Het gemak waarmee we met z’n allen allerlei gegevens uit kunnen wisselen, is een fantastische ontwikkeling. Het wereldwijde web zorgt ervoor dat vrijwel alles en iedereen aan elkaar is gekoppeld, wat ook de globalisering in een flinke versnelling brengt. Als je een helpdesk belt, weet je dan ook wat de helpdesk met jouw gegevens doet nadat het gesprek is afgerond? En wat ze dan precies van je weten? Als het bij een gesprek blijft wellicht alleen je naam, telefoonnummer en welke producten je van de betreffende partij gebruikt. Maar als ze bijvoorbeeld met je mee willen kijken op je pc dan is de kans ook groot dat ze jouw IP-adres weten van waar je op dat moment het internet opgaat.
Dus, een voor jou onbekende partij weet jouw naam, telefoonnummer en IP-adres. Hetzelfde geldt natuurlijk voor een klantenservice of helpdesk die in Nederland is gevestigd. De service is geleverd. Hoe vaak geeft de medewerker aan wat er daarna met jouw gegevens gebeurt?
De nieuwe Europese privacyverordening GDPR is mede in het leven geroepen om organisaties bewuster te laten omgaan met het verwerken van persoonsgegevens. Voor elke organisatie die persoonsgegevens verwerkt, geldt dat de verwerking alleen rechtmatig is indien en voor zover aan tenminste één van de volgende voorwaarden is voldaan:
Toestemming: De betrokkene (dit is degene op wie de gegevens betrekking hebben) heeft voor de verwerking zijn ondubbelzinnige toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meerdere doelen.
In relatie tot het voorbeeld waar ik aan het begin van dit blog over rep, gaat het er dus om dat de helpdeskmedewerker expliciet toestemming vraagt om de ingewonnen persoonsgegevens te bewaren en met welk doel. Dit kan ook na afloop van het gesprek via e-mail als een expliciete opt-in worden uitgevraagd aan de klant.
Uitvoering overeenkomst: De verwerking van persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene, of voor het komen tot het sluiten van een overeenkomst.
De helpdeskmedewerker uit het voorbeeld heeft bepaalde gegevens van de klant nodig om haar werk goed uit te kunnen voeren. De vraag die de organisatie zichzelf kan stellen, is hoeveel gegevens er echt nodig zijn om aan de overeenkomst te kunnen voldoen. Kan dit ook met minder gegevens?
Wettelijke verplichting: Persoonsgegevens dienen te worden verwerkt om te voldoen aan een wettelijke verplichting van de verantwoordelijke.
Het hebben van een ziektekostenverzekering is in Nederland verplicht. Zorgverzekeraars (verantwoordelijke in deze) verwerken onze gegevens en zijn daartoe wettelijk verplicht.
Vitaal belang: De verwerking van persoonsgegevens is noodzakelijk om de vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen.
Op de eerste hulp van een ziekenhuis wil je direct geholpen kunnen worden zonder eerst een papieren tijger te moeten doorlopen. Denk ook aan rampenbestrijding en andere vormen van directe bedreiging waar snel handelen van vitaal belang is.
Algemeen belang: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Een gemeente heeft bijvoorbeeld een algemeen belang om de gegevens van haar inwoners te verwerken.
Gerechtvaardigd belang: de verwerking van persoonsgegevens is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens leiden, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Praktische stappen
En dan is het nu tijd voor de actiemodus. Aan de hand van de volgende stappen kun je dichterbij compliance met de GDPR komen.
- Een goede eerste stap is om de persoonsgegevens die je hebt tegen bovenstaande aan te houden. Voor veel organisaties zullen met name de eerste twee punten van toepassing zijn.
- De volgende stap is om te bepalen welke gegevens je wel en niet mag en wilt verwerken. En als je toch bezig bent, breng dan direct in kaart door welke processen persoonsgegevens worden verwerkt.
- Vervolgens neem je een stap die wat meer moed vereist, namelijk het transparant communiceren naar je huidige klanten en medewerkers over hoe de organisatie met de persoonsgegevens omgaat en met welk doel deze worden verwerkt. Daarbij biedt je jouw klanten de mogelijkheid om akkoord te gaan met het verwerken van hun gegevens, aanpassingen of bezwaren aan te leveren en opnieuw te laten bepalen waar opt-ins gewenst zijn, zoals voor het delen van marketingboodschappen met de klant.
- Voor elke nieuwe relatie die je aangaat met klanten, leveranciers of medewerkers maak je een duidelijk communicatieplan waarin de hiervoor genoemde stappen zijn verwerkt. Hoe transparanter, hoe beter.
Wil je meer weten over hoe je kunt voldoen aan de GDPR?