Inzicht

Een privacybeleid geeft klant én medewerker wat ze nodig hebben

  • Share

Telecommunicatieoperator Mobistar heeft al een hele kluif aan de wettelijke bescherming van de massa aan persoonlijke gegevens die hij behandelt. Maar het bedrijf luistert ook naar de verwachtingen van klanten en doktert uit wat welke medewerker precies kan doen en wat niet. Dan pas ontstaat er een volwaardig beleid voor gegevensprivacy.

Voor telecomoperator Mobistar is gegevensprivacy geen kleine zaak. Het bedrijf telt 1.800 medewerkers, nadat recentelijk meer mankracht werd ingeschakeld in de klantendiensten en de winkels. Met zijn 4,5 miljoen klanten, goed voor 1,5 miljard euro omzet, krijgt het enorm veel persoonlijke gegevens te verwerken. ‘Vooral omdat we veel ‘post paid’-klanten hebben, waarbij via de facturatieprocessen meer persoonlijke informatie komt kijken’, weet Paul-Marie Dessart, secretarisgeneraal bij Mobistar.

Klanten gevoelig

‘Maar het gaat bij dataprivacy niet alleen om de informatiestromen over klanten, het gaat ook over medewerkers. Vroeger werd deze materie nooit in haar geheel aangepakt en gingen we niet na of alles wel coherent was. We stonden er ook niet bij stil welke nakende ontwikkelingen impact hebben op de dataprivacy. Maar met de doorbraak van het mobiele dataverkeer moesten we mogelijke onrust over persoonlijke gegevens voorkomen of opvangen. Hoewel hun vaste telefoonnummer altijd al in telefoonboeken stond, percipiëren klanten dat soms anders voor hun mobiel nummer. Maar de wetgever behandelt alle persoonlijke gegevens op dezelfde manier, of dat nu een vast nummer is of een mobiel, een adres of de inhoud van een tekstbericht. Wij moeten verder gaan om rekening te houden met de gevoeligheden van klanten’, verklaart Paul-Marie Dessart nog.

Mobistar kiende uit hoe het best de privacykwesties zou beheren. ‘We maakten een balans op van wat de klant wilt. Via workshops konden medewerkers hun gewoonten leren kennen. EY stond ons bij met begeleiding en met het aanreiken van de beste praktijken uit andere landen. Als je zo’n breed project opzet, pak je in essentie drie aspecten aan: deugdelijk bestuur, principes en risicobeheer. Deugdelijk bestuur vereist dat voor alle rollen in het bedrijf de verantwoordelijkheden goed worden gedefinieerd en dat er duidelijk over wordt gecommuniceerd. Iedereen moet beseffen dat privacy belangrijk is, zowel in het callcenter, als bij de facturatie of in het magazijn. Zij komen allemaal in aanraking met privégegevens.’

Risico’s kennen

De communicatie werd aantrekkelijk opgevat en was overal in de kantoren van Mobistar te zien. ‘Het moest echt doordringen dat je de gegevens die je dagelijks behandelt, voorzichtig en discreet moet benaderen. Dit soort communicatie herhalen we ook regelmatig, want medewerkers komen en gaan’, aldus nog Paul-Marie Dessart. Een tweede as voor zijn privacybeleid betrof de procedures en principes. ‘Je moet ervoor zorgen dat de procedures van bijvoorbeeld incidentmanagement goed draaien, evenals de alarmen. Als iemand geen machtiging heeft, maar wel aan bepaalde gegevens probeert te geraken, volgt er zowel een alarm als een blokkade, samen met een identificatie. Voor dit systeem gebruiken we de beste beschikbare software.’

Risicobeheer is ook los van gegevensprivacy een belangrijke zaak bij Mobistar. ‘De analyse van de bedreigingen voor gegevensprivacy brengt systematisch ook de kwetsbaarheid en de beste manier van voorkomen in kaart. De analyse moet je altijd weer herhalen, want er duiken geregeld nieuwe risico’s op. We moetenbeveiligingsinfrastuctuur, processen en dergelijke blijven testen, zodat de gegevensveiligheid gewaarborgd blijft. Maar daarvoor moet je ook steeds weer identificeren wat klanten verwachten van ons. De klant moet vertrouwen hebben, transparantie krijgen, controle houden en de waarde ervan ervaren. De wet schrijft veel voor over toegang van de klant tot zijn gegevens, maar hij moet er ook leesbare en bevattelijke informatie over krijgen, en wel snel genoeg.’

Deel van klantenzorg

Die aanpak sluit naadloos aan bij de bedrijfsstrategie. ‘De strategie is gericht op het centraal plaatsen van de eindgebruiker. Alles wat de klant betreft, verdient de beste service. Dit behelst bepaalde evidente zaken, maar ook de behandeling van zijn persoonlijke gegevens. In onze branche is Mobistar niet toevallig de enige met een departement Klantentrouw, dat mee bouwt aan de ‘happy customer’. Ook daar is gegevensprivacy een van processen die een verschil kunnen maken. Telkens als er ergens een veiligheidlek in de media komt, moeten wij mensen kunnen geruststellen.’

Een degelijk gegevensprivacybeleid vraagt meer dan een toepassing van de wetgeving. ‘De wet schrijft voor dat een operator zoals Mobistar in de keten van informatie de ‘privégegevens’ moet afschermen en beschikbaar houden voor de persoon zelf. Maar het hele beschermingsproces moet in je bedrijf vooral goed werken, zodat je ook goed aan de verwachtingen van de klant kunt voldoen. Tegelijk mogen medewerkers alleen toegang hebben tot dat wat ze nodig hebben voor hun taken. We kunnen meteen identificeren wie info opzoekt die hem niet toekomt, en dat werkt als afschrikking. Daarom hebben we nauwkeurige beleidslijnen voor alle profielen van medewerkers.’