Naar inhoud

Hoe ga ik om met persoonsgegevens?

Illustratie: Tony Tati
De Wet Bescherming Persoonsgegevens (WBP) van 1 september 2001 en een nieuwe telecommunicatiewet stellen een aantal verplichtingen aan bedrijven over de omgang met persoonsgegevens. Veel bedrijven zijn zich nog onvoldoende bewust van de verstrekkende gevolgen van deze wetten.

'Ik weet niet meer of ik nu moet melden dat ik de verjaardag van mijn klant in de database oplsa', zo verzuchtte een manager begin dit jaar tijdens een oriëntatiebijeenkomst voor Customer Relationship Management (CRM) als het vastleggen van klantgegevens ter sprake komt. Sinds 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) van kracht, en sinds 1 november dit jaar is de nieuwe Europese richtlijn van kracht die het versturen van commercieële mail moet reguleren. Maar in de praktijk blijken bedrijven nog te worstelen met de vraag hoe met marketingacties te voldoen aan die nieuwe privacyrichtlijnen.

'De bescherming van persoonsgegevens is een vrij belangrijk onderwerp, want de relatie met de klant wordt steeds belangrijker', vertelt Alexander Singewald van Singewald Consultants Group, die bedrijven adviseert op het gebied van de Wet Bescherming Persoonsgegevens. 'Er is sprake van steeds meer regels. Je moet je klant steeds meer vertellen over wat je doet met zijn gegevens en als je dat niet doet, loop je risico's op boetes.'

 

Recht van verzet

'Een persoonsgegeven is een gegeven dat iemand kan identificeren', legt Singewald uit, die meteen benadrukt dat de WBP naast bedrijven bijvoorbeeld ook voor eenmanszaken of maatschappen geldt. 'Veel bedrijven realiseren zich onvoldoende dat het College Bescherming Persoonsgegevens bestuursdwang kan uitoefenen, dat het bestuurlijke boetes kan opleggen en strafrechtelijke stappen kan ondernemen als een verwerking niet is aangemeld. Het is dus belangrijk om goed en zorgvuldig om te gaan met persoonsgegevens.'

De wet schrijft een aantal belangrijke zaken voor. Persoonsgegevens moeten op behoorlijke en zorgvuldige wijze verwerkt worden, mogen niet langer worden bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verzameld en dienen toereikend, ter zake dienend en niet bovenmatig te zijn. Een ander belangrijk aspect is het recht van verzet. Als een adverteerder de persoonsgegevens van consumenten aan derden verkoopt of verhuurt, kunnen die consumenten daar verzet tegen aantekenen en die verspreiding blokkeren. 'Sinds 1976 konden consumenten zich al aanmelden bij de branche als zij geen direct mail wilden ontvangen', aldus Singewald. 'Tegenwoordig geschiedt dat via de Stichting Zelfregulering DM. Je ziet dat die succesvolle zelfregulering nu in de wet is gestopt. Dat is een groot compliment voor de branche.'

Het wettelijke voorschrift 'niet langer verwerken dan noodzakelijk' wordt in de wet genoemd om misstanden te kunnen aanpakken. Bedrijven zijn er zelf verantwoordelijk voor dat oude gegevens worden verwijderd c.q. vernietigd. Let daarbij wel weer op de wettelijke bewaarverplichtingen. Singewald gaat voor kwaliteit. 'Het is niet eens handig om met verouderde gegevens te werken. Je moet wettelijk zorgen dat de gegevens feitelijk juist en correct zijn, maar voor je eigen business is dat natuurlijk ook goed, want anders gooi je geld weg bij een mailing. Je werkt effectiever en je hebt een hogere respons als je datakwaliteit beter is. Bedrijven kiezen meer en meer voor een kwalitatieve database.'

 

Praktijkexpert over de voordelen van geautomatiseerde privacybewaking

'Een grote financiële dienstverlener, bestaande uit een holding en een aantal werkmaatschappijen en werkend onder verschillende merknamen, wil vanuit de holding naar aanleiding van de wetgeving en omwille van imago het privacybeleid centraal opstellen', zo schetst Jeroen De Rooij, van het in privacymanagement gespecialiseerde Lawids, de situatie bij een klant van hem.

 

'Dit beleid moet in de holding en de werkmaatschappijen concreet worden vertaald naar de bedrijfsvoering.' De centrale vraag daarbij is hoe vanuit die top down benadering greep te krijgen op de uitvoering van het privacybeleid. Daarnaast wil de organisatie haar privacypraktijk gecertificeerd krijgen via toezichthouder CBP.

'Toezicht en handhaving van het privacybeleid zijn alleen maar mogelijk als je weet wie wat verwerkt, op welke manier en voor welke doeleinden', vertelt De Rooij. 'Hoe maak je de organisatie bewust van privacy, hoe ga je dat waarborgen en hoe krijg je daar zicht op ten behoeve van controle?' Het geformuleerde privacybeleid wordt nu eerst vertaald van abstracte tekst naar elektronisch privacybeleid (de privacyregels en de verwerkingsprocessen). Deze oplossing maakt het mogelijk analyses uit te voeren en na te gaan of alle beleidsregels wel consistent zijn.'

