Contact Center-Compliance: So mindern Sie Risiken

Wenn Sie Ihr Contact Center einer schlechten Governance, laxen Prozessen oder unzureichender Technologie aussetzen, müssen Sie mit Bußgeldern, Reputationsschäden und sogar behördlichen Maßnahmen rechnen, die Sie dazu zwingen, den Betrieb einzustellen (in extremen Fällen).

Die Compliance im Contact Center ist keine leichte Angelegenheit. Glücklicherweise gibt es mehrere Contact-Center-Funktionen, die darauf ausgelegt sind, diese Risiken zu mindern und Ihnen dabei zu helfen, über die mit der Tätigkeit in verschiedenen Branchen verbundenen Risiken auf dem Laufenden zu bleiben.

In diesem Leitfaden stellen wir die Risiken vor und erklären, wie Ihre Agenten Ihr Contact Center schützen und Compliance-Richtlinien einhalten können.

Beginnen wir damit, die verschiedenen Arten der Contact Center-Compliance kennenzulernen.

Was sind die verschiedenen Arten der Compliance in Contact Centern?

Werfen wir einen Blick auf die verschiedenen Arten der Compliance, wenn es um Contact Center geht, von HIPAA über PCI DSS und FINRA bis hin zur Nichtdiskriminierungs-Compliance.

HIPAA: Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen

HIPAA ist nicht nur eine Best Practice für Callcenter im Gesundheitswesen, sondern eine Reihe von Richtlinien, die jedes Gesundheitsunternehmen einhalten muss.

Daher gilt HIPAA für Contact-Center-Betriebe in der Gesundheitsbranche, einschließlich aller Gesundheitsinformationsanbieter, Clearingstellen und aller Nischenunternehmen, die bestimmte Gesundheitstransaktionen elektronisch abwickeln.

HIPAA gilt nicht für:

• Lebensversicherer
• Träger der Arbeitnehmerentschädigung
• Die meisten Schulen und Schulbezirke
• Staatliche Behörden wie Kinderschutzbehörden

Um die HIPAA-Konformität einzuhalten, müssen Agenten:

• Überprüfen Sie die Patientenidentität, bevor Sie auf medizinische Informationen zugreifen
• Gesundheitsdaten sicher übertragen und speichern
• Holen Sie die Zustimmung des Patienten zur Weitergabe von Informationen ein

Verwandter Artikel

Ist Nextiva HIPAA-konform?

PCI DSS: Datensicherheitsstandard der Zahlungskartenindustrie

Der PCI DSS ist eine dieser Compliance-Richtlinien, die nicht nur für alle Contact Center, sondern für jedes Unternehmen gilt, das Kreditkartenzahlungen abwickelt.

Das PCI DSS schreibt vor, dass Contact-Center-Agenten Folgendes tun müssen:

• Speichern Sie niemals vollständige Kreditkartendaten
• Nutzen Sie sichere Zahlungsabwicklungssysteme
• Seien Sie darin geschult, Kreditkartenbetrug zu erkennen und zu verhindern

Es gibt vier PCI DSS-Stufen, denen Ihr Contact Center unterliegen kann und die sich auf die Anzahl der Kartentransaktionen beziehen, die Sie jedes Jahr verarbeiten:

• PCI Level 1 : sechs Millionen Transaktionen oder mehr
• PCI Level 2 : eine Million bis sechs Millionen Transaktionen
• PCI Level 3 : 20.000 bis eine Million Transaktionen
• PCI Level 4 : unter 20.000 Transaktionen

Weiterführende Literatur: Sicheres Sammeln von Kreditkartenzahlungen mit Nextivas Advanced IVR

FINRA: Regulierungsbehörde für die Finanzindustrie

Wenn Sie ein Contact Center in der Finanzdienstleistungsbranche sind, unterliegen Sie der FINRA-Konformität. FINRA gibt an, dass die Vorschriften „dem Schutz der Anleger und der Wahrung der Marktintegrität in einer Weise dienen, die dynamische Kapitalmärkte ermöglicht“.

Zu den von der FINRA regulierten Unternehmen gehören:

• Broker-Dealer-Firmen
• Makler für Kapitalbeschaffung
• Förderportale

Laut FINRA müssen Ihre Agenten:

• Pflegen Sie genaue Kundendaten
• Vermeiden Sie irreführende oder unzulässige Anlageempfehlungen
• Halten Sie die Compliance-Vorschriften zur Aufbewahrung von Aufzeichnungen für Finanztransaktionen ein

Einhaltung der Nichtdiskriminierungspflicht

Jedes Contact Center muss sich an die Einhaltung der Nichtdiskriminierungsvorschriften halten. Dadurch wird sichergestellt, dass alle Vertreter, Arbeitgeber und Unternehmen keine Voreingenommenheit, Bevorzugung oder Beurteilung aufgrund eines der folgenden Faktoren vornehmen:

• Wettrennen
• Farbe
• Religion
• Sex
• nationale Herkunft
• Alter
• Behinderung
• Genetische Information

Die Einhaltung der Nichtdiskriminierungsvorschriften erfordert von den Agenten Folgendes:

• Bieten Sie allen Kunden unabhängig von potenziellen Diskriminierungsfaktoren den gleichen Service
• Vermeiden Sie diskriminierende Aussagen oder Annahmen
• Halten Sie die Unternehmensrichtlinien zu Vielfalt und Inklusion ein

Wie Contact-Center-Agenten die Compliance aufrechterhalten können

Oberflächlich betrachtet scheint es, als ob die Einhaltung der Compliance im Contact Center einfach sein sollte. Aber eine geschäftige Umgebung oder Agenten, die unkontrolliert an verschiedenen Standorten arbeiten, könnten Ihr Unternehmen der Gefahr von Verstößen gegen die Vorschriften aussetzen.

Nutzen Sie diese vier Methoden, um Ihr Contact Center vor formellen Beschwerden und verheerenden Datenschutzverletzungen zu schützen.

1. Ausführliche Schulungen

Je mehr Sie wissen, desto mehr wird Ihnen klar, dass Sie es nicht wissen. Dies ist nicht nur eine kluge Aussage des griechischen Philosophen Aristoteles, sondern ein nachvollziehbares Szenario in Contact Centern.

Durch regelmäßige Schulungen für Agenten und Vorgesetzte wird nicht nur sichergestellt, dass diese immer über die relevanten Vorschriften auf dem Laufenden sind. Außerdem werden Schwachstellen und Unsicherheiten aufgedeckt. Wenn Sie beispielsweise Ihr Transaktionslimit überschreiten und nun einem neuen PCI-Level unterliegen, kann ein Vorgesetzter dies melden und der Gruppe mitteilen.

Banken wie JPMorgan Chase, Wells Fargo und Goldman Sachs investieren in Compliance-Schulungen, um sicherzustellen, dass Mitarbeiter Finanzvorschriften, geltende Gesetze und andere branchenspezifische Compliance-Anforderungen verstehen. Dies alles hilft ihnen dabei, eine Vielzahl von Compliance-Richtlinien für Contact Center einzuhalten und massive Strafen zu vermeiden.

Ebenso sind sich neue Agenten möglicherweise nicht sicher, ob bestimmte Bedingungen bei der Ansprache verschiedener Kunden zulässig sind bzw. nicht zulässig sind. Sammeln Sie nach Ihren Trainingseinheiten immer Feedback, um am Ball zu bleiben.

Google gibt an, seinen Mitarbeitern strenge Compliance-Schulungen anzubieten. Diese umfassen Bereiche wie:

• Ethisches Verhalten
• Rechtliche Anforderungen
• Unternehmensrichtlinien

Ein weiterer Schwerpunkt liegt auf der Datensicherheitsschulung, die wir im nächsten Abschnitt behandeln werden.

2. Datensicherheit

Agenten müssen mit den Datensicherheitsprotokollen des Unternehmens vertraut sein und Verfahren zum Umgang mit vertraulichen Kundeninformationen befolgen. Diese können für US-amerikanische Gesetze wie den California Consumer Privacy Act oder europäische Gesetze wie die Datenschutz-Grundverordnung gelten.

Agentenprotokolle und -verfahren umfassen die Bestätigung der Anruferidentität und die Multi-Faktor-Authentifizierung für interne Tools.

Für einige Aspekte sind die Agenten jedoch nicht verantwortlich. Das Contact Center Management und die IT sind zuständig für:

• Datenmaskierung (z. B. Ausblenden von Kreditkartendaten, wenn Kunden diese eingeben)
• Verschlüsselte Telefongespräche (sofern relevant)
• Regelmäßige Compliance-Audits
• Formelle Pläne zur Reaktion auf Vorfälle
• Aktualisierungen der Contact-Center-Software

Die Nichteinhaltung dieser Regeln oder auch nur ein kleiner Verfahrensfehler kann erhebliche Konsequenzen nach sich ziehen. Die Nichteinhaltung jeglicher Contact-Center-Compliance kann Geldstrafen oder eine Sperrung nach sich ziehen, selbst wenn dies nur einmal passiert ist.

