GDPR of AVG?
Even voor de duidelijkheid: de GDPR staat voor 'General Data Protection Regulation' en in het Nederlands vertaald is de afkorting AVG en dat staat dan weer voor 'Algemene Verordening Gegevensbescherming'. Het is bijna niet meer te volgen met al die terminologie voor wat in simpele bewoordingen gewoon privacywetgeving heet. Wetgeving ter bescherming van onze privacy is er natuurlijk al, de Wet Bescherming Persoonsgegevens, maar de GDPR gaat wel echt verder en stelt onze privacyrechten nog veel meer centraal. Het recht op inzage, waarbij wij gewoon iedere willekeurige organisatie kunnen vragen welke gegevens zij in hun bestand hebben staan en zij ons daarvan binnen een maand een afschrift moeten geven, bestond ook al onder de Wet Bescherming Persoonsgegevens. Maar het recht om je gegevens te laten wissen bijvoorbeeld, is geheel nieuw. En de nieuwe rechten zijn impactvol voor klantenservices.

Kennis en bewustzijn bij klantcontactmedewerkers is cruciaal
Het contactcenter is hoogstwaarschijnlijk de eerste plek waar een klant naartoe zal gaan om zijn privacyrechten uit te oefenen. Uit recent wereldwijd onderzoek van softwareleverancier Pegasystems blijkt dat 82% van de Europese consumenten zich zal beroepen op het nieuw verworven recht om informatie die organisaties over hen hebben verzameld te kunnen inzien, begrenzen en verwijderen. Ook belangenorganisaties, zoals de Consumentenbond, wijzen consumenten steeds vaker op hun privacyrechten en moedigen hen aan hier gebruik van te maken. Klantenservicemedewerkers moeten dus wel echt precies weten welke rechten consumenten hebben en hoe zij die kunnen inwilligen. Een organisatie is namelijk beboetbaar als, al dan niet onbewust, de rechten van consumenten niet gehonoreerd worden. Daarnaast wordt identificatie van personen steeds belangrijker. Wanneer weet je dat degene die jou een vraag stelt ook degene is aan wie je persoonsgegevens kunt verstrekken? Tevens is het vastleggen van informatie een aandachtspunt; wat mag je wel en niet vastleggen van personen. Het kan lelijke uitdagingen opleveren als dit niet goed geregeld is binnen jouw organisatie en de medewerker niet goed is voorbereid en getraind.

Boulanger wist het niet...
De Franse elektronicawinkel Boulanger is  op de vingers getikt, nadat bekend werd dat medewerkers in het geheim opmerkingen plaatsten bij de klantgegevens die als beledigend kunnen worden ervaren in het computersysteem. In totaal werden door de Franse Autoriteit Persoonsgegevens bijna 6.000, vaak racistische, beledigingen aangetroffen in de klantgegevens . De klantenservicemedewerkers van Boulanger hadden in het CRM-systeem gegevens geregistreerd die beledigend waren, of gerelateerd aan religie of kleur. Opmerkingen als 'erg dom', 'Jood', 'sterk Afrikaans accent', 'hartproblemen' en 'alcoholist' werden beschreven, evenals de meer gebruikelijke beledigingen als klootzak en idioot. Boulanger reageerde geschokt hierop en heeft een intern onderzoek gestart. De elektronicaretailer was zich er niet van bewust dat zijn medewerkers zulke informatie noteerde. Weten jouw medewerkers wat zij wel en niet mogen registreren? Het incident van Boulanger is een duidelijk voorbeeld dat er vaak geen goede inzichten zijn welke persoonsgegevens medewerkers op welke plaatsen en in welke systemen registreren.

Dataminimalisatie
Organisaties willen klanten steeds beter van dienst zijn. Het is ook onder de GDPR toegestaan om aankoop- en contacthistorie bij te houden. Dit betekent echter niet dat organisaties álle data mogen registreren. Klantcontactmedewerkers moeten zich afvragen of een bepaald gegeven bijdraagt aan het verbeteren van de dienstverlening. Dit geldt voor elk type persoonsgegevens, niet alleen voor bijzondere persoonsgegevens als bijvoorbeeld etniciteit, gezondsheidskenmerken, religie en sexuele voorkeur. Contactcenters moeten gaan denken in ‘dataminimalisatie’. Organisaties moeten in kaart brengen en vastleggen welke gegevens zij in het kader van klantcontact vastleggen en voor hoe lang dit noodzakelijk is. 'Less' zou best wel eens 'more' kunnen zijn in dit geval, en dat is toch even een knop die om moet in dit tijdperk van big data, waar klantenservice natuurlijk ook van wil profiteren.

Bewustzijn van medewerkers staat voorop
De Autoriteit Persoonsgegevens presenteerde in zijn 10-stappenplan naar GDPR-compliance niet voor niets het onderdeel 'bewustzijn van medewerkers' op de eerste plaats. De medewerker die de persoonsgegevens in handen krijgt is bepalend voor de naleving van privacywetgeving. Het verdient dan ook zonder meer de aanbeveling om elke klantcontactadviseur te trainen en bewust te maken op het gebied van privacy. Bovendien moet een organisatie kunnen aantonen dat er aan bewustwording bij medewerkers is gewerkt. Had Boulanger dat maar geweten, dat had een paar krantenkoppen, reputatieschade en een enorme boete gescheeld.

Ben jij er echt klaar voor?

Noot: deze gastblog is geschreven door Patrick Jordens, oprichter van DMCC Nederland.