AVG-compliant klantenservice, de praktische versie.
AVG (GDPR in het Engels) is geen privacybeleid-vinkje. Het is een set operationele beslissingen die in je supporttooling opduiken of je het nu doorhebt of niet. Waar staat de data, wie kan er nog meer bij, hoe lang bewaar je het, wat gebeurt er als een klant vraagt om verwijdering. De antwoorden horen voor de hand te liggen. Bij veel tools doen ze dat niet.
AVG-compliant klantenservice betekent data binnen de EU, een getekende Verwerkersovereenkomst (DPA) met je toolleverancier, een openlijk gelijste sub-verwerkersketen, redactie van persoonsgegevens vóór AI-aanroepen, heldere retentievensters en een-klik export en verwijdering voor de rechten van je klanten.
- ✓Data binnen de EU, niet alleen "beschikbaar in een EU-regio". Check ook de sub-verwerkersketen.
- ✓DPA (Verwerkersovereenkomst) getekend voor je een klantbericht verwerkt. Artikel 28 is niet optioneel.
- ✓Persoonsgegevens worden geredigeerd voor elke AI-aanroep het platform verlaat. E-mail, telefoon, IBAN, kaartnummers.
- ✓Een-klik data-export en verwijdering voor de rechten van je klanten. Maak compliance een knop.
Wat de AVG echt eist van een supporttool
Drie artikelen doen het meeste werk. Artikel 6 zegt dat je een rechtmatige grondslag nodig hebt (meestal uitvoering overeenkomst voor supportantwoorden). Artikel 28 zegt dat elke derde partij die je data laat verwerken een getekende Verwerkersovereenkomst (DPA) nodig heeft. Artikelen 15-22 zeggen dat je klanten kunnen vragen om inzage, correctie, dataportabiliteit en verwijdering van hun persoonsgegevens. Een compliant supporttool maakt alle drie triviaal: de grondslag is duidelijk, de DPA is standaard inbegrepen, en de rechtenverzoeken zijn een klik. Lastiger dan dat, en je betaalt compliance-overhead.
Waar compliance in de praktijk breekt
Drie gangbare faalmodi. Eén: de tool slaat data in de EU op, maar stuurt analytics, audit logs of AI-inference via VS-infrastructuur, het dataspoor verlaat de EU alsnog. Twee: de DPA hangt achter enterprise-sales of wordt apart gerekend, kleinere teams werken zonder. Drie: de sub-verwerkerslijst is privé of verouderd, je kunt je klanten niet vertellen wie hun data raakt. Een echt AVG-compliant tool sluit alle drie de gaten op dag één.
PII-redactie, de onderschatte controle
Als een AI-agent een klantbericht beantwoordt, bevat het oorspronkelijke bericht vaak persoonsgegevens: een e-mailadres in de signature, een telefoonnummer voor een terugbelverzoek, een IBAN bij een refund-verzoek. Dat rauw naar een modelleverancier sturen is onnodig en risicovol. Keloa redigeert e-mails, telefoonnummers, IBAN's en kaartnummers in het bericht voor elke modelaanroep. Het model ziet "mijn [IBAN] staat in het bestand", niet het echte rekeningnummer. Het origineel blijft in je EU-gehoste audit log. Een kleinigheid die veel hoofdpijn voorkomt.
Retentie en het recht op vergetelheid
AVG kiest geen retentieperiode voor je, het zegt alleen dat je er een nodig hebt en die moet kunnen onderbouwen. Voor supportgesprekken is twee jaar een verdedigbare default (dekt de meeste verjaringstermijnen in de EU), al vragen sommige branches om korter. Keloa laat je retentie per workspace instellen en past het beleid automatisch toe, ook op back-ups. Het recht op vergetelheid wordt gehonoreerd als harde verwijdering uit actieve opslag en binnen het standaard back-up retentievenster, volledig gepropageerd.