Het elektronische privacybeleid wordt als een 'privacyschil' rondom alle bedrijfstoepassingen geïmplementeerd. Bij de verwerking van persoonsgegevens ziet deze privacyschil toe op welke transacties plaatsvinden. Op basis van het elektronische privacybeleid, bepaalt de schil of een transactie rechtmatig is of niet. Een van de voordelen is dat als de wet en regelgeving veranderen, er alleen consequenties zijn voor de privacyschil en niet voor de complexe en sterk uiteenlopende bedrijfsapplicaties zelf. Concreet ziet de schil wie personeelsgegevens verwerkt en of er bijvoorbeeld geen persoonsgegevens uit databases worden gehaald voor verkoop door functionarissen die niet bevoegd zijn.

Via logging wordt bijvoorbeeld bijgehouden aan welke derde partij gegevens zijn verkocht. Daarmee voldoet de financiële dienstverlener aan de wet. 'Klanten hebben recht op inzage en recht van verzet', voegt De Rooij er nog aan toe. Je moet op verzoek van een klant per verwerking binnen vier weken laten zien hoe je zijn gegevens verwerkt, waarvoor zij worden gebruikt en aan wie zij zijn verkocht. Heb je daarvoor geen geautomatiseerde privacy managementoplossing, dan moet je dat handmatig gaan doen en dat is zeer arbeidsintensief.'

 

 

Vrij gegevensverkeer in EU

Binnenkort worden bedrijven geconfronteerd met nieuwe regels omtrent het gebruik van traditionele en elektronische media voor het toezenden van commerciële communicatie. De nieuwe Telecommunicatiewet, waar tijdens het schrijven van dit artikel nog definitief over gestemd moet worden, is de uitvoering van een nieuwe Europese richtlijn. Naast het vrije verkeer van personen en goederen bestaat er nu ook het vrije verkeer van persoonsgegevens. Een van de gevolgen is bijvoorbeeld dat een adverteerder een direct marketingbureau voor het personaliseren van mailings in een ander EU-land kan inschakelen zonder allerlei beperkingen.

De nieuwe Telecommunicatiewet kan ook rekenen op veel belangstelling door de groeiende discussie over ongevraagde en ongewenste commerciële mail, oftewel spam. Zoals het er nu voor staat moeten de verzender van commerciële e-mail volgens de nieuwe wet kunnen aantonen dat de geadresseerde hierom heeft gevraagd. Commerciële mail naar bedrijven blijft vooralsnog zonder beperkingen.

'Zeventig procent van de Nederlandse internetgebruiker ergert zich in hoge mate aan spam,' zegt Machiel van der Velde van de Consumentbond. Maar beboeten blijkt moeilijk. 'De Opta moet nu de controle en naleving uitvoeren, want spam wordt niet strafrechtelijk vervolgd. Het beschadigt wel het vertrouwen van de consument in marketing en is slecht voor goedwillende bedrijven. De WBP vraagt een grotere mate van zorgvuldigheid, bedrijven kunnen niet zomaar gegevens pakken en gebruiken. Het moet voor de consument duidelijk zijn op welke wijze zijn gegevens worden verwerkt.' Maar goedwillende bedrijven, zoals de manager die zijn jarige relatie een kaartje wil kunnen sturen, zullen voorlopig nog wel blijven worstelen met privacyvraagstukken en de steeds veranderende wetgeving die maar moeilijk grip kan krijgen op een klein maar fanatiek groepje kwaadwillenden.

 

Tips voor naleving privacywetgeving

  • informeer je klanten als gegevens worden opgeslagen, en met welk doel
  • geef klanten de mogelijkheid zich te verzetten tegen verwerking van hun gegevens.
  • meldt verwerkingen voor direct marketing bij het College Bescherming Persoonsgegevens (CBP)
  • ga ook na welke vele(!) vrijstellingen er zijn in Nederland; een gewone salarisadministratie en een gewone klantadministratie zijn bijvoorbeeld vrijgesteld onder bepaalde voorwaarden
  • kijk of het CRM-systeem geschikt is voor naleving van de Wet Bescherming Persoonsgegevens
  • vertel on- en offline hetzelfde verhaal en voer dat ook uit
  • richt een contactpunt in waar klanten terecht kunnen met vragen over hun persoonsgegevens
  • stop het 'recht van inzage' niet weg in bijlagen en algemene voorwaarden, maar ga er bewust mee om
  • voor het 'volgen' van medewerkers, ter controle van de naleving van de privacyrichtlijn, moet de ondernemingsraad eerst toestemming geven
  • netwerkbeheerders (en IT-afdeling in het algemeen) hebben vaak grote toegang tot allerlei (persoons-) gegevens en hebben in die zin een vertrouwensfunctie,  zij moeten zich bewust zijn van die rol en handelen volgens de WBP daar waar het gaat om persoonsgegevens
  • onderschat niet de gevolgen van het verkeerd omgaan met persoonsgegevens; over het algemeen maken mensen zich er niet druk om, maar als het verkeerd gaat zijn de emoties groot en kan een verkeerde actie als een boomerang terugkomen
  • zie de consument als een gesprekspartner, en niet alleen als een doelwit

 

 

Bron: Customer Talk
0

Reacties

Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie