Klantcontact Monitor verwerkt jaarlijks voor een groot aantal opdrachtgevers meer dan 7 miljoen interacties met consumenten. “Dat brengt risico’s met zich mee,” aldus Hirschel Hessel van de Klantcontact Monitor. Een aantal klanten vroeg, vooruitlopend op de komst van de nieuwe Algemene Verordening Gegevensbescherming (AVG), zelfs om een ISO 27001-certificaat. Daarmee kan je als organisatie aantonen dat je risico’s op het gebied van informatiebeveiliging onder controle hebt. De komst van de nieuwe Europese regels, maar ook de eigen ervaringen rondom het certificeringstraject, waren voor Hessel de aanleiding om een kennissessie te organiseren over ‘informatie en reputatie’. Klantcontact.nl doet verslag.

Hirschel Hessel gaf een openhartige impressie van hoe Klantcontact Monitor het certificeringstraject heeft doorlopen. “Wij kregen steeds vaker vragen over hoe wij omgaan met data. Moet je dan zeggen ‘we zoeken het uit en komen er op terug’? We wilden dit proces zelf ook inzichtelijk hebben en goed documenteren. We zijn begin 2016 gestart met het traject om ISO 27001-certificering door te voeren. Na een onstuimig proces hebben we het felbegeerde certificaat binnengehaald. We dachten toen heel euforisch dat we ‘klaar’ waren, maar daarna begint het pas.”

Invoeren ISO 27001: lessons learned

Hessel vertelt: “Informatiebeveiliging staat nu wekelijks op de agenda en alles wat wordt besproken, wordt ook vastgelegd. Er zijn allerlei documenten, protocollen en systemen opgetuigd en ingericht – waaronder een Information Security Management System (ISMS) en een incidentensysteem: hoe handelen we bij beveiligingsissues of datalekken? Er wordt momenteel een interne security officer opgeleid.” De lessons learned volgens Hessel: “Als je eenmaal begint met het serieus nemen van informatiebeveiliging is er is geen weg terug. Het kost meer tijd dan je denkt en het vergt alle aandacht, maar de voordelen wegen vele malen zwaarder. Je versterkt het vertrouwen van je klanten, je krijgt een beter zicht op de keten en kunt dus beter met risico’s omgaan.”

Crisissituaties en communicatie

Dat je je uiterste best doet om beveiligingsrisico’s in kaart te brengen en je hierop voor te bereiden betekent niet dat je onkwetsbaar bent. Cees van Doorn (Factor50) liet zien dat reputatieschade het gevolg kan zijn van allerlei secundaire zaken: denk aan onhandige uitlatingen van bestuurders (Gerrit Zalm over salarisverhogingen bij ABN AMRO), aan misstappen van directieleden (Timo Huges bij NS) of aan rommelige communicatie (NVWA bij de Fipronil-eieren). Organisaties die vooraf hun risico’s goed hebben doordacht, weten hoe ze moeten handelen wanneer een crisissituatie ontstaat. Daar horen ook issues op het gebied van informatiebeveiliging bij, zoals onlangs duidelijk werd met de spionerende reclameborden op NS-stations. “Vertrouwen is belangrijk,” aldus Van Doorn en de sleutel tot succes is eenvoudig: “Zeggen wat je doet en doen wat je zegt is de manier om vertrouwen op te bouwen. De oplossing zit in open en transparant zijn.”

Van Doorn heeft een overzichtelijke checklist: zorg er voor dat de basis op orde is, weet hoe de crisisorganisatie moet handelen bij calamiteiten en neem de tijd om te analyseren wat er echt aan de hand is. Bijvoorbeeld: wie bepaalt of iets een datalek is? Zorg daarna voor een heldere kernboodschap: dit is er mis gegaan en dit is wat we gaan doen. Een goed crisisplan geeft ook antwoord op de vragen ‘zijn we bereikbaar, hoe kunnen we opschalen, wie zorgt voor de social media?’ Hij sluit af met een goede tip: het kan geen kwaad binnen je organisatie een keer te oefenen met een crisisscenario. Je weet dan meteen wat je aan elkaar hebt en waar je tegenaan loopt.

