AVG en de klantenservice afdeling
Het is bijna zover
Hoe ga je om met de persoonsgegevens waarmee de klantenservice afdeling elke dag te maken heeft? Want vanaf 25 mei dit jaar is de Algemene verordening gegevensbescherming (AVG) van toepassing. Deze verordening brengt nieuwe verplichtingen ten opzichte van de huidige privacywetgeving. Op het internet zijn al veel artikelen met algemene informatie te vinden, deze pagina vond ik bijvoorbeeld een goede informatiebron.
Met dit artikel wilde ik wat anders doen en vooral een aantal praktijktoepassingen delen voor de communicatie met klanten. Want, bijna elke klantenservice-afdeling heeft nu eenmaal te maken met waar de privacyregels op toezien: persoonsgegevens zoals een naam, email-adres, telefoonnummer. Daarom deel ik graag drie voorbeelden van praktijktoepassingen waar wij recent aan hebben gewerkt:
Voorbeeld 1: Het recht om vergeten te worden
Klantenservice afdelingen communiceren over veel meer kanalen dan ooit tevoren en ons platform maakt het mogelijk om alles overzichtelijk in één scherm aan te bieden. Enerzijds kunnen we de data vanuit alle kanalen op één centraal scherm integreren, anderzijds stelt ons dat in staat om alle data van de klant ook in één te keer verwijderen.
Als tip: Denk ook na hoe voor dit recht omgegaan wordt met data backups. Stel bijvoorbeeld bewaartermijnen vast die niet langer zijn dan operationeel noodzakelijk.
Voorbeeld 2: Het recht op dataportabiliteit
Als je als persoon wilt dat al jouw gegevens overgedragen moeten worden aan een andere partij dan heb je daar binnen de AVG recht op. Het exporteren van de Omnidesk CRM data voor een afdeling van een andere partij is met Omnidesk mogelijk. De Autoriteit Persoonsgegevens formuleert dit recht als volgt:
“Het recht op dataportabiliteit (overdraagbaarheid van gegevens) houdt in dat de betrokkene het recht heeft de persoonsgegevens die hij aan een verantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machine leesbare vorm te ontvangen en deze aan een andere verantwoordelijke over te dragen”
Voorbeeld 3: Bewaartermijnen – periodiek opruimen
Positief bekeken moet je eigenlijk niets willen bewaren als je het toch nooit meer gaat gebruiken. Dan blijft alles gewoon lekker overzichtelijk, makkelijker en eenvoudiger. Daarvoor kunnen (automatische) processen gemaakt worden om bijvoorbeeld afgehandelde tickets na een bepaalde periode volledig te verwijderen. Berichten waarin afspraken of overeenkomsten met de klant zijn gemaakt en die wél bewaard moeten blijven kunnen gemarkeerd worden.
Dataminimalisatie is eigenlijk helemaal zo gek nog niet en geeft rust en ruimte in het verbeteren van klantcommunicatie. Als organisaties niet het doel kunnen aantonen voor het bewaren van de privacy gevoelige data, dan zullen zij het volgens de AVG regelgeving moeten verwijderen.
Uitdagingen met data buiten de EU
Als laatste wil ik verwijzen naar de uitdaging die geldt voor data die wordt verwerkt door partijen die gevestigd zijn buiten de EU (niet alleen de locatie van de dataopslag). Soms zijn dit leveranciers, soms zijn dit contactkanalen die worden gebruikt (zoals facebook). Zie voor dit laatste mijn vorige blog.
De hoofdregel is dat data alleen mag worden doorgegeven naar landen buiten de EU met een passend beschermingsniveau. Amerika wordt bijvoorbeeld niet aangemerkt als een land met een passend beschermingsniveau. Uitwegen voor dit onvoldoende beschermingsniveau zijn er wel zoals het privacy shield. Het is alleen moeilijk te zeggen hoe lang dit stand houdt, zie bijvoorbeeld dit artikel.
De vorige bescherming (Safe Harbour) werd namelijk nog niet zo lang geleden onvoldoende verklaard door het Europees Hof van Justitie, waarna grote onduidelijkheid ontstond. Voor de zekerheid hebben wij er daarom voor gekozen alleen diensten (zoals hosting) af te nemen bij Nederlandse partijen.
Verder in gesprek?
Goed omgaan met privacy gevoelige data moet je doen met de intentie hoe je zelf ook behandeld zou willen worden. Natuurlijk sta ik ervoor open om met je over dit onderwerp door te praten.
Belangrijk voor nu is vooral om stappen te zetten. Indien er iets mis gaat, want dat kan altijd, zal je vanaf 25 mei aantoonbaar moeten maken dat je maatregelen getroffen hebt om persoonlijke gegevens volgens de nieuwe AVG richtlijnen te beschermen.