3. Kundeninteraktionen

Im Umgang mit Kunden müssen Agenten wissen, welche personenbezogenen Daten sie sammeln oder anfordern dürfen und welche nicht. Das Erfragen von Telefonnummern, Bankdaten und anderen persönlich identifizierbaren Informationen darf nur erfolgen, nachdem Sie Ihre ausdrückliche Zustimmung eingeholt haben.

Hinweis: Sie benötigen dies zur Einhaltung des Telefonverbraucherschutzgesetzes .

Auch wenn Anrufer diese Daten selbst angeben, ist Ihr Unternehmen dafür verantwortlich, sicherzustellen, dass Kundendaten (mit Genehmigung) gespeichert oder gegebenenfalls gelöscht werden. Besonderes Augenmerk müssen Sie auch auf „Do-Not-Call“-Listen legen, um die Kundentreue nicht zu beeinträchtigen, wenn sich Personen abgemeldet haben, was manuelle Eingaben in CRMs oder die automatische Erfassung bei der Aufzeichnung von Anrufen umfassen kann.

Zu Beginn eines Anrufs oder einer Omnichannel- Interaktion (Webchat, E-Mail, SMS usw.) müssen Agenten die Identität des Kunden überprüfen, bevor sie auf vertrauliche Informationen zugreifen. Andernfalls können Unbefugte möglicherweise auf Kundenkonten und -informationen zugreifen.

Stellen Sie sicher, dass alle Callcenter-Agenten die Verifizierungs- und Identifizierungsverfahren einhalten, indem Sie einen strengen Qualitätssicherungsprozess befolgen.

Stellen Sie sicher, dass die Agenten während der Anrufe keine diskriminierenden Bemerkungen machen oder voreingenommene Ratschläge geben. Das Vermeiden dieser Kommentare sollte in Ihre regelmäßigen Schulungspläne und Bildungsinitiativen einfließen.

Es lohnt sich auch, eine Liste gängiger Ausdrücke zu führen, die zur Einhaltung der Contact Center-Compliance erforderlich sind.

Hier sind einige Beispiele, die Sie berücksichtigen sollten:

• „Alle unsere Anrufe werden zu Schulungs- und Überwachungszwecken aufgezeichnet. Ist das für dich ok?"
• „Sind Sie damit einverstanden, dass wir Ihre Daten archivieren?“
• „Ist es in Ordnung, wenn wir diese E-Mail-Adresse/Telefonnummer für Marketingzwecke verwenden?“
• „Möchten Sie sich anmelden, um weitere Updates zu erhalten?“
• „Haben wir die Erlaubnis, diese Kontaktnummer für die Abrechnung zu verwenden?“

4. Führen von Aufzeichnungen

Durch die genaue oder automatische Dokumentation von Kundeninteraktionen gemäß den Unternehmensrichtlinien haben Sie die besten Chancen, über qualitativ hochwertige Daten und Informationen zu verfügen. Wenn Sie sich auf die manuelle Dateneingabe oder die Aktualisierung von Datensätzen durch Agenten Stunden nach einem Anruf verlassen, sind Sie anfällig für Fehler und Fehlinformationen.

Stellen Sie beim Aktualisieren vorhandener Aufzeichnungen sicher, dass nur autorisiertes Personal Änderungen an Anrufaufzeichnungen, Transkripten, Notizen und anderen wichtigen Informationen vornehmen kann.

Wenn Sie besondere Vorschriften zur Datenaufbewahrung haben, befolgen Sie diese Anweisungen unbedingt bis ins kleinste Detail. Wenn Agenten, Vorgesetzte oder Administratoren nicht einmal die kleinsten Informationen kennen, die für bestimmte Transaktionen gelten, kann eine fehlerhafte Änderung eines Datensatzes erhebliche Auswirkungen haben.

Wie Contact Center-Technologien die Compliance stärken

Fast jedes Contact Center muss sich an bestimmte Richtlinien oder Leitungsgremien halten. Aus diesem Grund sehen wir zahlreiche Funktionen, die Ihnen dabei helfen, die Vorschriften einzuhalten.

Anrufaufzeichnung

Die Anrufaufzeichnung stellt eine Aufzeichnung der Interaktionen zur Überprüfung bereit und stellt sicher, dass die Agenten ordnungsgemäße Verfahren eingehalten und Vorschriften eingehalten haben.

Sie können die Auswertung zufälliger oder gezielter Anrufe zu einem Teil Ihres Qualitätsmanagementverfahrens machen, um sicherzustellen, dass Agenten die richtigen Skripte verwenden, Kunden auffordern, sich zu identifizieren und zu verifizieren, und Aufzeichnungen bei der Erfassung von Kreditkartendaten anzuhalten.

