500.000 euro boete voor GDPR inbreuken in call centers

“Hallo meneer, bent u verantwoordelijk voor de energie in uw bedrijf?” Over GDPR en privacy in call centers…

Bij Sirius Legal benadrukken we in het kader van GDPR compliance projecten bij onze cliënten die beroep doen op call centers dat bijzondere aandacht nodig is voor het naleven van de regels inzake GDPR en databescherming in het kader van telemarketing en cold calling.  

Het belang hiervan werd recent bevestigd door de Franse gegevensbeschermingsautoriteit CNIL, die een boete van 500.000 euro opgelegde aan het bedrijf Futura Internationale precies omwille van het niet naleven van de regels uit de Algemene Verordening Gegevensbescherming in het kader van telefonische prospectie.

GDPR inbreuken call centers

Hoge boete voor een klein bedrijf

Futura Internationale is allesbehalve een multinational.  Het is een middelgroot Frans bedrijf met nauwelijks 100 werknemers dat warmtepompen en isolatiematerialen levert.  

Om haar producten aan de man te brengen, doet het bedrijf beroep op een call center voor telemarketing naar consumenten.

Eén van die consumenten legde in februari 2018 een klacht neer bij de CNIL omdat zij ondanks herhaalde verzoeken om haar gegevens te verwijderen toch nog steeds telefoontjes met reclame voor de producten en diensten van Futura Internationale kreeg.  De klant in kwestie verklaarde in haar klacht aan de CNIL dat ondanks haar herhaalde mondelinge en schriftelijke verzoeken, de ongevraagde telefoontjes toch maandenlang bleven aanhouden.

Waar ging Futura Internationale in de fout dan?

Tijdens het daaropvolgende onderzoek stelde de CNIL vast dat Futura Internationale beroep deed op verschillende call centers.  Zij gaf daarbij prospectlijsten door aan elk van deze call centers, waarbij de contactgegevens van dezelfde prospects terugkwamen op verschillende lijsten.  Deze mensen werden dus gebeld door verschillende call centers.  

Onze persoonlijke bedenking hierbij is dat dit een bijzonder klantonvriendelijke en inefficiënte werkwijze is, aangezien dezelfde mensen op deze manier telkens opnieuw gebeld worden met dezelfde boodschap, wat zeer snel contraproductief werkt.  Iedereen met een eigen zaak kent in België ongetwijfeld ook de niet aflatende stroom van telefoontjes die informeren naar “de verantwoordelijke voor de energie in uw bedrijf”…

Puur juridisch gezien onder GDPR echter was de vaststelling van de CNIL dat Futura Internationale de rechten van de betrokkenen niet respecteerde en met name dan het recht op verzet tegen verdere verwerking.  Het bedrijf had geen gecentraliseerde CRM tool of prospectlijst. Daardoor kon zij niet opvolgen wie via één call center gevraagd had om niet meer gebeld te worden om dit vervolgens door te briefen aan alle andere call centers.  Dezelfde mensen die reeds om verwijdering van hun gegevens gevraagd hadden bleven daardoor telkens opnieuw gebeld worden en moesten vaststellen dat hun gegevens de facto niet verwijderd waren binnen alle databases van het bedrijf.

Hele reeks bijkomende inbreuken

Een vaak gedane vaststelling bij controles inzake GDPR is dat een klacht over één concreet onderwerp leidt tot een meer uitgebreide controle, waarbij heel wat andere inbreuken aan het licht komen.

In het geval van Futura Internationale heeft de CNIL uiteindelijk 4 ernstige inbreuken op de Algemene Verordening Gegevensbescherming vastgesteld:

