Mijn eerste GDPR klacht en hoe ik die aanpakte - stappenplan

Ik hoor niet tot de ondernemers die zich door de invoering van de GDPR / AVG hebben laten verlammen of die er zich niets van aangetrokken hebben.

Integendeel. Ik zag (en zie) de invoering van de Europese Privacywetgeving als een kans om mijn marketing te versterken en alleen die mensen te bereiken die behoefte hebben aan kennis over en hulp bij online marketing. Bij de overgang op 25 mei 2018 had ik gezorgd dat ik 'in orde' was.

Toch had ik op het einde van 2018 een klacht aan mijn been...
Gelukkig liep het goed af, dankzij een aantal concrete stappen die ik gezet heb.

Hieronder krijg je het stappenplan dat ik gebruikte om deze privacy-klacht te beantwoorden.

DE KLACHT

Vlak voor de feestdagen kreeg ik een boze mail van iemand. De toon was duidelijk: de persoon gaf aan geen mails van mij te willen ontvangen, wilde controleren of en welke gegevens bewaard werden en wilde zich er persoonlijk en live bij mij komen van vergewissen dat de gegevens ook geschrapt werden. In het bijzijn van een advocaat van de klager, waarbij alle kosten door mij gedragen zouden moeten worden.

WAT WAS ER GEBEURD?

Ik was compleet verbouwereerd. Precies omdat ik altijd zorgvuldig met gegevens omga, verwonderde de klacht op zich én de toon me heel erg.
MIjn eerste reflex was om na te gaan wat er precies gebeurd was.

Het bleek dat bij de overgang van de ene listmanager naar de andere, ik de lijsten met contacten had gedownload. Al deze contacten hadden zich ooit vrijwillig en zelf op deze lijst ingeschreven.

Omdat niet iedereen zich zelf op de nieuwe lijst had aangemeld, kregen sommigen mijn berichten niet meer. Daarover kreeg ik in het najaar verschillende vragen.
Ik had als antwoord daarop eenmalig een mail gestuurd naar al deze contacten (die dus gewoon waren om zeer regelmatig van mij bericht te krijgen) met de uitnodiging om mijn Social Media Snelgids te downloaden.

De respons was zeer goed.
En toen kwam die klacht.

Uit mijn onderzoek bleek dat een handjevol contacten per ongeluk een mail had gekregen terwijl ze zich hadden uitgeschreven. Een menselijke fout. Gelukkig eenmalig maar bon, de klacht was er.

MIJN REACTIE

Precies omdat privacy voor mij zo belangrijk is, vond ik deze klacht heel erg. Ze raakte me in mijn ziel.
Toen ik vaststelde wat aan de grondslag lag van de boze mail, was ik vastbesloten om dit op een redelijke manier op te lossen, waarbij zowel de klager als ikzelf tevreden zouden zijn.

Ik was in elk geval niet van plan om zomaar toegang te geven tot alle gegevens, omdat hierdoor de privacy van mijn andere contacten in het gedrang zou komen.

DISCLAIMER

Even voor de duidelijkheid:
Onderstaand stappenplan is mijn persoonlijke werkwijze in deze concrete situatie. Dit is geen juridisch advies en levert geen garantie voor gelijkaardige resultaten in gelijke of verschillende situaties. Raadpleeg een jurist voor GDPR-gerelateerde vragen.

MIJN STAPPEN

Om deze klacht aan te pakken, heb ik een aantal stappen gezet.
Enerzijds verdiende de klager een volledig antwoord, anderzijds moest ik ook echt actie ondernemen om tegemoet te komen aan de klacht.

STAP 1
Uitzoeken waar het probleem precies zat.

Wat was er gebeurd, hoe was de fout kunnen ontstaan?
Daarvoor heb ik gekeken waar precies de gegevens van deze persoon bewaard worden, waar ze gebruikt werden. Ik heb mijn hele proces nogmaals nagevlooid om er zeker van te zijn dat ik de juiste informatie kon geven.

STAP 2
Onderzoeken hoe ik tegemoet kon komen aan de grond van de klacht.

De klager wou vooral dat de persoonlijke gegevens verwijderd werden. Hoe kon ik dat doen?
Gelukkig bewaar ik enkel algemenene gegevens van mijn contacten: e-mailadres en (voor)naam. Van klanten bewaar ik natuurlijk meer gegevens.

