Administratieplicht
De nieuwe AVG heeft voor elke organisatie – van groot tot klein – die data registreert en/of verwerkt ingrijpende gevolgen. In feite wordt iedere organisatie verplicht om naast een financiële administratie ook een privacy-administratie in te richten. Hiermee moet altijd kunnen worden verantwoord hoe er met persoonsgegevens wordt omgegaan. Een onderdeel hiervan is het bijhouden van een zogenoemd verwerkingenregister. Van Doodewaerd: “Er moet een overzicht komen van welke data, via welke bronnen, in welke systemen worden verzameld, wie hierbij kan, en hoe de beveiliging is ingericht. Daarnaast moet je aangeven welke organisaties in jouw opdracht data verwerken; denk bijvoorbeeld aan een administratiekantoor of een online bureau.”

Nieuwe media zijn blinde vlek
Het bedrijfsleven heeft het afgelopen jaar grote stappen gemaakt met implementatie van de AVG. Fundamentele bedrijfsprocessen als HR, CRM, IT, finance en marketing & sales zijn geïnventariseerd en gedocumenteerd en waar nodig zijn aanvullende beheersmaatregelen getroffen. De risico’s zitten nu veelal juist bij stand alone-toepassingen, zeker als die een direct touchpoint met de klant inhouden. “Hier zit voor veel organisaties een gevaarlijke blinde vlek. In hun inventarisaties en beleid vergeten ze vaak de inzet van WhatsApp, het gebruik van custom audiences, het maken van audience-profielen op basis van retargettingcookies, of de opslag van gegevens op een belplatform omdat zij simpelweg niet op de hoogte zijn van de inzet van deze kanalen. Organisaties doen er goed aan deze touchpoints nog eens te bekijken. De business mag daar ook best een beetje assertief in zijn.”

Niet onwil maar onwetendheid als oorzaak
Die blinde vlek zien we pijnlijk terug in de recente publicaties van de Consumentenbond, bijvoorbeeld over de inzet van Custom Audience diensten of het gebruik van cookies door het bedrijfsleven. Bij Facebook Custom Audiences (maar ook Twitter tailored audiences of Google customer match) geeft een organisatie haar klantbestand aan een social media platform. Het platform  bekijkt wie van het bestand ook een Facebook-profiel heeft. Deze mensen vormen dan een ‘aangepaste doelgroep’, die een organisatie kan benaderen met gerichte informatie of juist kan uitsluiten voor Facebook-advertenties. De Consumentenbond zegt dat klanten niet geïnformeerd worden over het gebruik van hun e-mailadres voor dit doel. En dat dat tegen de regels is. Het leidde zelfs tot Kamervragen. “Veel organisaties zijn zich rot geschrokken”, zegt Van Doodewaerd hierover. “Sommigen hadden geen idee van de inzet van deze kanalen.  Ze vertrouwen vaak op externen die hun site bouwen of online marketinginkoop doen. Privacy staat dan niet of nauwelijks op de radar.”

Autoriteit Persoonsgegevens waarschuwt: ‘Fout is fout’
Naast publieke exposure loert ook nog altijd het gevaar van een boete. En ook hier richt men de pijlen op nieuwe media. ‘Dit kan heel vervelend worden voor bedrijven’, waarschuwde Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), juni 2017 in het FD. Hij doelde op het feit dat de AP vanaf mei aanstaande sneller hogere boetes zal uitdelen. Afgelopen jaar legde de autoriteit een voorwaardelijke boete op aan Facebook, dat gebruikers niet genoeg informatie geeft over het gebruik van (soms gevoelige) persoonlijke informatie. Dat voorlopige karakter van een boete verdwijnt. “Fout is fout”, aldus Wolfsen. “We willen dat bedrijven de privacywet respecteren.”

Breng je touchpoints in kaart
“Stilzitten en afwachten is dus geen optie”, waarschuwt Van Doodewaerd. De AVG geldt voor iedereen. Organisaties moeten hun klantcontacttouchpoints nog eens goed in kaart brengen. Zet je custom audience-diensten in? Gebruik je retargettingcookies? Of instant messaging via Messenger of WhatsApp? Sla je die gegevens op? Slaat de beheerder van de applicatie die gegevens op? Hoe informeer je bezoekers hierover en welke informatie verzamel je? Is de verwerking van persoonsgegevens met het medium legaal en proportioneel? En welke beveiligingsmaatregelen zijn er getroffen? Maak een inventarisatie en geef aan hoe je per touchpoint privacy waarborgt. Maak de business onderdeel van het proces. Dan heb je in mei geen papieren tijger, maar een efficiënt en geborgd stel maatregelen voor de klantcontactpraktijk.

Tekst: Jitty van Doodewaerd, senior privacy consultant bij DMCC Nederland