Contact-Center-GDPR-proof

Hoe maak je je contact center GDPR-proof?

De GDPR: heel wat professionals hebben er de mond vol van.  Hij geeft ons nieuwe, meer specifieke richtlijnen omtrent dataprotectie. Ook contact centers worden fel geïmpacteerd. Met alle nieuwe technologieën en direct marketing dragers die er de laatste 10 à 20 jaar bijkwamen, werd het hoog tijd dat er wettelijke vernieuwing kwam. Het was immers sinds 1995 (!) geleden dat de wetgeving omtrent deze materie aangepast werd. Waarmee dient een contact center specifiek rekening te houden? Een blik achter de schermen:

GDPR-timeline

De basisrechten (en restricties) waarmee we rekening hielden

Als contact center hielden we rekening met de 6 belangrijkste persoonlijke basisrechten:

  1. Het recht op toegankelijkheid van de verworven data  Een persoon behoudt zich het recht toe de data die over hem of haar verzameld wordt op gelijk welk moment op te vragen bij een onderneming.
  2. Het recht om te protesteren  Een persoon kan altijd het gebruik van zijn of haar persoonlijke informatie weigeren.
  3. Het recht op rechtzetting van informatie  Een persoon kan steeds verzoeken om persoonlijke data aan te passen of te verbeteren.
  4. Het recht op beperking van verwerking  Een persoon kan steeds laten weten dat hij of zij niet meer akkoord is met verdere verwerking van zijn of haar informatie. De eerdere toestemming kan steeds ingetrokken worden.
  5. Het recht op dataportabiliteit  Een persoon kan steeds vragen om alle verzamelde persoonsinfo in een draagbaar formaat (pdf, csv, xlsx, …) overhandigd te krijgen.
  6. Het recht op uitwissing  Gelijkaardig aan het ‘recht om vergeten te worden’ brengt dit met zich mee dat een persoon ten alle tijde kan vragen aan een organisatie om bepaalde of alle data over hem of haar te verwijderen. gdpr-n-allo-six-protections

Deze expliciet bepaalde rechten zorgen terzelfdertijd voor impliciet bepaalde restricties.

Welke rol heeft een contact center als het op databeheer aankomt?

Wat vaak kenmerkend is voor Contact Centers, is dat je van een groot deel van de klantgegevens waar je op operationeel vlak mee werkt, zelf geen eigenaar bent. Die zijn van je Klant-Opdrachtgevers. Dat maakt dat je verschillende rollen dient te bekijken. Als het gaat over het beheer van de gegevens van je medewerkers en contactgegevens, ben je Data Owner en Controller. Als het gaat over het beheren van de klantgegevens die je Klant-Opdrachtgevers je toevertrouwt, ben je Data Processor, terwijl zij de werkelijke Data Controllers en Owners zijn. En wat met de info waarvan de Data Processing aan jou toevertrouwd werd, die je -uitgebreid met gegevens van jouw medewerkers- terug aan je Klant-Opdrachtgever bezorgd? Daarmee maak je je Klant-Opdrachtgever Data Processor van jouw Data Ownership. Veel bomen, veel bos…
gdpr-overview-contact-center

Ons GDPR-proof plan van aanpak

Vanaf maart 2017 al, verdiepten we ons in de GDPR- materie. Er volgden vele gesprekken en opleidingen, zowel in- als extern, om de impact van de nieuwe wetgeving op ons vakgebied -en voor onze organisatie specifiek- in kaart te brengen. Ons team dacht goed na over hoe we op een sluitende manier ervoor konden zorgen dat deze rechten binnen elk van onze rollen (Data Processor, Data Owner, Data Controller) gerespecteerd kunnen worden.

Wat onze Klant-Opdrachtgevers betreft, ontwikkelden we een specifieke GDPR-bijlage bij de contracten, die hen de zekerheid geeft  dat wij de gegevens van hun eindgebruikers (en van henzelf) op een GDPR-vriendelijke manier behandelen. Daarnaast zorgden wij ook dat ons personeelsbeleid volledig GDPR-proof is. Er werken veel mensen voor onze organisatie, en we werken ook vóór veel mensen. Heel wat gegevens om rekening mee te houden dus, veel denkwerk, veel organisatiewerk.

De uitdaging: hoe informeer én sensibiliseer je àl je medewerkers?

Omdat het eigen is aan onze sector dat medewerkers binnen verschillende uurroosters en vaak ook van thuis uit werken, moesten we een (voor ons) efficiëntere manier bedenken dan bvb het geven van workshops.

Wij kozen ervoor om een e-learning voor alle collega’s (binnen elk niveau van de organisatie) te onwikkelen. In de video wordt stap voor stap uitgelegd wat kan en wat niet binnen de GDPR-context. De e-learning wordt afgerond met een examen waarop hoog gescoord moet worden. Als de score niet hoog genoeg is (minder dan 90%), moet de e-learning volledig hernomen worden tot het examen met succes wordt afgelegd. Aansluitend wordt een Code of Conduct -die aangeeft dat je de GDPR-wetgeving doorgrond én ter harte neemt- voorgelegd, die door elk van ons ondertekend werd.

Onze conclusie

n-allo-gdpr-conclusion
Als Contact Center, ben je naast Data Owner en Controller ook Data Processor. Wat de klantgegevens betreft, zijn de Data Controller en Owners jouw Klant-Opdrachtgevers en jij de Data Processor. Als jij verwerkte gegevens terugbezorgt aan je Klant-Opdrachtgevers, ben jij de Data Owner en zij de Data Processor. En als het op je interne organisatie zelf aankomt, ben je als Contact Center the full Data package.

Daaruit vloeit voort dat je Contact Center klaarstomen om volledig GDPR-conform te werken, een hele inspanning vergt. Het gaat vooral over het duidelijk stellen wie welke rol binnen welke situatie heeft. Eens dat bepaald is, moet systematisch elke persoon binnen je organisatie geïnformeerd en gesensibiliseerd worden. Daaropvolgend moet elke medewerker zijn engagement uitspreken en betekenen. De logische next step is het ontwikkelen van een aantal (nieuwe) reflexen in je dagelijkse werk, waaronder bij het uitwisselen van databestanden in welke richting dan ook, moet je elke uitwisseling goed documenteren met het hoe en waarom deze data gebruikt zullen worden. Gezond verstand brengt je al een heel eind op weg. Dat én kennis van de materie, op elk niveau.

 

gdpr-logo-n-allo

Wij zijn  er klaar voor.

 


Deel dit artikel




Gerelateerde artikels



Certificeren: Yae or Nay?


Plaats een reactie