STAP 3
Bedenken hoe ik de klager inzage en controle kon geven.

De klager wilde ook zeker zijn van de effectieve verwijdering van de persoonlijke gegevens. Daarbij wilde ik geen kosten maken, en ook geen inzage geven in mijn bestanden waarbij de privacy van anderen in het gedrang zou komen.

STAP 4
Ik stuurde een antwoord naar de klager met de volgende inhoud.

Ik heb aan de klager toegegeven dat ik een fout gemaakt heb en heb mijn excuses aangeboden.
Ik heb bevestigd dat de klager het recht heeft om alle persoonlijke gegevens in te kijken en te laten verwijderen.
Ik heb een volledig overzicht gegeven van welke gegevens ik bewaar, welke systemen ik daarvoor gebruik, of deze gegevens nog elders worden bewaard en wie toegang heeft tot deze gegevens (dat is in dit geval enkel ikzelf). Ik heb ook aangegeven dat de klager zichzelf heeft aangemeld en nadien heeft uitgeschreven. Ik heb daarna een screenshot toegevoegd met al deze gegevens van de klager
Ik heb geschetst wat er precies gebeurd is bij de overgang van het ene e-mailsysteem naar het andere en hoe de fout is kunnen ontstaan.
Ik heb aangegeven welke actie ik onmiddellijk heb genomen om te zorgen dat de gegevens van de klager definitief verwijderd worden van de e-maillijst en ik heb van die actie ook een schermopname gemaakt.
Ik heb voorgesteld om een andere actie te nemen die ik door technische beperkingen van het systeem slechts een week nadien kon uitvoeren. De klager kreeg de keuze om dit live mee te maken via Zoom-sessie of een schermopname toegestuurd te krijgen. Deze actie zou alle gegevens definitief verwijderen.
De toon van mijn antwoord was begripvol, bewust van de fout die ik gemaakt heb, maar ook duidelijk en gestructureerd. Het is uiteindelijk een lange mail geworden, met de nodige screenshots en zo compleet mogelijke informatie naar de klager toe.

HET ANTWOORD VAN DE KLAGER

Het antwoord van de klager liet niet lang op zich wachten, en was positief bij zoveel informatie en concrete actie. De klager liet weten dat er geen verdere stappen meer moesten gebeuren en dat hij/zij ging nakijken of de eigen procedures wel even waterdicht zijn...

Om volledig correct te zijn, heb ik toch ook de laatste actie nog genomen waardoor de gegevens van de klager nu volledig verwijderd zijn.

Voor mij is deze klacht nu definitief afgehandeld, tot tevredenheid van de klager, en van mij.

LEERPUNTEN

Blijven ademen. Een klacht kan zeer intimiderend zijn, en ook de toon kan je de stuipen op het lijf jagen. Een rustige, goede aanpak lost de meeste conflicten op.
Bied je excuses aan als je een fout gemaakt hebt. Vergissen is menselijk. De GDPR is niet bedoeld voor heksenjacht tegen kleine foutjes, wel tegen systematisch misbruik van vertrouwelijke gegevens.
Zorg dat je jouw processen kent. Weet wat je bewaart, en waar je het opslaat. Noem man en paard naar de klager, dat geeft vertrouwen en toont dat je weet waar je mee bezig bent.
Schermopnames of Skype/Zoomsessies waarbij je jouw scherm deelt en de klager kan laten meekijken tijdens bepaalde handelingen geven inzicht en controle van op afstand.
! Bewaak de privacy van anderen! Toon alleen de gegevens van de klager, niét die van anderen op jouw lijst. Maak daarbij gebruik van de filter-functie in Excell, van het ‘blurren’ van een deel van je scherm of opname, …

TOT SLOT

Een klacht krijgen is nooit fijn, en het was even schrikken van deze reactie.
Door mijn processen te kennen en goede voorstellen te doen aan de klager, is dit toch op een postieve manier afgerond.

Goed omgaan met klachten en privacy is voor mij een onderdeel van moderne online marketing. Heb je hier vragen over, of wil je graag ook jouw marketing versterken? Neem dan gerust contact met mij op.

Warme groet,
Ilse

Online marketing training en advies voor zelfstandigen en bedrijven