Hoe Keloa AVG-support saai maakt
AVG-compliance hoort een non-event te zijn. Keloa is zo gebouwd. Data opgeslagen in Amsterdam, disaster recovery in Dublin, een getekende Verwerkersovereenkomst (DPA) op elk plan inclusief de gratis Starter, een openbare sub-verwerkerslijst, persoonsgegevens geredigeerd vóór elke AI-aanroep, een-klik data-export en verwijdering, instelbare retentievensters. Niets kost extra. Niets vraagt een inkoopgesprek. Het lastige van AVG-klantenservice is je eigen content kloppend houden (retourtermijnen, voorwaarden, FAQ's). De tool hoort niet het lastige te zijn.
Veelgestelde vragen over AVG-klantenservice.
Wat eist de AVG van een klantenservice tool?
Een rechtmatige grondslag voor verwerking, een getekende Verwerkersovereenkomst (DPA) onder Artikel 28, een gedocumenteerde sub-verwerkersketen, de mogelijkheid om rechten van betrokkenen te honoreren (inzage, correctie, verwijdering, portabiliteit), en redelijke retentiebeleid. Het meeste is operationeel, niet technisch, en een goede tool maakt het tot defaults waar je niet over hoeft na te denken. Kan een leverancier dat allemaal niet zonder salesgesprek laten zien, dan is dat een signaal.
Wat is het verschil tussen GDPR en AVG?
Er is geen praktisch verschil. GDPR is het Engelse acroniem (General Data Protection Regulation). AVG is het Nederlandse acroniem (Algemene Verordening Gegevensbescherming). Dezelfde wet, dezelfde artikelen, dezelfde verplichtingen. Nederlandse organisaties gebruiken AVG in het dagelijks taalgebruik en GDPR in internationale context. De verordening is identiek van toepassing.
Heb ik een aparte DPA nodig met mijn AI-klantenservice leverancier?
Ja. Verwerkt de leverancier de persoonsgegevens van je klanten namens jou (en dat doet elke supporttool), dan eist Artikel 28 AVG een Verwerkersovereenkomst (DPA) voordat ze de data raken. Keloa heeft een getekende DPA op elk plan, ook de gratis Starter. Je downloadt hem uit je workspace-instellingen en tekent elektronisch. De standaardtekst dekt de meeste teams zonder onderhandeling.
Mag ik een AI-agent op klantdata gebruiken onder de AVG?
Ja, met de juiste opzet. Je hebt een rechtmatige grondslag nodig (meestal uitvoering overeenkomst of gerechtvaardigd belang voor supportantwoorden), transparantie in je privacybeleid (vertel klanten dat AI gebruikt kan worden voor antwoorden), en passende waarborgen (dataminimalisatie, redactie van persoonsgegevens vóór modelaanroepen, retentielimieten). Keloa is standaard zo geconfigureerd, dus de enige papierwinkel die de meeste teams toevoegen is een korte clausule in hun privacybeleid.
Hoe honoreer ik een verzoek van een klant om hun data te verwijderen?
In Keloa: zoek de klant in je contacten, klik verwijderen, bevestig. De gespreksgeschiedenis, het contactrecord en bijbehorende audit-log entries worden uit actieve opslag verwijderd en gepropageerd naar back-ups binnen het standaard retentievenster. Je kunt de data van de klant ook eerst exporteren als hij om portabiliteit vroeg. Beide acties zijn één klik en vragen geen ticket bij ons team.
En als mijn supporttool in de VS gevestigd is?
Dat kan AVG-compliant zijn als er standaard contractuele clausules zijn en de data in de EU staat, maar je neemt meer risico. In de VS gevestigde leveranciers vallen onder VS-recht inclusief de CLOUD Act, die data-overdracht kan afdwingen ongeacht de opslaglocatie. Voor Europese bedrijven die persoonsgegevens van Europese klanten verwerken, neemt een EU-gevestigde leverancier met EU-infrastructuur dat risico volledig weg. De afweging is de moeite meestal waard.
AVG-compliant klantenservice, inbegrepen.
Gratis Starter, getekende DPA, EU-hosting, openbare sub-verwerkerslijst. Zo gebouwd dat de compliance-werk al is gedaan. Probeer het in tien minuten.