Uitstekende klanten­service? Ga veilig om met klantgegevens

Of we nu eten laten bezorgen, op social media actief zijn of ons inschrijven voor een nieuwsbrief: in onze digitale wereld kun je bijna niets meer zonder persoonsgegevens af te staan. De Algemene Verordening Gegevensbescherming (AVG) bestaat drie jaar en is in het leven geroepen om persoonsgegevens van EU-burgers te beschermen. Maar volgens Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens (AP), zijn er nog steeds veel bedrijven die hier niet aan voldoen. Hoe komt dat? En wat kunnen bedrijven doen om dit te verhelpen? KVK sprak met Verdier om hier achter te komen.

Ondernemers hebben een belangrijke taak in het beschermen van de persoonsgegevens van hun klanten.

Algemene Verordening Gegevensbescherming

Monique Verdier, vicevoorzitter van de AP begint met een positieve observatie: “Na drie jaar zit de AVG wel tussen de oren; mensen weten dat het bestaat en dat ze er iets mee moeten. Zeker sinds de coronacrisis, waardoor ondernemers die voorheen nauwelijks met persoonsgegevens omgingen, dat opeens wel moesten doen.” De taak om persoonsgegevens te beschermen was voor deze ondernemers nieuw.
Toen de horeca ineens registratielijsten moest bijhouden wisten deze ondernemers vaak niet hoe dit aan te pakken. “Plotseling werd die maatregel ingevoerd. En er was weinig nagedacht over hoe je hierbij ook de persoonsgegevens beschermt. Daar ging wel wat mis. Een barman bijvoorbeeld, die een klant wel erg leuk vond, en haar toen zomaar opbelde, want ja, dat telefoonnummer had hij toch. Dat kan natuurlijk niet. Als je daar nooit eerder mee te maken hebt gehad, is dat best even schakelen.”

Klanten beschermen

Ook al is de AVG complexe materie, Verdier benadrukt dat het niet alleen daardoor misgaat. Het besef van het belang om persoonsgegevens te beschermen laat vaak te wensen over. “We vinden het allemaal vanzelfsprekend dat er financieel auditors zijn om onze administratie te controleren. Als het aankomt op persoonsgegevens, zien we nog niet diezelfde vanzelfsprekendheid. Terwijl het best logisch is, als je erover nadenkt. Je houdt een verwerkingsregister bij, zodat je precies weet: ‘Deze informatie hebben we, en zo gebruiken we het.’ Ondernemers zijn vaak erg op hun klanten gericht, maar er is minder aandacht voor hun gegevens. Waar we naartoe willen is het besef dat de AVG gaat om de bescherming van jouw klanten.”

Grondrecht

Wat Verdier vooral in crisistijd is opgevallen, zijn de discussies waarin privacy tegenover zorg en veiligheid werd gesteld. Vanwege corona is er druk geweest om snel te schakelen, en daarbij is wat betreft gegevensbeheer heel wat blijven liggen. Verdier wil toewerken naar een breder gedragen besef dat het een het ander niet uitsluit. Ze benadrukt: “Privacy is geen luxe, het is een grondrecht.” Het aantal voorbeelden waaruit het belang van het beschermen van persoonsgegevens blijkt groeit. Datalekken komen steeds meer voor. “In 2020 zijn internetfraude en malware-zaken met 30% gegroeid. Mensen kunnen daar immense schade van ervaren.”

Onzichtbaar gevaar

De verleiding is groot om technologische snufjes in te zetten om ons leven makkelijker te maken. Ook het ondernemerschap wordt aanzienlijk overzichtelijker en efficiënter met inzet van allerhande apps en software. “Dat leidt doorgaans tot kostenvermindering, maar de ondernemer kan daarbij veel meer risico lopen. Dit zorgt voor onzichtbaar gevaar voor zowel ondernemer als klant. Fysieke veiligheid is nou eenmaal makkelijker in de gaten te houden dan onzichtbare dreigingen in de digitale omgeving.”
Het is belangrijk om goede ethische overwegingen te maken. “Verplaats je regelmatig in je eigen klanten, en bedenk wat jouw keuzes voor hen betekenen. We hebben laatst een supermarkt een formele waarschuwing gegeven, omdat ze gezichtsherkenning hadden ingezet. Het is heel begrijpelijk dat je je zaak wil beschermen tegen fraude, maar dat weegt niet op tegen de belangen van je klanten.”
“Een ander voorbeeld. De gemeente Enschede, wilde het aantal mensen in de winkelstraten registreren om de effecten van gemeentelijke investeringen te meten. De gemeente deed dit middels wifi-tracking, waarbij ze de individuen via de verbinding kon volgen, zonder dat zij daar toestemming voor hadden gegeven. Dit is niet toegestaan, en het was bovendien onnodig voor hun doel. Tellen mag, volgen niet. Gezichtsherkenning en wifi-tracking mogen alleen in zeer beperkte gevallen.”

AVG-tips voor ondernemers

Volgens Verdier gaat het bij ondernemers vooral mis bij verzoeken van klanten om hun gegevens te wissen. Dit heet het recht op vergetelheid. Ook kunnen klanten vragen om inzage van persoonsgegevens“. Vaak wordt daar niet of slecht op gereageerd, terwijl dat heel eenvoudig is als je het verwerkingsregister goed bijhoudt.” Het is wellicht even schakelen voor ondernemers. “Je bent immers ondernemer geworden om niet in dat keurslijf te moeten. Dan is het lastig om te omarmen wat er wetmatig verplicht is. Zie het daarom niet als een verplichting, maar focus je op ‘Waar doe ik het nu echt voor?’ Daar komt een intrinsieke motivatie bij kijken om je klanten zo goed en zorgvuldig mogelijk van dienst te zijn.
Als ondernemer kun je nu eenmaal niet alles weten. Zoek hulp als je daar behoefte aan hebt en die is er volop. “Sluit je aan bij een branchevereniging, dat levert echt wat op. Ze hebben mooie stappenplannen, waarmee je kunt zorgen dat je aan de basisvereiste voldoet. Maak ook een goede risicoanalyse aan de voorkant, bijvoorbeeld met een Data Protection Impact Assessment (DPIA). Zorg dat je privacy in alles wat je doet integreert, dan wordt het haast een tweede natuur. Dat noemen we privacy by design.”

Toekomst

De AP legt boetes en andere sancties op. Zij zal haar taak als controlerende en handhavende instantie blijven vervullen. Maar de AP richt zich vooral op het ondersteunen en beschermen van instellingen en individuen. “We zijn er echt niet alleen om te zeggen: dat heb je verkeerd gedaan, hier is een boete. Onze taak is ook om samen te werken en te zien wat we kunnen faciliteren zodat instellingen en bedrijven beter kunnen voldoen aan hun verplichtingen. Door onze inzet zijn instanties ons steeds meer als partners gaan zien, dan als waakhond. Er is behoefte aan informatievoorziening in begrijpelijke taal. Daar kan ons mkb-team een rol in spelen, maar ook brancheverenigingen zijn belangrijke partners daarin,” legt Verdier uit. “De meeste mensen willen het immers graag goed doen, maar weten niet altijd hoe.”