AVG: meer dan alleen voldoen aan regels

Dan door naar de informatiebeveiliging zelf. De Algemene Verordening Gegevensbescherming is in 2016 ingevoerd waarna een overgangsperiode van twee jaar aanbrak. Per 25 mei 2018 is die voorbij en moet iedere organisatie voldoen aan de regels. Jeroen Wittink, managing partner van Factor50 Informatieveiligheid, illustreert met een aantal voorbeelden dat het bij informatiebeveiliging om meer gaat dan alleen het ‘voldoen aan de regels’. De 650 reclameborden op de NS-stations die via camera’s kunnen monitoren wie er naar de reclame kijkt (en zaken vastlegt zoals geslacht, tijdsduur en emotie) roepen allergische reacties op bij NS-klanten: niet goed voor de reputatie van het bedrijf, dat toch al regelmatig negatief in het nieuws komt.

Veel van de nieuwe Europese regelgeving die op ons afkomt, is in ons land al van toepassing via de Wet bescherming persoonsgegevens. Maar landen zijn vrij om zelf extra regels toe te voegen aan de AVG. Dat betekent opletten wanneer je als bedrijf bijvoorbeeld persoonsgegevens verwerkt met behulp van cloudapplicaties van buitenlandse partijen. Ook is het erg belangrijk om goed zicht te hebben op welke gegevens je verwerkt en welke niveaus van beveiliging daarbij horen. Zo kan er een verschil zijn tussen de gegevens die je nodig hebt om de klant te kunnen bedienen (een grondslag voor de verwerking is bijvoorbeeld een contract) en gegevens die je graag aanvullend wil hebben. Ook zijn gewone persoonsgegevens iets anders dan bijzondere persoonsgegevens – zoals medische data of gegevens over ras, godsdienst of seksuele voorkeur. Met dat laatste type gegevens moet je extra zorgvuldig omgaan. Een ander belangrijk punt in de AVG is dat gegevens alleen maar gebruikt mogen worden voor het doel waarvoor ze verzameld zijn (doelbinding).

‘Gegevens bekijken’ is ook bewerken

Wanneer je compliant wilt zijn, moet je goed weten in welke situaties je expliciet toestemming nodig hebt om gegevens te verwerken. Gegevens verwerken betekent bijvoorbeeld ook: gegevens bekijken. Bedrijven worden ook verplicht om een zogenaamd ‘Register van verwerkingen’ op te stellen waarin is vastgelegd welke gegevens men in huis heeft en hoe die worden verwerkt.

Dat veel bedrijven hier nog niet goed over nagedacht hebben, wordt duidelijk met een paar eenvoudige vragen: wie registreert bij een eenvoudige informatieaanvraag klantgegevens zoals een e-mailadres en een telefoonnummer? Hoe lang en waar worden die gegevens bewaard en is dat met toestemming van de klant? Wat moet er gebeuren als een klant die toestemming intrekt? Moet je ook data verwijderen uit back-ups? Soms wordt er te weinig informatie weggegooid, soms wordt er te gemakkelijk weggegooid. Informatiebeveiliging gaat ook over de vraag wat er aan papier in de prullenbak belandt; of deuren gemakkelijk open gaan voor vreemden, en of er post-it briefjes met wachtwoorden op beeldschermen hangen. Het blijkt dat deze situaties bij de deelnemers van de kennissessie – van woningbouwcorporaties tot overheidsinstellingen – zeer herkenbaar zijn.

Niet onderschatten

Kern van de nieuwe privacywetgeving is dat de burger meer rechten krijgt en dat zijn gegevens beter beschermd worden. Bedrijven zullen hierbij naar hun rol in de informatieketen moeten kijken, want je kunt in de nieuwe wet geen verantwoordelijkheden afschuiven. Zelf de regie in handen nemen en actief aan de slag gaan met systemen en processen is noodzakelijk voor succes; het gaat niet vanzelf, iets wat Hessel onderstreept. “Als het gaat om informatiebeveiliging besteedt Klantcontact Monitor nu 20 tot 30 uur per week aan het maken van afspraken met klanten en leveranciers. Het is een investering waar we in eerste instantie geen rekening mee hielden. Maar als je het nu niet goed regelt, komt het later als boemerang terug”, zo is de overtuiging van Hessel.

TIP: Klantcontact Monitor heeft een handige poster ontwikkeld met daarop de belangrijkste aandachtspunten rondom de AVG en informatiebeveiliging. Deze kan kosteloos worden besteld.  

Tekst: Erik Bouwer

Customer Experience KCM