Privacy en AVG bij metingen door belastingorganisaties: mag je e-mailadressen zomaar gebruiken?
De digitale dienstverlening bij belastingorganisaties biedt talloze mogelijkheden om de kwaliteit te monitoren en verbeteren. Maar, met deze kansen komen ook verantwoordelijkheden, vooral op het gebied van privacy en gegevensbescherming. Hoe kan jouw belastingorganisatie zorgvuldig omgaan met de gegevens van burgers bij het uitvoeren van tevredenheidsmetingen?
Nulmetingen, klanttevredenheid- en bereikbaarheidsonderzoeken: ze zijn onmisbaar om de kwaliteit van de dienstverlening binnen jullie belastingorganisatie te meten en te verbeteren. Het verzamelen van feedback via digitale kanalen, zoals e-mail, is daarbij een efficiënte methode. Maar hoe zit het met het verzamelen van persoonsgegevens, zoals e-mailadressen, in het licht van de privacywetgeving en de Algemene Verordening Gegevensbescherming (AVG)?
Om taken goed uit te kunnen voeren, verzamelt jouw organisatie persoonsgegevens van burgers. Vaak is het voor hen verplicht om deze gegevens te verstrekken. Daarom is het belangrijk dat zij erop kunnen vertrouwen dat jullie zorgvuldig omgaan met die gegevens.
De AVG, de Europese privacywet die in mei 2018 van kracht ging, verplicht organisaties, (inclusief belastingorganisaties) om zorgvuldig en met een duidelijk doel om te gaan met persoonsgegevens. Het is belangrijk dat burgers geïnformeerd worden over het gebruik van hun gegevens en dat hun privacy is gewaarborgd.
Het is aan jullie om duidelijk te communiceren waarom bepaalde gegevens worden verzameld, hoe ze worden gebruikt, en hoe de privacy wordt beschermd.
Voordat we dieper ingaan op hoe je gegevensbescherming goed kunt aanpakken, eerst het antwoord op de veelgestelde vraag: “Mag je e-mailadressen uit een klantregistratiesysteem gebruiken voor het uitvoeren van metingen?” Het antwoord is JA. Je mag e-mailadressen gebruiken voor onderzoek, mits het uitsluitend voor dit doel is.
Als je effectief aan de slag wilt met gegevensbescherming binnen je belastingorganisatie, is het belangrijk om een verwerkersovereenkomst op te stellen. (We vertellen je zo wat dat exact is.) Ook is het noodzakelijk om een beveiligd platform te gebruiken voor het uitvoeren van metingen, zoals ons KCM-platform. Ook omvat dit het aanbieden van een eenvoudige uitschrijfmogelijkheid (opt-out) voor je klanten wanneer zij niet willen deelnemen. Met deze maatregelen zorg je ervoor dat de gegevensbescherming in lijn is met de AVG en dat je de gegevens van burgers veilig verwerkt.
Daarnaast is het belangrijk dat je organisatie zich niet alleen richt op digitale communicatiekanalen. Het aanbieden van alternatieve manieren om deel te nemen aan metingen, zoals via openbare links, QR-codes of telefonische enquêtes, zorgt ervoor dat alle burgers de kans krijgen om hun mening te delen. Natuurlijk moet ook hier duidelijk zijn wat er met de verzamelde gegevens gebeurt.
Die verwerkersovereenkomst dus, wat is dat nou precies? Buiten dat het een leuk woord voor galgje is, is het ook een juridisch document dat de afspraken vastlegt tussen de organisatie (de verwerkingsverantwoordelijke) en de partij die in opdracht van de organisatie persoonsgegevens verwerkt (de verwerker). Dit is noodzakelijk wanneer de belastingorganisatie bepaalde taken, zoals het uitvoeren van klanttevredenheidsmetingen, uitbesteedt aan externe dienstverleners.
De verwerkersovereenkomst is gebaseerd op de AVG en zorgt ervoor dat de verwerking van persoonsgegevens veilig en privacyvriendelijk verloopt. Uiteraard in overeenstemming met de wetgeving.
Het doel van zo’n verwerkersovereenkomst is tweeledig. Aan de ene kant om de privacy van betrokkenen te beschermen. Aan de andere kant om duidelijkheid te scheppen over de rollen en verantwoordelijkheden van de betrokken partijen. Dit helpt zowel jullie organisatie als de verwerker om te weten wat er van hen verwacht wordt en draagt bij aan het naleven van de privacywetgeving.
In een verwerkersovereenkomst leg je verschillende zaken vast. Dit zijn onder andere:
1. Het doel van de gegevensverwerking.
Leg specifiek vast waarvoor de persoonsgegevens verwerkt mogen worden. Voor klanttevredenheidsmetingen is dit bijvoorbeeld het verzamelen en analyseren van feedback van burgers.
2. Soorten persoonsgegevens.
Welke gegevens ga je verwerken? Dit kan variëren van basisinformatie zoals namen en adressen tot meer gevoelige gegevens, zoals bankrekeningnummers ten behoeve van een automatische incasso.
3. Beveiligingsmaatregelen
Welke technische en organisatorische maatregelen neemt de verwerker om de persoonsgegevens te beveiligen?
4. Subverwerkers.
Het kan zijn dat de verwerker van plan is om andere partijen (subverwerkers) in te schakelen voor de verwerking van de gegevens. Wanneer dit het geval is, moet dit in de overeenkomst worden opgenomen.
5. Rechten van betrokkenen.
Hoe worden de rechten van de personen van wie de gegevens worden verwerkt (zoals het recht op inzage, correctie en verwijdering) gewaarborgd?
6. Duur van de verwerking.
Wat is de periode waarin de gegevens verwerkt zullen worden en wat gebeurt er met de gegevens na afloop van de overeenkomst? (Bijvoorbeeld vernietiging of teruggave.)
7. Aansprakelijkheid en sancties.
Welke afspraken gelden er over aansprakelijkheid bij datalekken of niet-naleving van de AVG?
Wanneer alles netjes op orde is en je druk bezig bent met het uitvoeren van metingen, is het belangrijk om actie te ondernemen op basis van de resultaten. Het interpreteren van de feedback en het implementeren van verbeteringen zijn cruciaal voor het verbeteren van jullie dienstverlening. Het delen van de resultaten en geplande acties met burgers, bijvoorbeeld via de website of sociale media, kan bovendien het vertrouwen in je organisatie versterken en aantonen dat er serieus wordt omgegaan met hun input en privacy.
Verschillende metingen kunnen je belastingorganisatie waardevolle inzichten geven. Wel is het respecteren van de privacy van burgers en het naleven van de AVG hierbij essentieel.
Door het voldoen aan de wettelijke vereisten, bijvoorbeeld door transparantie, zorgvuldigheid en het bieden van opt-out mogelijkheden, win en behoud je het vertrouwen van burgers. Dit legt de basis voor een continue verbetering van jullie dienstverlening, met respect voor de privacy en rechten van alle betrokkenen.
Mag je e-mailadressen dus ‘zomaar’ gebruiken voor het uitvoeren van metingen? Ja, dat mag – zolang het uitsluitend voor onderzoek wordt gebruikt. En uiteraard hebben jullie alles rondom de AVG en privacy perfect ingeregeld 🙂
Meer weten?
Wil jij ook aan de slag met metingen binnen jouw belastingorganisatie of heb je vragen over AVG of privacy?
Vraag dan een demo aan met één van onze business managers.