[Gastblog] 6 GDPR-vragen die elke klantgerichte organisatie zich moet stellen
1. Hebben we zicht op alle klantendata en kunnen we deze beschermen?
Deze vraag ligt aan de basis van de GDPR. Zonder een duidelijk beeld van je klantendata, kan je niet beginnen met de bescherming ervan. Je moet weten waar in de organisatie de data zich bevindt en hoe iedere afdeling en medewerker deze data gebruikt. Als je dit weet, kan je snel stappen zetten om deze data te beschermen. Heb je als organisatie te maken met grote privacyrisico’s? Dan voer je best een Data Protection Impact Assessment (DPIA) uit. Daarin beschrijf je de dataprocessen en beveiligingsmaatregelen en geef je een overzicht van de mogelijke risico’s.
2. Zijn de rechten van onze klanten gekend?
De GDPR stelt de klant centraal, waardoor deze terug meer controle heeft over zijn eigen data. Het ‘Recht op overdraagbaarheid van gegevens’, geeft klanten het recht om de persoonlijke data die ze aan een bedrijf aangeleverd hebben, of die tijdens het gebruik van de services werd gegenereerd, gemakkelijk te verplaatsen. Bijvoorbeeld bij het veranderen van verzekeraar of bank. Dit wordt ook het recht op dataportabiliteit genoemd.
Consumenten kunnen hun gegevens nu al laten verwijderen. De GDPR breidt dat recht uit met ‘the Right to be forgotten’. Klanten kunnen eisen dat dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die ook hun gegevens ontvangen hebben.
3. Beantwoorden we aan de meldplicht?
Om GDPR-compliant te zijn moeten organisaties die persoonlijke data beheren duidelijke richtlijnen definiëren voor alle processen waarbij klantendata betrokken zijn. Een belangrijk onderdeel is de verplichting om datalekken te melden. Ga dus na of je systemen daartoe zijn ingericht en of ze melden wanneer zo’n situatie zich voordoet.
4. Wie heeft de eindverantwoordelijkheid?
Wie is er binnen de organisatie aangeduid als eindverantwoordelijke voor de (klanten)data? Wie richt alle processen en systemen volgens de eisen van de GDPR in en informeert medewerkers tijdig over de nieuwe regelgeving? Als organisatie moet je een intern aanspreekpunt hebben en iemand die de eindverantwoordelijkheid draagt. Indien er nog niemand aangewezen is kan je eventueel overwegen om een zogenaamde Data Protection Officer aan te stellen. Bij sommige organisaties, zoals de overheid, is een DPO zelfs verplicht.
5. Hoe gaan onze partners om met data van klanten?
Soms schakel je voor het leveren van een product of dienst een (buitenlandse) partnerorganisatie in en deel je klantendata met die partij. Controleer hoe die organisaties omgaan met die data en of zij een concreet plan hebben om te beantwoorden aan de GDPR. Je kan ook werken met een Data Processing Agreement (DPA). Dit geeft je de garantie dat er een bepaald beschermingsniveau wordt gehanteerd voor de data van je kalnten.
6. Kunnen we de vragen van onze klanten over hun data beantwoorden?
Zeggen dat je de bescherming en privacy van persoonsgegevens serieus neemt is lastig te verkopen als je geen duidelijkheid verschaft over hoe je dat realiseert. Zorg dat er communicatie beschikbaar is waarin de manier waarop jouw organisatie persoonsgegevens verzamelt, opslaat, beschermt en toepast, duidelijk beschreven staat. Daarnaast moet je iedereen binnen de organisatie die contact heeft met klanten, dus niet alleen de customer service, toegang geven tot die informatie.
Vertrouwen is een cruciaal onderdeel van customer experience
Het beantwoorden aan de GDPR is niet alleen een ‘check in the box’ voor de juridische afdeling van je organisatie. De privacy garanderen is een zakelijke overweging. Bovendien is het vertrouwen van jouw klanten meer dan ooit een cruciaal onderdeel van de customer experience. Ga je hier serieus mee om dan kan je als organisatie concurrentievoordeel creëren. Nog meer reden om snel verder aan de slag te gaan met de GDPR!
Over Robert: Robert Kruis is Strategic Account Executive Benelux bij Zendesk