Klantcontact buiten de EU: hoe voorkom je risico’s met persoonsgegevens?
De Autoriteit Persoonsgegevens (AP) waarschuwde recent organisaties in de klantcontactbranche voor het delen van persoonsgegevens met landen buiten de Europese Economische Ruimte (EER). De kern van de waarschuwing: bedrijven moeten zich bewust zijn van de risico’s van klantcontact in derde landen, zoals Suriname. Jasper Meerding en Christopher Gits van ContactCare leggen uit hoe je dat praktisch aanpakt.
Data-overdracht en GDPR
Volgens Meerding is de locatie van de medewerker minder relevant dan de locatie waar de data wordt opgeslagen. “Het gaat erom waar de data staat, niet waar iemand inlogt. Als een medewerker in Suriname via een remote desktop of Citrix-omgeving werkt, blijft de data binnen de EU. Pas als gegevens daadwerkelijk worden gedownload of verwerkt buiten de EU, ontstaat er een probleem.”
Dit principe geldt wereldwijd: “Een Amerikaan die een Nederlandse website bezoekt, valt ook onder de GDPR zolang de server in Europa staat. Betekent wel dat je een strak beleid moet hebben.”
Hoe blijven Nederlandse bedrijven compliant bij klantcontact buiten de EU?
Om klantcontact veilig te offshoren, moeten organisaties vooraf een blauwdruk maken van alle checks and balances. Gits benoemt drie belangrijke elementen:
Technische maatregelen:
- Zorg dat de verbinding altijd beveiligd is. Werk met remote desktop-oplossingen zoals Citrix.
- Gebruik een VPN.
- Bepaal wie toegang heeft tot welke gegevens en monitor wie welke informatie bekijkt.
Gedragsregels en training:
- Werk met een clear screen en clean desk: geen telefoons of papieren op de werkvloer.
- Zorg voor bewustwording: Laat medewerkers AVG-trainingen volgen en leg ze uit waarom informatieveiligheid zo belangrijk is. Gits: “Gedrag is misschien het lastigste aspect. Stuur hier vanaf dag één op met voorlichting en blijf het belang uitleggen. Zo zullen mensen zich eerder aan maatregelen houden.”
Certificering en kwaliteitscontrole:
- Werk uitsluitend met contactcenters die ISO 27001-gecertificeerd zijn.
- Controleer of je leverancier actief beleid voert op dataveiligheid.
De Autoriteit Persoonsgegevens deed de waarschuwing omdat uit de media duidelijk werd dat verschillende bedrijven callcenters buiten de EER inzetten. AP kreeg één signaal binnen dat het bij een bedrijf mogelijk niet op orde zou zijn, aldus een woordvoerder.
Hoe goed is GDPR-naleving in de praktijk?
Wat zien Meerding en Gits in de sector? Meerding: “Ik denk dat grote klantcontactpartijen hun zaken over het algemeen op orde hebben. Bij kleine partijen vraag ik me af of er voldoende expertise is op het gebied van wetgeving en AVG.”
Volgens Meerding start de zoektocht naar een partner voor offshoring van klantcontact buiten de EU met ISO-certificering. “Als een contactcenter geen ISO 27001-certificering heeft, is dat een teken dat ze dataveiligheid niet serieus nemen.” Gits: “Zolang je beleid op orde is en je samenwerkt met een serieuze partner, blijft klantdata veilig.”
Over ContactCare
ContactCare is een vooraanstaande leverancier van klantcontactoplossingen die bedrijven ondersteunt bij het verbeteren van hun service en klanttevredenheid. Met innovatieve technologieën en een klantgerichte aanpak helpt ContactCare organisaties om hun klanten beter te bedienen en hun processen te optimaliseren.
