Van compliance naar crisis: wat als iemand je klantenservice uitzet?
Stel je eens voor: morgen blijkt dat jouw klantenservice van het ene op het andere moment niet meer voldoet aan de privacywetgeving GDPR. Klinkt onwaarschijnlijk? Het kan binnenkort de realiteit zijn. Geopolitieke verschuivingen zetten de bestaande afspraken tussen de EU en de VS over privacybestendige gegevensuitwisseling onder druk. Wat kunnen klantcontact- en CX-specialisten doen?
Twintig jaar geleden hadden bedrijven nog een flinke telefooncentrale en draaiden er meerdere servers in de eigen ICT-ruimte voor alle contactcenterapplicaties. Denk aan de routeringssoftware, het WFM-pakket voor de planning, dialers voor de telemarketing en systemen voor de meldteksten en walldisplays. In het huidige digitale tijdperk halen we bijna alle functionaliteit ‘uit de cloud’, met Amerikaanse cloudproviders als dominante spelers. Europese organisaties zijn daardoor sterk afhankelijk geworden van Amerikaanse oplossingen voor klantenservice en contactcenters.
Toegang tot data
De VS willen graag toegang houden tot data die op Amerikaanse systemen worden verwerkt. Hiervoor hebben ze een set aan eigen regels opgesteld – onder andere de CLOUD-Act en FISA 702. Hiermee kunnen ze gegevens opvragen uit die oplossingen, met of zonder rechterlijke tussenkomst. Beide wetten geven Amerikaanse diensten verregaande rechten op toegang tot het opvragen of inzien van Europese data die op Amerikaanse systemen worden verwerkt – ook in Europese datacenters van Amerikaanse partijen.
Voor de broodnodige garanties op het gebied van privacy hebben Europese landen daarom steeds verdragen gesloten met de VS. Twee opeenvolgende regelingen, Safe Harbour en het Privacy Shield, waren bedoeld om voldoende garanties te bieden voor gegevensuitwisseling tussen Europa en de VS. Maar beide regelingen werden succesvol aangevochten, reden waarom sinds 2023 werken met de derde regeling, het zogenaamde Data Privacy Framework (DPF).
Afstand nemen van beperkende afspraken
Maar ook dat DPF staat inmiddels onder druk. Op de eerste plaats omdat de regeling wordt aangevochten door privacy-activisten (uitspraak op 1 april, geen grap). En op de tweede plaats om dat de hernieuwde regering Trump meerdere signalen heeft gegeven dat zij deze regeling wil loslaten. De VS zouden klaar zijn met alle beperkingen die aan hen worden opgelegd, zo klinkt het.
De kans bestaat dat de regering Trump zijn steun aan het Data Privacy Framework intrekt. Dat is geen loos alarm: de Amerikaanse toezichthouder op het huidige Data Privacy Framework – een belangrijke voorwaarde voor de EU om te kunnen werken met de GDPR – is al door Trump ontmanteld. Dat kan overigens ook een aanleiding zijn voor de Europese Commissie om de steun aan het DPF in te trekken.
Afhankelijkheid beperken?
Als het DPF wegvalt, ontbreekt voor veel Europese organisaties de juridische grondslag voor het gebruik van Amerikaanse clouddiensten. Dat leidt direct tot complianceproblemen voor Europese bedrijven die persoonsgegevens opslaan in Amerikaanse clouds: in principe voldoen ze dan niet meer aan de GDPR en lopen ze het risico op boetes.
Het besef dat organisaties afhankelijk zijn van Amerikaanse IT-oplossingen, dringt ook door tot de overheid, die zowel op rijks- als op gemeentelijk niveau her en der op de rem trapt.
Los van deze juridische complicaties groeit in Europa het besef dat cloudtoegang ook als politiek drukmiddel ingezet kan worden, want Europese bedrijven hebben nauwelijks over alternatieven nagedacht. Tegelijkertijd brengt een overstap naar Europese oplossingen aanzienlijke kosten en uitdagingen met zich mee. Zo zijn cloudtoepassingen opgebouwd uit een reeks componenten (vaak ook weer met een Amerikaanse oorsprong) en zijn veel functionaliteiten nog niet als Europees product verkrijgbaar.
Toch is het voor Europese organisaties verstandig om na te denken over de opbouw van hun IT-landschap. Dat geldt in het bijzonder voor de software rond customer service, waar gegevensverwerking en compliance essentiële onderdelen zijn.
Wat kunnen klantcontactorganisaties doen?
Dit vraagstuk speelt sinds begin dit jaar bedrijfsbreed en mag niet nieuw zijn voor je IT-afdeling of je CIO. Voor zo ver het nog niet op de agenda van de boardroom staat: ga met hen in gesprek. Jij kunt als specialist op het gebied van CX, CRM en/of klantcontact al vast een aanzet maken voor een plan B. Het maken van een plan B betekent niet dat je moet overstappen op andere software. Maar zo’n plan levert wel duidelijkheid op over mogelijke scenario’s en de impact daarvan.
Maak een risicoanalyse en een impact assessment
Begin met een grondige inventarisatie van jouw huidige afhankelijkheid van Amerikaanse cloudproviders en de mogelijke impact voor jouw organisatie als het DPF vervalt. Identificeer welke processen, diensten en data in gevaar kunnen komen en breng de potentiële financiële en operationele impact daarvan in kaart.
Kijk ook naar de maatregelen die nodig zijn om het gebruik van Amerikaanse toepassingen te kunnen voortzetten. Denk aan redundancy en extra back-ups. Het kan zijn dat er voor de gegevensverwerking aparte aanvullende overeenkomsten moeten worden aangegaan met uiteenlopende partijen. Bereid het contactcenter of de klantenservice-organisatie voor op mogelijke veranderingen door een exitstrategie te formuleren en na te denken over de samenstelling van een team van specialisten.
Verken het aanpassen van je technologieportfolio
Verken alternatieven die binnen de Europese regelgeving passen. Er zijn Europese aanbieders van CCaaS-oplossingen en cloudplatformen die Europese databescherming garanderen zonder de geopolitieke risico’s van Amerikaanse partijen. Kijk ook naar alternatieve infrastructuren en applicaties. Want zowel de CRM-oplossing als de contactcentersoftware draaien niet zelfstandig in de cloud; ze worden zoals gezegd ondersteund met een reeks aan andere componenten die vaak ook Amerikaanse roots hebben.
Heeft jouw organisatie al een plan B?
De geopolitieke ontwikkelingen laten zien dat data-soevereiniteit niet zomaar een technisch of theoretisch begrip is, maar directe impact kan hebben op jouw klantenservice en compliance. Tijdig anticiperen en het nemen van strategische beslissingen zijn essentieel om te voorkomen dat jouw klantcontactafdeling straks voor onaangename verrassingen staat.
Over de auteur
