Whappcare: ben je klaar voor de AVG?

Leestijd: 3 minuten

Met de Algemene Verordening Gegevensbescherming (AVG) in het vizier, moet je als bedrijf hard aan de slag (als je dat nog niet was) om voor de deadline van 25 mei 2018 aan de privacyregels te voldoen. Doe je dit niet, dan loop je risico op boetes die op kunnen lopen tot 4% van je jaaromzet. Het Europees Parlement strijkt de nieuwe verordening op Europees niveau uit, zodat er overal één duidelijke set met regels ontstaat. Op het eerste gezicht lijkt de AVG vooral van toepassing te zijn op marketingactiviteiten, maar toch kom je er met WhatsApp webcare (Whappcare) ook mee in aanraking. Wat houdt deze verordening in en nog belangrijker: hoe voldoe je eraan?

First things first: wat is de bestaande situatie?

Hoewel de huidige privacyregels nog voortkomen uit de tijd dat we met een vaste lijn belden, is het op dit moment redelijk gesteld met de privacy van de consument in de context van Whappcare. Ik zet de huidige regels voor je op een rij:

Wet bescherming persoonsgegevens
Je mag niet zomaar persoonsgegevens aan je klant vragen tijdens een gesprek via WhatsApp. Hier is de Wet bescherming persoonsgegevens van toepassing. Als een klant bijvoorbeeld een contract wilt verlengen mag je geen naam of adres vragen. Ook niet ter verificatie. In de meeste gevallen is er dan dus alsnog telefonische verificatie nodig. Zo mogen er bijvoorbeeld ook geen medische gegevens gedeeld worden tijdens gesprekken.

Opt-in/e-mailwetgeving
Nu zullen in het geval van webcare de meeste consumenten jou benaderen, maar wees er van bewust dat het versturen van een bericht via WhatsApp juridisch vergelijkbaar is het met het versturen van een e-mail. Dit betekent dat als jij een consument wilt benaderen, je eerst opt-in (toestemming) nodig hebt.

whappcare

Ten tweede heeft de consument altijd het recht om het contact te verbreken (“U kunt zich afmelden voor berichten door ‘STOP’ te sturen via WhatsApp.”). Ten slotte, en dat weten veel bedrijven en consumenten niet, heeft de consument ook het recht om opgeslagen gegevens in te zien. Ze mogen hun gevormde klantprofiel opvragen. Dit recht wordt met ingang van de AVG verlengd door het “right to be forgotten” waarover ik hier onder meer vertel.

En dan de nieuwe verordening: wat weten we tot nu toe?

De AVG is de Nederlandse afgeleide van de Europese General Data Protection Regulation, die 25 mei 2018 in werking treedt. Vanaf dat moment zijn alle organisaties die persoonsgegevens verwerken verplicht om aan de nieuwe privacyverordening te doen. De verordening geeft de consument de controle terug over hun persoonlijke data in het internetverkeer.

“Ook de al aangevinkte keuzevakjes zoals ‘Ja, ik ben akkoord’ zijn verboden.”

Wat houdt de AVG in?
Het komt erop neer dat je als bedrijf zijnde in geen enkele vorm zonder uitdrukkelijke toestemming persoonsdata mag verzamelen en/of bewaren. Ook bijvoorbeeld de al aangevinkte keuzevakjes zoals ‘Ja, ik ga akkoord… om mij te benaderen via WhatsApp’ zijn verboden.

De handhaving wordt ook voor heel Europa gelijkgetrokken, en die is fors. Er kunnen boetes tot 20 miljoen of 4% van de jaaromzet worden opgelegd. Consumenten kunnen zelf overtredingen melden bij de Autoriteit Persoonsgegevens, die vervolgens verplicht is onderzoek te doen.

Wat betekent dit voor Whappcare?
Opt-in
Als jij eerst een bericht naar de consument wilt sturen, heb je daar dus voorafgaand toestemming voor nodig (dit is meer van toepassing bij marketingdoeleinden). Wat belangrijk is voor Whappcare, is dat het ook verplicht is om toestemming voor het vastleggen van gegevens te vragen. Dit moet expliciet gebeuren, dus je moet zo specifiek mogelijk vertellen waar de betrokkene mee akkoord gaat. Zorg dat je dit in jip-en-janneketaal doet, zodat het voor de doorsneegebruiker duidelijk is.

Informeren
Daarna is het verplicht om de consument te informeren over de volgende punten:

  • Welke gegevens vastgelegd worden
  • Voor welke periode gegevens vastgelegd worden en;
  • Met welk doel de gegevens worden vastgelegd

Dit kun je bijvoorbeeld doen met een privacyverklaring op de website van je bedrijf.

whappcar2

Rechten van de betrokkene (right to be forgotten)
Alles staat dus in teken van transparantie, de consument moet weten wat er met zijn persoonsgegevens gebeurt. De consument had al het recht op verzet, inzage en rectificatie, en krijgt met de AVG ook het recht om vergeten te worden. Als de consument hier gebruik van maakt mag je de gegevens bijvoorbeeld niet meer gebruiken voor het opbouwen van zijn klantprofiel.

“Hoe ver reiken de grenzen van de verordening?”

Privacy by design
Privacy by design houdt in dat je tijdens het ontwikkelingsproces van producten en diensten rekening houdt met privacy. Dit kan bijvoorbeeld met pseudonimisering en door alleen noodzakelijke persoonsgegevens te verwerken. Dit geldt ook voor het in kaart brengen van de toegankelijkheid tot de gegevens (wie heeft toegang tot welke gegevens?) en de periode dat de gegevens bewaard worden. Maar hoe gaat dat zich vertalen naar webcare via WhatsApp? De grote speler en haar moederbedrijf Facebook kijken vanaf de zijlijn mee met alle gesprekken. Er lekt namelijk metadata van de consument naar deze giganten. Zoals dat je klant bent van een bepaald bedrijf, dat je een reden hebt om contact op te nemen met de klantenservice, het tijdstip en de duur van het gesprek en een schatting van je locatie. Beschermt de AVG hier ook de privacy van de klant en met andere woorden, hoe ver reiken de grenzen van deze verordening?

Meer macht bij de consument

De nieuwe verordening legt dus meer macht bij de consument. In mijn ogen een goede algemene ontwikkeling, gezien de haast onaantastbare datareuzen Google en Facebook in het online bestaan van de consument.

Wat de uitwerking precies zal zijn is afwachten tot 2018. Na de intreding zullen we dan ook kunnen leren van best- en worst practices. Daar wil ik aan toevoegen dat ik geen jurist ben, maar wel een poging heb gedaan om meer duidelijkheid te scheppen wat de AVG voor invloed heeft in het Whappcare-veld.

Mijn laatste tip voor grote organisaties (of als je er zelf niet uitkomt): stel een Functionaris Gegevensbescherming/Data Protection Officer aan. Dan kun je zelf weer focussen op je klanten.

Hoe ver ben jij  met de implementatie? Laat het me weten in de reacties!

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s