  • In de CRM tool van Futura Internationale werden verslagen van telefoongesprekken bijgehouden, inclusief gegevens over de gezondheidstoestand van de betrokkenen (en ook geregeld omschrijvingen van de betrokkenen in erg beledigende taal).  Gezondheidsgegevens mogen nochtans enkel verwerkt worden onder de zeer specifieke voorwaarden die de GDPR oplegt aan “gevoelige gegevens”. In se betekent dat dat voorafgaande en expliciete toestemming altijd vereist is.
  • Bovendien bevonden de callcenters zich meestal in Noord-Afrika.  Dat laatste gebeurt wel vaker voor met name de Franstalige markt.  In principe is het gebruik van Marokkaanse call centers niet noodzakelijk een probleem, maar de vaststelling is wel dat op deze wijze persoonsgegevens buiten de EU geëxporteerd worden.  Data export is aan strenge voorwaarden onderworpen en naar landen die, zoals Marokko, geen gelijkwaardig niveau van databescherming kunnen garanderen zoals de EU kan je enkel data uitvoeren als er zeer strikte contractuele garanties gegeven zijn door de ontvanger op basis van de zogenaamde Standaard contractclausules van de EU.
    Die laatste waren hier niet voorhanden en het gebruik van de betreffende call centers was dus in strijd met de GDPR omdat er niet voldoende niveau van veiligheid voor de betreffende persoonsgegevens voorzien was.
  • Ten slotte bleek dat alle gesprekken opgenomen werden, maar dat de betrokkenen hiervan niet op de hoogte waren (noch van enige andere verwerking van hun persoonlijke gegevens, overigens).
  • Om het plaatje compleet te maken bleek ook nog dat het bedrijf in kwestie niet spontaan meewerkte met het onderzoek van de CNIL, wat de boete enkel maar verhoogd heeft.

Wat moet je dus weten als je beroep doet op call centers

  • Zorg dat je werkt met call centers binnen de EU of win juridisch advies in als je toch in zee wil gaan met call centers buiten de EU.
  • Zorg voor goede verwerkersovereenkomsten met je call center, waarin deze garanderen dat ze je data overeenkomstig GDPR én overeenkomstig jouw instructies verwerken en waarin ze garanderen dat jouw gegevens veilig zitten bij hen.
  • Zorg ervoor dat je gegevens definitief en integraal kan verwijderen binnen 30 dagen nadat een betrokkene daarom verzocht heeft en dat uit al je databases en bij al je partners (bij alle call centers dus).
  • Wees je er van bewust dat je enkel die gegevens over mensen mag verzamelen en verwerken waarvan je kan aantonen dat ze relevant en noodzakelijk zijn voor jouw bedrijf.  Medische gegevens vallen daar in de meeste gevallen niet onder. Beledigende omschrijvingen van mensen vallen daar óók niet onder.
  • Weet wat dat laatste betreft dat mensen ook inzage in hun gegevens kunnen eisen en dat je in dat geval die beledigende omschrijvingen ook vrij moet geven, wat een ramp is voor je merkimago.
  • Weet ook dat er een verschil is tussen de do-not-call-me lijst enerzijds en de correcte toepassing van GDPR anderzijds.  Als een betrokkene vraagt om zijn gegevens te verwijderen uit jouw database, beroept hij of zij zich op GDPR. Hij of zij heeft het recht om die verwijdering te vragen, zonder motivering en zonder beperking als het om een marketingdatabase gaat.  Je kan niet eenvoudigweg weigeren om gegevens te verwijderen en antwoorden dat de betrokkene “zich dan maar moet inschrijven op de do-not-call-me lijst”. Het kan best zijn dat iemand alleen gewist wil worden uit jouw database, maar voor anderen wel nog bereikbaar wil zijn.
  • Zorg dat je call center transparant werkt.  Zorg dat zij zich identificeren, dat zij geen opnames maken zonder toestemming, dat zij melding maken van jouw privacy policy en over de plaats waar mensen daar kennis van kunnen nemen.  Je hebt immers een wettelijke verplichting tot informatie en transparantie

Toon respect voor je klant

We hebben het recent in een aantal presentaties en artikels gehad over het belang van vertrouwen -trust- in de opbouw van een langetermijnrelatie met je audience als marketeer.   Vertrouwen van de consument, vertaalt zich in de bereidheid om een langetermijnrelatie aan te gaan en de bereidheid om gegevens te delen.  

Dat geldt onverminderd in telemarketing.  Je brengt je bedrijfsimago onherroepelijk schade toe door je publiek telefonisch plat te spammen via verschillende call centers met telkens dezelfde vraag (“Bent u de verantwoordelijke voor de energie in uw bedrijf…?).  Los van de ontelbare juridische issues die dat soort spamming met zich meebrengen, doe je er jezelf als bedrijf op lange termijn geen plezier mee…

Meer weten over GDPR, direct marketing of telemarketing?

Neem gerust vrijblijvend contact op via bart@siriuslegal.be of via 0486901931