Is offshoring van klantcontact wettelijk toegestaan?

Meerdere facilitaire contact center organisaties bieden hun relaties inmiddels al weer een aantal jaren mogelijkheden tot het afhandelen van Nederlandstalig klantcontact in verre, exotische landen. Een uitbestedende organisatie kan inmiddels terecht in Suriname, Marokko, Turkije en Curaçao. Maar juist deze locaties zorgen voor problemen.

Offshore klantcontact, zoals deze tak van sport ook wel wordt genoemd, zet een organisatie ‘natuurlijk niet’ alleen in omwille van lagere kosten. Er zijn nog allerlei andere drijfveren. Althans dat beweren de aanbieders van offshore klantcontact. In werkelijkheid koopt de opdrachtgever deze offshore diensten vrijwel enkel en alleen in om kosten te besparen of is zijn business case in Nederland gewoonweg niet haalbaar. Er kleven namelijk wel degelijk wat nadelen aan en er zijn complicerende factoren te benoemen. Het is evident dat cultuurverschillen, training van medewerkers, uitspraak van medewerkers en verminderde grip op de uitvoering en dus ook compliance in het algemeen, behoren tot de categorie aandachtspunten. En zo zijn er nog wel een paar te noemen. Maar als u die uit de weg hebt geruimd, kan het offshoren” beginnen! Of toch niet?

Persoonsgegevens naar het offshore contact center

Nee dus. Het uitbesteden van klantcontact impliceert namelijk vrijwel altijd dat het offshore contact center persoonsgegevens tot zijn beschikking krijgt en deze gaat bewerken. Ook als de servers met daarop alle bestanden met persoonsgegevens in Nederland staan en er slechts enkelvoudige records naar het scherm van de offshore medewerkers worden gestuurd, is hier sprake van. Bij de verwerking van persoonsgegevens kan de verantwoordelijke (vaak de opdrachtgever) normaal gesproken een bewerkersovereenkomst sluiten met de bewerker (het contact center). De genoemde offshore landen echter liggen allemaal buiten de Europese Unie. En daar heeft u dan direct de complicerende factor te pakken.

Onvoldoende bescherming persoonsgegevens

Er wordt namelijk door het College Bescherming Persoonsgegevens (CBP) geredeneerd dat landen binnen de EU voldoende niveau van bescherming van persoonsgegevens bieden. Voor landen buiten de EU is dat volgens het CBP niet vanzelfsprekend. Daar hebben ze overigens helemaal gelijk in. Persoonlijk zou ik bijvoorbeeld data entry-werkzaamheden niet snel in Nigeria laten doen. Dat is namelijk een land waarvandaan grote hoeveelheden criminele spam komt.

Voor doorgifte van persoonsgegevens naar landen buiten de EU geldt dus een strenger regime. Tot voor kort was het zelfs vrij ondoenlijk om geheel in lijn met de Wet Bescherming Persoonsgegevens te werken bij offshoring. Een verklaring hiervoor is dat de verantwoordelijke formeel gezien een melding van verwerking buiten de EU diende te doen aan het College Bescherming Persoonsgegevens en een vergunning benodigd was van de Minister van Justitie en Veiligheid.

Sluit modelovereenkomst

Sinds februari 2012 is echter geen vergunning meer nodig, als de partij die de persoonsgegevens doorgeeft en de ontvangende partij die buiten de EU zit, een modelovereenkomst sluiten, die door de Europese Commissie is vastgesteld (EU Model Clauses Agreement), zonder dat daar wijzigingen in zijn opgenomen. Feitelijk is dit louter nog een formaliteit. Vergeet het alleen niet ‘even te regelen’, voordat u klantcontact gaat offshoren. Had u voor februari 2012 geen vergunning en besteedde toch uw klantcontact toch offshore uit? Dat was dus niet legaal, maar troost u......u was niet de enige overtreder.