AVG: dat is ook het actueel houden van je klantdata!

29 juni 2018

AVG: de status tot nu toe

De nieuwe wet is eind mei in werking getreden. Niet dat jou dat is ontgaan… Want mailboxen stroomden ineens vol met verzoeken om toestemming. Intern zijn medewerkers hartstikke druk met het opzetten en controleren van verwerkingsregisters en verwerkersovereenkomsten. Dat is natuurlijk goed, maar kost wel veel uren die eigenlijk niet gemist kunnen worden.

De Autoriteit Persoonsgegevens, die de wet moet handhaven, heeft tot nu toe nog niet veel van zich laten horen. Ze deden alleen een mededeling over keurmerken en het uitdelen van waarschuwingen. Tegelijkertijd gaven ze ook aan niet direct te zullen handhaven. Gelukkig, er is dus nog tijd om helemaal AVG-proof te worden!

Veel bedrijven hebben die tijd ook nog wel nodig om de laatste puntjes op de i te zetten. Het gaat dan meestal met name nog om het inrichten van de datahuishouding: het documenteren en inrichten van bestanden en het eenduidig maken van informatie. Heel belangrijk, maar vooral dat laatste is niet eenvoudig: hoe maak je informatie beschikbaar vanuit 1 database, zodat alle medewerkers hetzelfde databeeld hebben? Een hele uitdaging. Maar laten we eerst eens kijken naar de actuele stand van zaken en waar iedereen zich tot nu toe mee bezig heeft gehouden …

Gerechtvaardigd belang

De nieuwe wet is duidelijk als het gaat om redenen om persoonsgegevens te verwerken: dat mag alléén als er een uitdrukkelijk omschreven en gerechtvaardigd doel is om die gegevens te bewaren. Dit mogen ook meerdere doelen zijn. De persoonsgegevens mogen alleen voor dat doel of die doelen worden gebruikt. Voorbeeld: vraag je om de geboortedatum van een klant? Dan moet je aan kunnen tonen dat je deze gegevens echt nodig hebt.

Toestemming is één van de 6 grondslagen (of gerechtvaardigde doelen) van de nieuwe privacywetgeving. In de aanloop naar 25 mei hebben veel bedrijven zich vooral gefocust op deze grondslag: het verkrijgen van toestemming voor het opslaan van externe klantdata voor bijvoorbeeld het toesturen van nieuwsbrieven. Dat blijkt wel uit alle e-mails in je mailbox.

Andere gerechtvaardigde doelen zijn:

  • uitvoering van een overeenkomst,
  • nakomen van een wettelijke verplichting,
  • bescherming van vitale belangen,
  • vervulling van een taak van algemeen belang, of
  • uitoefening van openbaar gezag, en
  • behartiging van gerechtvaardigde belangen.

Van die laatste is sprake als de verwerking van persoonsgegevens aantoonbaar noodzakelijk is om bedrijfsactiviteiten te verrichten. Dat geldt bijvoorbeeld voor het voeren van een personeelsadministratie. Dit belang moet volgens de Autoriteit Persoonsgegevens bovendien rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Zorg dus dat je dit voor elkaar hebt!

Interne voorbereiding

Intern hebben veel bedrijven zich de laatste weken vooral gericht op het documenteren en inzichtelijk maken van de data. Dat is maar goed ook, want we kennen allemaal het horrorbeeld van losse Excel-bestandjes op allerlei losse computers. Met vaak een verschillende manier van data invoeren en niet gecentraliseerd. Ook de juridische afdelingen houden zich vooral bezig met het opzetten van een correcte datahuishouding. Ze leggen met name vast waar de data in de organisatie is opgeslagen en wat er is geregistreerd.

Accurate en actuele data verplicht

Terwijl iedereen druk was met het verkrijgen van de gerechtvaardigde doelen en het oprichten van de interne data-opzet, kwam een andere verplichting minder duidelijk aan bod. De nieuwe wet verplicht namelijk óók dat de opgeslagen en te verwerken persoonsgegevens juist moeten zijn.

Artikel 2.4 zegt daarover: “De verwerkingsverantwoordelijke moet alle redelijke maatregelen nemen om ervoor te zorgen dat de gegevens correct en actueel zijn. Gegevens die dat niet (meer) zijn, dienen te worden gewist of gecorrigeerd.” Ook mag de betrokkene altijd eisen dat het bedrijf dat zijn persoonsgegevens heeft opgeslagen, deze corrigeert of aanvult, volgens artikel 7.4.

