Contactgegevens van individuen worden op grote schaal verwerkt. Een klantenprofiel in een webshop, het afleveradres, een verzoek om klantenservice en vele andere verwerkingen vereisen de naam van een individu.
Namen zijn meer dan alleen tekenreeksen
Een automatisch systeem dat klantklachten ontvangt en opslaat, kan klantnamen behandelen als willekeurige tekens, waarbij het controleert op lengte, hoofdletters en speciale tekens. Een medewerker die klantklachten verwerkt of kandidaten voor een sollicitatiegesprek selecteert, kan alerter zijn. De meeste handmatige verwerkingsactiviteiten worden uitgevoerd door personen die goed op de hoogte zijn van verschillende etnische groepen en niet noodzakelijk neutraal zijn.
Denk aan 'Bram de Jong', 'Krzysztof Wiśniewski' of 'Heiner Schneider' (de namen zijn afkomstig van een lijst van de populairste namen, en elke overeenkomst met echte mensen is puur toeval). Zou je verwachten dat ze respectievelijk Nederlands, Pools en Duits zijn, en allemaal mannelijk?
Moet ik me hier zorgen over maken?
Volgens de AVG A. 9 (1) 'De verwerking van persoonsgegevens die ... etnische afkomst ... onthullen, is verboden'. Extra toestemming is vereist (of de noodzaak om te voldoen aan een wettelijke verplichting op het gebied van werkgelegenheid), en er zijn extra waarborgen nodig, zoals het uitvoeren van een GEB.
In de meeste situaties kunt u namen beschouwen als neutrale karakters, en de meeste bedrijven doen dit. In de meerderheid van de verwerkingsactiviteiten worden de namen niet verwerkt op een manier die etnische identiteiten onthult. Denk aan het aannemen van online bestellingen die automatisch en uniform worden verwerkt, waarbij klantnamen tussen systemen en labels bewegen zonder enige analyse.
Maar je moet alert blijven op de (meestal handmatige) activiteiten waarbij de waargenomen etnische afkomst in overweging kan worden genomen. Als verwerkingsverantwoordelijke voor deze activiteiten ben je verantwoordelijk voor het identificeren en beoordelen van de risico's en het nemen van passende maatregelen ter mitigatie van die risico's. Je bent ook verplicht om passende maatregelen te nemen om de verwerking van persoonsgegevens te minimaliseren.
Wat te doen?
Houd dit in gedachten bij het opstellen van de registers van verwerkingsactiviteiten (RVA) en het beoordelen van de risico's van elke activiteit. Let in het bijzonder op:
- Pogingen om namen te parseren, te groeperen of op andere wijze te analyseren met automatische systemen, aangezien dit kan leiden tot de verwerking van etnische herkomsten of profilering.
- Handmatige operaties waarbij bepaalde spanningen worden verwacht, zoals klantgesprekken of personeelsselectie (werving, huisvesting, enz.)
- Meertalige, internationale of uitbestede (handmatige) operaties (reizen, callcenters) waarbij medewerkers mogelijk met internationale klanten omgaan en hen mentaal groeperen.
De verwerking is vaak niet expliciet, en er wordt geen databaseveld met de naam 'etniciteit' aangemaakt. Maar in chats, e-mails en andere documenten worden vaak verschillende etniciteit-specifieke opmerkingen achtergelaten. Deze onthullen de plaatsvindende verwerking en hebben al geleid tot corrigerende maatregelen door rechtbanken en autoriteiten.
Vanuit het perspectief van de AVG (GDPR) compliance-documentatie is het voor de meeste operaties nog steeds acceptabel en compliant om de categorie persoonsgegevens 'contactgegevens' te gebruiken die namen vertegenwoordigt, samen met adressen, e-mails, telefoonnummers en andere manieren om contact met hen op te nemen. Veel bedrijven voeren slechts één of twee verwerkingsactiviteiten uit waarbij namen daadwerkelijk worden bekeken.
Het is meer compliant om de categorie 'contactgegevens' op te splitsen in een categorie voor naam onthullende gegevens (namen, e-mails, sociale media profielen en andere contactrecords die de naam kunnen onthullen) en een andere categorie voor naamloze contactgegevens (fysieke adressen, telefoonnummers). Dit zal helpen bij het documenteren van de verwerkingsactiviteiten, de bijbehorende risico's en uw inspanningen om de verwerking van persoonsgegevens te minimaliseren, in overeenstemming met het 'gegevensminimalisatie' principe van de AVG (AVG A. 5 (c)).
U wilt mogelijk ook gegevensbeschermingseffectbeoordelingen (GEB) uitvoeren voor activiteiten waarbij namen worden verwerkt. Het uitvoeren van de GEB, ongeacht de uitkomst, is op zichzelf al bewijs van naleving.
Wij kunnen u helpen met deze taken als onderdeel van de PrivacyDocs AVG-adviesdiensten.