunt u natuurlijk ook investeren in customer service.

Dit artikel is eerder gepubliceerd bij klantcontact.

 

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Terug naar overzicht