Kortom, de verplichting om data actueel en correct te houden, is minstens zo belangrijk als de gerechtvaardigde doelen en het correct inrichten van de datahuishouding. Toch wordt het up-to-date houden van de data in de berichtgeving nauwelijks genoemd. Laat staan dat bedrijven het ergens beleggen in de organisatie.

Deze zorgplicht is echter niet te ontkennen. Behalve dat deze verplicht is, is het ook noodzakelijk om te voldoen aan de wettelijke grondslagen. Denk maar aan de grondslag Uitvoeren van een overeenkomst: het is niet mogelijk om een overeenkomst correct uit te voeren als gegevens zijn verouderd.

De risico’s van verouderde data

Het is niet de taak van de klant om door te geven wat zijn nieuwe adresgegevens zijn. Deze zorgplicht ligt bij de gegevensverantwoordelijke, het bedrijf dat de persoonsgegevens verwerkt. Voor een klant is het ook niet bij te houden welke bedrijven over zijn gegevens beschikken. Ga maar na: weet je zelf nog welke bedrijven je zou moeten informeren als je je e-mailadres of huisadres verandert? Ik zou zelf waarschijnlijk niet eens weten waar ik moest beginnen.

Het bedrijf heeft bovendien het meeste belang bij correcte klantgegevens. Ze hebben deze nodig voor hun functioneren (en dus het gerechtvaardigd belang) en dragen ook de consequenties als data is verouderd. Denk maar eens aan de volgende risico’s:

Kosten

Elke communicatie-uiting kost geld. Als je die stuurt aan klanten die zijn verhuisd of overleden, is dat niet alleen heel vervelend maar bovendien nogal wat weggegooid geld.

Stel dat het € 5 per jaar kost om met een klant te communiceren. Een klantenbestand veroudert gemiddeld elk jaar met 15 tot 20%. Als je dit uitrekent, dan verlies je, afhankelijk van de grootte van je klantenbestand, al gauw tientallen tot honderdduizenden euro’s per jaar. Dat is niet alleen zonde van het geld, maar ook van je inspanningen!

Imagoschade

Behalve de kosten, bestaat het risico dat er negatief op social media over het bedrijf wordt gesproken als je vaak post verkeerd laat bezorgen. Zeker als je communicatie-uitingen aan overleden klanten stuurt, kan dat pijnlijke situaties opleveren, die tot felle reacties kunnen leiden online. En dat soort imagoschade kan nog jaren blijven kleven aan jouw bedrijfsnaam…

Boete

Sinds de invoering van de AVG komt er naast bovengenoemde risico’s dus ook nog het risico op een boete van de Autoriteit Persoonsgegevens bij. Die boetes zijn aanzienlijk: maximaal 20 miljoen of 4% van de wereldomzet.

Aanpak voor het actueel houden van je klantdata

Hoe kun je er dan wél voor zorgen dat je klantgegevens accuraat houdt?

Functionaris voor Gegevensbescherming

Als je een Functionaris voor Gegevensbescherming (FG) in dienst hebt genomen, kun je dit onderwerp met hem of haar bespreken. Hoe maakt hij/zij het actueel houden van de klantgegevens onderdeel van zijn/haar takenpakket?

Klantendatabase valideren en onderhouden

We kunnen je bovendien helpen om je klantendatabase te valideren, corrigeren en zo nodig aan te vullen. Aan de hand van een datascan maken we een business case met de kosten per jaar. Ook adviseren we je graag over beschikbare datakwaliteit oplossingen in de markt. Deze investeringen zijn gegarandeerd goedkoper dan het boetebedrag dat de Autoriteit Persoonsgegevens kan opleggen.

Ontvang signalen over verouderde data

Ook beschikken we over een community die signalen van niet actuele en accurate gegevens opvangt en deze meldt bij de betreffende bedrijven. Zo kun jij actie ondernemen, zonder hoge kosten te maken en continu te monitoren of de gegevens nog kloppen. Op basis van de berichten van onze community weet je gericht met wie je contact op moet nemen om te controleren of zijn/haar gegevens nog kloppen.

Maximaal rendement

Door het actueel en accuraat houden van je klantgegevens, voorkom je een boete en haal je bovendien maximaal rendement uit je data. Neem daarom ook het actueel houden van je klantdata mee bij het AVG-proof maken van je datahuishouding!

Wil je hier eens over sparren? Neem dan gerust contact met ons op.

 

Martijn de Boer, CEO Consumenten Data Diensten Nederland (CDDN)

 

PS Vond je dit een interessant artikel? Download onderstaande whitepaper waarin je 5 concrete tips krijgt om jouw bedrijf AVG-proof te maken.

 

Whitepaper Downloaden