AVG voor klantcontact in 2 sessies, 8 vragen en veel antwoorden

13 en 20 maart, Amersfoort en Nieuwegein, ContactCare en EDM, Herwin Roerdink (Vondst Advocaten) en Juliette van Balen (IP Advocaten)

Persoonlijke levenssfeer

Eerbiediging van de persoonlijke levenssfeer en bescherming van persoonsgegevens staan hoog in het vaandel van de EU. De nieuwe Algemene Verordening Gegevensbescherming (AVG/GDPR) heeft als doel vrij verkeer van data binnen de EU te bevorderen en een goede bescherming van de persoonsgegevens van inwoners te waarborgen. Op 25 mei 2018 vervalt de Wet bescherming persoonsgegevens (Wbp), de AVG komt ervoor in de plaats. Burgers hebben nog steeds dezelfde rechten, ze zijn in de AVG meer uitgekristalliseerd.

Impact

De AVG heeft impact op alle afdelingen in de organisatie: marketing wil van alles, IT kan van alles, legal weet van alles, maar wil geen risico lopen. In principe mag je alles met data, je moet het alleen wel vertellen. Welke gegevens heb je, waarom, wat doe je ermee, hoe lang bewaar je ze? De consument heeft in veel gevallen het recht om zijn toestemming voor jouw verwerking in te trekken. Je moet altijd gehoor geven aan dit recht van verzet, ook als je een gerechtvaardigd belang hebt om de gegevens te verwerken.

Gezond verstand

Gebruik vooral je gezond verstand bij het bewaren en gebruiken van gegevens van personen (zowel personeel als consument). Stel jezelf de vraag welke gegevens noodzakelijk zijn voor de uitvoering van een contract. Vraag er niet meer, bewaar er niet meer, gebruik er niet meer, gebruik ze niet voor een ander doel dan waarvoor je ze gevraagd hebt. Dit is dataminimalisatie.

Gevoelige gegevens

Persoonsgegevens zijn gevoelig en die mag je niet zomaar vragen en bewaren. Als er een speciale reden (grondslag) voor is, mag je in sommige gevallen ook gevoelige persoonsgegevens verwerken. Je moet dan bijzondere bescherming bieden om ervoor te zorgen dat deze gegevens niet in handen komen van iemand die er niet bij zou moeten kunnen. Laat bijvoorbeeld klantdossiers niet openstaan op een pc, vergrendel het scherm als je van je werkplek gaat, voorzie je smartphone van een code. Leg vast wie bij welke gegevens kan, waarom  en welke rechten hij heeft voor verwerking en welke verwerkingen er worden verricht. Dit is de documentatieplicht, het verwerkingsregister.

Vraag door

Consumenten hebben onder de AVG het recht op vergetelheid, dat betekent dat ze volledig uit je bestanden verwijderd moeten worden. Dat kan een hele operatie zijn en het is nog niet duidelijk hoe ver je daar als bedrijf in moet gaan. Gegevens van een bestaande klant kunnen niet gewist worden, omdat er dan niet aan contractuele verplichtingen voldaan kan worden. Is iemand klant af en wil hij niet meer benaderd worden, vraag dan door: wil hij niet meer benaderd worden voor marketingdoeleinden of wil hij helemaal uit alle systemen worden verwijderd? Moeten de gegevens ook uit de back-ups, uit de historische data waarop forecasts worden gemaakt? Is anonimisering voldoende of moeten echt alle gegevens overal verdwijnen?

Onzekerheid

Dezelfde onzekerheid is er nog over dataportabiliteit. De consument kan vragen om al zijn gegevens, klanthistorie, over te dragen aan een andere leverancier. Moet je dan alles overdragen? Moet je de gegevens dan verwijderen? Uit alle systemen? Als je verwerking hebt uitbesteed, maak dan afspraken met je leverancier over hoe de kosten hiervoor worden verdeeld.

Volledig verdwijnen

Ongetwijfeld zullen daar op termijn uitspraken over komen, als consumenten hun rechten gaan uitoefenen en de eerste bedrijven ermee te maken krijgen. Het is altijd raadzaam om aan de klant te vragen wat hij nu eigenlijk echt wil en waarmee hij tevreden is. Volledig verdwijnen uit de systemen kan namelijk als consequentie hebben dat een bedrijf niet meer heeft geregistreerd dat de consument in kwestie niet wil worden benaderd voor marketingdoeleinden. Bij een nieuwe campagne kan die consument dus weer in een bestand voorkomen. Hem eruit filteren was niet mogelijk…

Consumentenorganisaties en ACM zullen zeer waarschijnlijk voorbeeldformulieren, -brieven en -mails beschikbaar stellen om consumenten te helpen hun rechten uit te oefenen. Het is goed om daarop in te spelen.

Alert op klagers

De Autoriteit Persoonsgegevens (AP) is nu de handhaver van de Wbp en gaat straks de AVG handhaven. De verwachting is dat er eerst grote namen met veel impact worden onderzocht en beboet. Maar wees alert op klagers: meldingen bij de AP tellen op en kunnen aanleiding zijn voor onderzoek. Het is belangrijk dat medewerkers klachten snel herkennen en ernaar handelen.

Vragen en antwoorden

Wat doe ik met data van klanttevredenheidsonderzoeken?

