gdpr-in-contact-centers

Hoe maak je je Contact Center GDPR-proof 2.0

In een eerder artikel gingen we in op de historiek van en de basisrechten binnen de GDPR. Daarnaast kwamen de verschillende rollen van een Contact Center binnen dit gegeven aan bod. Aan de hand van 3 stappen, gaan we wat dieper in op een aantal beperkingen qua persoonlijke gegevensbeheer waar je je als contact center aan moet houden.

1. Bepaal de beperkingen

GDPR-6

 

Het beperkte doel – Vraag: Waarom?

  • Verzameld voor specifieke, expliciete en legitieme doeleinden
  • De gegevens kunnen enkel in overeenstemming met deze doeleinden gebruikt worden

De beperkte hoeveelheid – Vraag: Wat?

  • Voldoende en relevant
  • De verzamelde gegevens moeten zich beperken tot de beschreven doelen

De beperkte bewaartermijn-Vraag: Hoelang?

  • Persoonsgegevens moeten in een herkenbaar formaat bewaard worden
  • Persoonsgegevens moeten niet langer dan nodig bewaard blijven

Een commerciële aanpak impliceert andere verplichtingen dan een info-aanvraag (en dit kan nog verschillen per sector)

De veiligheid en vertrouwelijkheid – Vraag: Wie?

  • Persoonsgegevens moeten beveiligd worden
  • Er moeten voldoende maatregelen genomen worden om de toegang te beperken en een eventuele overdracht te beveiligen

Heb je gedacht aan de persoonlijke gegevens van je eigen medewerkers?

De nauwkeurigheid – Vraag: Hoe?

  • De verzamelde gegevens moeten precies zijn
  • Indien nodig moeten ze op aanvraag kunnen aangepast worden en onmiddellijk verwijderd worden

Heb je al het nodige gedaan, samen met je Klant-Opdrachtgevers?

De juiste behandeling – Vraag: Kennis 6 rechten? (voor wie het vorige artikel niet las: deze komen in de conclusie nog aan bod)

  • De persoonsgegevens moeten op een legale, eerlijke en transparante wijze worden verwerkt

2. Baken de persoonsgegevens af

GDPR-personal-data

Over welke persoonsgegevens gaat het?

Om op deze vraag een goed en duidelijk antwoord te kunnen geven, is het belangrijk om ‘persoonsgegevens’ te definiëren.

Wat zijn persoonsgegevens?
  • Elke informatie betreffende een geïdentificeerd of identificeerbaar natuurlijke persoon, direct of indirect, met name door verwijzing naar een identificator zoals: naam, identificatienummer of telefoonnummer, locatiegegevens, foto’s,…
  • Alle gegevens die betrekking hebben op de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van deze persoon.

Een Contact Center beheert en/of verzamelt voor zijn Klant-Opdrachtgevers dus heel wat persoonsgegevens. En daarnaast ook nog de persoonlijke gegevens van zijn eigen personeel. Vergeet ze niet!

Wanneer mag een Contact Center persoonsgegevens gebruiken?
  1. Om een contract uit te voeren
    • Naam, adres, mailadres, … voor het versturen van bvb een factuur
  2. Uit legitiem belang
    • Voor het aanbieden van een extra waarde aan de klant door een nieuwe dienst
    • In het kader van fraudepreventie
  3. Als een persoon zijn of haar toestemming heeft gegeven voor 1 of meerdere specifieke doeleinden.
    • De persoon heeft aangegeven gecontacteerd te mogen worden voor marketing doeleinden
  4. Vanuit wettelijke verplichting/publiek belang
  5. In geval van individueel levensbelang (medische nood)GDPR sensitive givens
Waar wordt het onderscheid met gevoelige persoonsgegevens gemaakt?

De gevoelige persoonsgegevens zijn een specifieke subklasse waarvan elke verwerking verboden is zonder uitdrukkelijke toestemming. Hieronder vallen:

  • Faciale of etnische gegevens
  • Politieke opinies
  • Religieuze of filosofische overtuigingen
  • Lidmaatschap van de vakbond
  • Gegevens over de gezondheid
  • Gegevens over het seksuele leven geaardheid
Gebruikt een Contact Center überhaupt gevoelige persoonsgegevens?

De bestanden die Contact Centers voor hun Klant-Opdrachtgevers beheren en gebruiken bevatten meestal geen gevoelige persoonsgegevens, als we het rijksregisternummer buiten beschouwing laten.

Meestal wil uiteraard niet zeggen nooit. Het ene project is het andere niet. -In de medische – en zorgsectoren bijvoorbeeld, moeten de regels nog beter gedefinieerd worden-

Voor alle zekerheid maken we toch de opsomming over wat wel/niet en wanneer wel/niet kan.

Wanneer mag een Contact Center gevoelige persoonsgegevens gebruiken?
  1. Als het de expliciete toestemming van het individu ontving (opt-in)
  2. Als de informatie openbaar is (politiek mandaat)
  3. Als de informatie openbaar is gemaakt door de betrokken persoon
  4. Als het binnen het kader van individueel levensbelang is (medische nood)
  5. Als het wettelijk verplicht is (publiek belang)
  6. Als het over wetenschappelijke projecten of statistieken gaat

Kortom, heel wat om rekening mee te houden. En ook hier geldt dat elke medewerker goed moet weten waar hij of zij mee bezig is qua gegevensbeheer.n-allo-gdpr-conclusion

3. Onze GDPR-proof conclusie

Het verzamelen, bewaren en behandelen van persoonsgegevens moet gebeuren volgens 6 principes:

GDPR 6 principles

Contact Centers hebben geen expliciete toestemming nodig voor het gebruik van persoonsgegevens, tenzij het over gevoelige persoonsgegevens gaat. Wat niet wil zeggen, dat de 6 basisrechtengdpr-n-allo-six-protections

waar we het in onze vorige GDPR-blog over hadden, niet gerespecteerd moeten worden. Integendeel, die moeten ten allen tijde toegepast worden. Elke persoon, ongeacht of het over een klant of een medewerker gaat, moet hier over geïnformeerd zijn of kunnen worden.

Hoe wij het aanpakken:
  • Wij informeren de paritaire organen
  • Ons voltallig personeel is opgeleid en wordt voortdurend aangemoedigd om de juiste GDPR-reflexen te ontwikkelen en gebruiken
  • Wij stellen de nodige middelen ter beschikking om het behandelen van persoonsgegevens te beveiligen.
    • Onze systemen werden gereserviseerd en waar nodig aangepast
    • Wij denken met onze Klant-Opdrachtgevers mee en bieden hen goedgekeurde overdrachtsmethodes aan
    • Wij hebben de termijnen voor het bewaren van persoonsgegevens intern goed gedefineerd en passen deze strikt toe
  • In onze contracten met Klant-Opdrachtgevers en eventuele onderaannemers worden de GDPR-rollen en –verantwoordelijkheden goed gedefinieerd en geformaliseerd. Daarbij hebben we gedacht aan:
    • De toegang en exploitatie van de opnames
    • Het verkrijgen van de toestemming van de klanten om hun persoonsgegevens te mogen verzamelen en gebruiken
    • De benoeming van een Data Protection Manager en een Data Protection Officer, respectievelijk verantwoordelijk voor de beveiliging van de gegevens en de executatie van de principes binnen onze organisatie.
  • De kanalen langs dewelke we persoonlijke gegevens uitwisselen, worden door excellente software beveiligd.gdpr-logo-n-allo

Deel dit artikel




Gerelateerde artikels



Callcenter of Contact Center?


Plaats een reactie