Klantcontactmanager, check je DPIA!
Wie persoonsgegevens verwerkt, moet een data protection impact assessment (DPIA) uitvoeren. Serge Poppes van Pegamento praat ons bij wat dat betekent voor klantcontactorganisaties, bijvoorbeeld bij offshoring.
Serge: “In een DPIA komen antwoorden op vragen als: welke data verwerken we? Hoe verwerken we die? Hoelang bewaren we die? Organisaties moeten een DPIA naar alle redelijkheid opstellen.”
Serge ziet dat de meeste klantcontactorganisaties geen risico’s lopen, zolang ze hun systemen binnen Europa hosten. “De kans op een privacy- of datalek ontstaat op het moment dat iets, dus ook werkzaamheden, buiten de EU plaatsvindt. Als je in je DPIA niet goed regelt waar de data naartoe gaat en opgeslagen wordt, loop je wel een risico.”
Dit is waarom een DPIA belangrijk is
Het instrument DPIA is niet nieuw en was onder meer al verplicht voor de Rijksoverheid. De brede verplichting voor allerlei organisaties is wel redelijk nieuw. ‘Bij projecten, regelgeving en beleid waarbij persoonsgegevens worden verwerkt, moet je een duidelijk beeld hebben wat de risico’s zijn voor de rechten en vrijheden van betrokkenen. Een DPIA helpt hierbij en is ook een goed hulpmiddel om te beoordelen in hoeverre de huidige maatregelen voldoen en wat er nodig is om de risico’s te verminderen’, schrijft het Kenniscentrum voor beleid en regelgeving.
Veel wordt gehost vanuit Europa, maar Suriname is geen EU
Doorgaans kiezen partijen ervoor om hun servers te hosten in Europa, waar ze hun data opslaan, zegt Serge. In de Europese Unie is het niveau van gegevensbescherming gelijk. Alle EU-lidstaten moeten zich namelijk aan de EU-privacyregels houden. Voor opslag van persoonsdata in niet EU-landen – de ‘derde landen’ – gelden andere regels. Het is dus heel belangrijk om hier rekening mee te houden bij offshoring van klantcontact naar landen buiten de EU, zoals Suriname.
‘De hoofdregel is dat je persoonsgegevens alleen mag opslaan in derde landen met een passend beschermingsniveau. Is dat er niet? Dan mag opslag en inzage alleen op grond van één van de wettelijke bepalingen uit de AVG’, schrijft ABAB. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER): Noorwegen, Liechtenstein en IJsland. Het opslaan van persoonsdata mag in derde landen:
• op basis van een adequaatheidsbesluit;
• op basis van passende waarborgen (modelcontract, gedragscode, certificering);
• op basis van binding corporate rules (BCR);
• op basis van specifieke uitzonderingen (uitdrukkelijke toestemming, noodzakelijk voor de uitvoering van een overeenkomst of één van de andere uitzonderingen van art. 49 AVG).
DPIA: wat als je IT-support in China zit?
“Interessant wordt het als bijvoorbeeld ICT-support in India bijgeschakeld wordt om een storing op te lossen”, zegt Serge. “Een organisatie belegt alles binnen de EU, zo lokaal mogelijk en binnen de EU-privacyregels. Maar op het moment dat er een storing is, springt er vanuit een softwareleverancier iemand in China bij en kijkt van afstand mee. In je DPIA neem je dit soort zaken allemaal mee. Wat waar wordt gedaan. Welke mensen buiten de EU inloggen. Hetzelfde geldt als je een deel van je klantcontact buiten de EU belegt.”
Uber-kwestie
Als organisatie moet je óók transparant communiceren over wat er in je DPIA staat. Serge legt uit waarin dit verschilt van het privacy statement: “In een DPIA definieer je echt wat je verwerkt, in plaats van dat je een algemene richtlijn geeft. Men heeft recht op het weten wat er verwerkt wordt, hoe lang iets bewaard wordt, etc.”
Transparant betekent ook heldere taal, zegt Serge. Dat raakt aan de zorgplicht die geldt bij een DPIA. Organisaties moeten helder informeren over hoe exacte gegevens in een DPIA zijn geregeld. “Zie het als je patiëntendossier. Je hebt recht om te weten wat daarin staat.”
Transparant communiceren en heldere taal zijn een grijs gebied. Wat betekenen ze concreet? Daarin is veel speelruimte.”
Serge verwijst naar een voorbeeld waaruit duidelijk blijkt hoe het niet moet, toen taxibedrijf Uber onlangs een boete van 290 miljoen euro opgelegd kreeg van de Autoriteit Persoonsgegevens (AP).
Daarbij ging het inhoudelijk mis: Uber stuurde persoonsgegevens van Europese chauffeurs naar de VS zonder goede beveiligingsmaatregelen. Ook liet Uber communicatief steken vallen: “Het was niet duidelijk waar de data gehost werd. En het was voor de chauffeurs heel lastig om hun eigen gegevens in te zien.”
Doorloop je DPIA kritisch
Serges belangrijkste advies: doorloop je DPIA kritisch en pak de lead. “Je kunt je niet verschuilen achter andere partijen, zoals leveranciers van technologie en er maar vanuit gaan dat zij het goed geregeld hebben. De verantwoordelijkheid ligt bij jou. Ook ben je er niet met een ISO-certificering. Vraag je leveranciers goed door op hoe zij zaken geregeld hebben en verwerk dat in je eigen DPIA.”
Pegamento gaat voor makkelijk en slim contact. Slimmer, in minder tijd maar kwalitatief hoogwaardig en met meer persoonlijke aandacht. Dit door het inzetten van robotisering, kennismanagement, beeldherkenning, kunstmatige intelligentie en omnichannel oplossingen.