  • De gegevens zijn gerelateerd aan een persoon en daarom vallen ze onder de maatregelen. De AP zegt dat versleuteling niet voldoende is, ook al zou je heel veel rekenkracht nodig hebben om de gegevens terug te leiden. Geaggregeerde data zijn geen persoonsgegevens. Voor medewerkertevredenheidsonderzoeken geldt hetzelfde; er is geen onderscheid tussen persoonsgegevens van medewerkers en consumenten. In het personeelshandboek moet het omgaan met persoonsgegevens vermeld staan, medewerkers moeten erop getraind worden.

Welke ID-check moet ik aan de telefoon doen?

  • Identificatie is sterk afhankelijk van de soort dienstverlening, afhankelijk van de gevoeligheid van de gegevens en van de gegevens die worden gevraagd door de beller. Stel hier zelf een protocol voor op.

Medewerkers klantcontact weten nu nog niet wat te zeggen over de AVG

  • Zorg voor een duidelijk beleid dat bij alle medewerkers bekend is.
  • Zorg voor een leesbaar privacystatement voor de consument. (Dat van Apple is langer dan Shakespeares Macbeth en minder goed leesbaar; doe dat niet na.) Wie goed geïnformeerd is, raakt minder snel gefrustreerd over regels en (on)mogelijkheden.
  • Geef medewerkers basiskennis van de rechten van de consument en instructies hoe ze om moeten gaan met verzoeken en met klachten. Toets ze na de training en monitor de kwaliteit in de praktijk.
  • Een checklist en begrippenlijst zijn handig, ook voor de bewustwording.
  • Zorg eventueel voor een tweede lijn of een afdeling die de verzoeken afhandelt.
  • Let op: verwijzen naar het klantportaal/de mijnomgeving is niet voldoende als een klant inzage vraagt in de gegevens die je over hem bewaart. Daaronder vallen ook gegevens van klanttevredenheidsonderzoek, gespreksnotities, welke gegevens je verstrekt aan derden en wat je doet aan profilering.

Wat doe ik bij een datalek?

  • Schat in wat de impact zal zijn en motiveer daarna of je wel of niet meldt bij de AP. Zorg dat je verwerker of opdrachtgever snel op de hoogte is.
  • Houd in een register ieder incident bij, ook als je het niet meldt aan de AP. Als de AP later bij je aankomt, kun je verantwoorden wat je hebt gedaan.
  • Het incidentenregister biedt overzicht. Gebruik het voor verbeteringen in je privacybeleid en maatregelen.

Wat is een verwerkersovereenkomst?

  • De verantwoordelijke voor de verwerking is degene die de gegevens verwerkt of opdracht geeft om ze te verwerken. Als hij verwerking uitbesteedt aan een andere partij, moeten ze samen een overeenkomst tekenen. Ze zijn beide verantwoordelijk voor goede gegevensbescherming.
  • Als leverancier is het raadzaam om zelf een standaard overeenkomst op te stellen voor je opdrachtgevers, met je eigen voorwaarden. Dat voorkomt dat opdrachtgevers met eigen en soms tegenstrijdige voorwaarden komen.
  • Soms start een opdracht voordat de uiteindelijke overeenkomst is getekend. In dat geval is een eerste versie van de overeenkomst voorzien van commentaar al bewijs dat er aan de verantwoordelijkheden zal worden voldaan.
  • Een verantwoordelijke kan een audit (laten) doen bij een leverancier. Er is geen kwaliteitsvereiste gesteld aan auditors. Stel daarom zelf de eis dat het een onafhankelijke en deskundige is. Je kunt bijvoorbeeld eisen dat er alleen een registeraccountant mag komen auditen. Die is zo kostbaar dat de verantwoordelijke die alleen inschakelt als hij vermoedt dat er iets ernstig mis is.

Moet ik een Functionaris Gegevensbescherming (FG of DPO) aanstellen?

  • De FG is eigenlijk een vooruitgeschoven post van de AP, het is de interne controleur van je gegevensbescherming. Er zijn richtlijnen voor welke organisaties een FG verplicht is. Iemand inhuren kan ook.
  • Een directielid kan nooit de FG zijn. Hij moet onafhankelijk zijn van de operatie en het beleid om advies over gegevensbescherming te kunnen geven.

Hoe krijg ik in beeld waar ik data heb staan?

  • Teken het uit. Waar komt data vandaan, waar gaat het naartoe, wie doet dat? Je krijgt dan echt je hele datastroom in een plaatje.

Hoe weet ik bij het opstellen van een verwerkingsregister wie bij welke data kan en mag en waarom?

  • Ga praten met ITsecurity. Vaak hebben zij al rechten voor systemen vastgelegd en dan heb je al een goed begin van je verwerkingsregister. Houd er wel rekening mee dat privacy en security twee verschillende dingen zijn.

Tip: simuleer een datalek

  • Bekijk wat er gebeurt en wie er handelen
  • Controleer of je bestaande beleid voldoet
  • Pas het aan waar nodig

Geruststelling

100% compliant lukt niemand. Je hebt een inspanningsverplichting om je processen rondom gegevensbescherming op orde te brengen en documenten te overleggen.

Dit verslag is geschreven voor de KSF en is uitsluitend bedoeld als algemene informatie en er kunnen geen rechten aan worden ontleend.