De nieuwe Europese privacywet, die binnen twee jaar overal geldt, geeft regels op het gebied van compliance. Organisaties moeten kunnen aantonen dat zij verantwoord omgaan met data. Zo moeten bedrijven een privacybeleid opstellen, een protocol datalekken implementeren en met alle bewerkers een bewerkersovereenkomst afsluiten. De effectiviteit van het beleid moet getoetst worden en sommige bedrijven moeten verplicht een Privacy Officer aanstellen. Dit alles op laste van een boete van maximaal € 20 miljoen of 4% van de wereldwijde omzet. Daar is inmiddels genoeg over geschreven. Maar welke implicaties hebben de nieuwe regels nu specifiek voor klantcontact en hoe speel je hier op in?

• Inventariseer welke gegevens je nodig hebt

Organisaties willen klanten kennen om ze beter van dienst te zijn. Dus mogen zij van de nieuwe privacywet aankoop- en contacthistorie bijhouden. Dit is echter geen vrijbrief voor ongebreideld datagraaien. Als een klant vertelt dat hij tuinieren als hobby heeft, moet een klantcontactmedewerker zich afvragen of dit gegeven bijdraagt aan het verbeteren van de dienstverlening. Dit geldt in grotere mate voor het vastleggen van aandoeningen, ziektes, pijntjes en psychische of alledaagse problemen. Als dezelfde dienst zonder deze gegevens kan worden verleend, mogen ze niet worden vastgelegd. Dataminimalisatie heet dit principe. Bedrijven moeten in kaart brengen en vastleggen welke gegevens zij in het kader van klantcontact vastleggen en voor hoe lang dit noodzakelijk is. Dat dit van belang is, blijkt onder meer uit het rapport dat de Autoriteit Persoonsgegevens (AP) schreef over het cookiebeleid van de publieke omroep. De NPO gaf aan een bepaald tracking cookie te gebruiken voor het meten van publieksbereik. Maar volgens de AP kon dit ook op een privacyvriendelijkere manier worden gemeten.

• Bedenk hoe je instant messaging en social media inzet

De meeste instant messaging en social media platformen komen uit de VS. Met het vervallen van de Safe Harborregeling mochten Europese organisaties geen data meer uitwisselen met de VS. Inmiddels is er een nieuwe regeling ‘op proef’. Desondanks moeten organisaties nadenken hoe zij deze diensten inzetten voor klantcontact. Bij voorkeur niet voor het uitwisselen van financiële of medische gegevens. Recent raadde de Autoriteit Persoonsgegevens het gebruik van WhatsApp door artsen nog af. Dit betekent niet dat WhatsApp niet gebruikt kan worden voor appcare in de zorg. Het Albert Schweitzer Ziekenhuis bijvoorbeeld geeft duidelijk aan WhatsApp alleen te gebruiken voor logistieke vragen, maar niet voor diagnoses etc. Een dergelijke disclaimer is een must. Vergeet bovendien niet aan te geven dat chatgesprekken (of delen daarvan) bewaard kunnen worden en voor hoe lang. Dit geldt eveneens voor video. Deze melding moet sowieso in het privacystatement staan en misschien ook tijdens het gesprek worden gedaan. Om de privacydiscussie te vermijden, kun je zoals Centraal Beheer een eigen messagingplatform bouwen. De ervaring leert echter dat het niet meevalt om een dergelijk project snel op de IT-roadmap te krijgen.

• Geef medewerkers gedegen privacytraining

Het is belangrijk dat klantcontactmedewerkers weten welke gegevens zij mogen vragen via welke kanalen en welke gegevens zij vertrouwelijk moeten behandelen. Ook moeten zij klanten op weg kunnen helpen bij eventuele privacyvragen. Het trainen van medewerkers is één van de maatregelen die de Autoriteit Persoonsgegevens noodzakelijk vindt. Daarbij moet expliciet aandacht worden besteed aan de omgang met bijzondere of anderszins gevoelige persoonsgegevens, zoals medische gegevens of gegevens over etniciteit en geloof.

• Oefen een datalek

Een datalek voorkomen is onmogelijk. Daarentegen moet een organisatie moet wel maatregelen nemen om het optreden van een lek te managen. In Nederland kennen we sinds januari een brede meldplicht datalekken. Die zegt dat als er bij een datalek kans is op privacyschending van consumenten, deze gemeld moet worden bij de AP en in voorkomende gevallen ook aan de mensen in het getroffen bestand. In zo’n situatie is het belangrijk dat organisaties communicatiebeslissingen nemen die de schade kunnen beperken. Klantcontactmedewerkers kunnen hier een waardevolle rol spelen. Zorg voor een gratis telefoonnummer en publiceer relevante informatie op het internet.

In een interview met IIR, benadrukt André Beerten, Security Officer van het Groene Hart Ziekenhuis, het belang van voorbereiding: “In ons geval zijn twee elementen cruciaal gebleken voor de manier waarop wij als ziekenhuis uit de crisis zijn gekomen (in 2012 werden dossiers van het ziekenhuis gehackt, -red.). Het eerste is voorbereiding. En daarmee bedoel ik echt oefenen. Niet een voorbereiding op een papiertje of in een klasje, maar echt voelen wat het is om een crisis mee te maken. Een klein kringetje van betrokkenen laten ervaren hoe ze de controle verliezen en worden afgeslacht door de media en publieke opinie. Dat kun je maar op één manier doen: een mediateam simuleren en een groep social media gebruikers laten twitteren en facebooken over jouw datalek.” Het tweede element is communicatie.

Een implementatieperiode van twee jaar voor de nieuwe privacyregels lijkt lang, maar vliegt voorbij. Grote organisaties geven al aan dat zij meer tijd nodig hebben om alle wijzigen door te voeren en de privacyadministratie in te richten. Met bovenstaande tips kunnen klantcontactprofessionals zelf inventariseren hoe zij privacy borgen op de werkvloer.

Tekst: Jitty van Doodewaerd, compliance auditor DMCC Nederland