Im Screenshot unten sehen Sie, wie Nextiva eine Pause-/Fortsetzungsfunktion bietet, damit Sie bei der Zahlungsabwicklung PCI-konform bleiben.

Sie können die Anrufaufzeichnung auch für Compliance-Audits und -Untersuchungen verwenden. Wenn es zu einem Vorfall kommt und Sie einen physischen Beweis dafür benötigen, dass Sie sich an die Contact Center-Compliance gehalten haben, dienen Ihre Anrufaufzeichnungen zu Ihrer Sicherheit.

Dispositionsverfolgung

Wenn Ihre Agenten Dispositionscodes verwenden, um die Art des Anrufs zu kennzeichnen, erzwingt dies eine konsistente Kategorisierung der Anrufe basierend auf der Art der einzelnen Kundeninteraktionen. Dies ist nicht nur hilfreich, um herauszufinden, warum Kunden Sie anrufen, sondern hilft auch dabei, Bereiche zu identifizieren, in denen die Einhaltung von Vorschriften gefährdet sein könnte.

Beispielsweise könnte eine hohe Anzahl abgebrochener Anrufe im Rahmen von Telemarketing-Anrufen Anlass zu Bedenken wegen Verkaufsdruck geben. Wenn dies in einem Dispositionsbericht gekennzeichnet wird, können Sie potenzielle Probleme untersuchen und Compliance-Bedenken vorbeugen.

Agenten-Workflows

Die Einhaltung der Contact-Center-Compliance ist einfach, wenn Agenten über einen schrittweisen Prozess für komplexe Vorgänge verfügen.

Die Identitäts- und Überprüfungsverfahren zu Beginn eines Anrufs könnten einer dreistufigen Compliance-Checkliste folgen:

• Fragen Sie nach dem Namen und der Kontonummer des Anrufers
• Überprüfen Sie das Konto mit einer Passphrase, Adressinformationen oder Telefonnummer
• Bestätigen Sie für zusätzliche Sicherheit eine eindeutige Transaktion auf ihrem Konto

Diese Taktiken sind an der Tagesordnung, wenn Kunden ihr Online-Banking-Passwort vergessen. Um beispielsweise zu überprüfen, ob ein Anrufer der ist, für den er sich ausgibt, muss er das Datum und den Betrag einer seiner letzten Transaktionen bestätigen.

Selbst ein so einfacher Prozess verringert das Risiko, dass bei Anrufen wichtige Compliance-Schritte übersehen werden, und sorgt für einen einheitlichen Umgang mit vertraulichen Informationen.

Bei neuen und sogar erfahrenen Agenten ist es nicht ungewöhnlich, in einem Büro Haftnotizen, Poster oder Wandkarten mit häufig verwendeten Prozessen zu sehen.

Erwägen Sie die Verwendung der automatischen Nummernidentifikation (ANI), um die Identitätsüberprüfung zu beschleunigen.

KI-gestütztes Coaching und Erinnerungen

Im Zeitalter der Contact-Center-KI und -Automatisierung gibt es einige einfache Agentenassistenzen, die Sie einführen können. Ein KI-Assistent kann Agenten beim Umgang mit sensiblen Daten unterstützen und Erinnerungen kennzeichnen, wenn sie vom Skript abweichen.

KI analysiert Anrufaufzeichnungen in Echtzeit, um potenzielle Compliance-Probleme wie die Verwendung diskriminierender Sprache oder die Nichterwähnung erforderlicher Offenlegungen zu erkennen. In diesem Fall erhalten die Agenten eine Benachrichtigung auf dem Bildschirm und die KI kann die Vorgesetzten informieren, damit diese den Anruf übernehmen können.

Nach dem Ereignis werden diese Anrufe zur Überprüfung markiert. Sie können gute und schlechte Anrufe nutzen, um neue Agenten zu schulen, indem Sie die Theorie aufgeben und reale Szenarien einführen.

KI-gestützte Anrufüberwachung und -aufzeichnung

KI kann auch helfen, indem sie Anrufaufzeichnungen nach Schlüsselwörtern oder Phrasen durchsucht, die auf einen Compliance-Verstoß hinweisen könnten.

Mithilfe von Stimmungsanalysen und Schlüsselworterkennung können Sie Anrufe zur menschlichen Überprüfung kennzeichnen, risikoreiche Interaktionen priorisieren und die Prüfungseffizienz steigern.

Dieses System eliminiert den Aufwand und das Risiko menschlicher Fehler im Vergleich zur manuellen Überprüfung von Anrufaufzeichnungen und gibt menschlichen Prüfern mehr Zeit, sich auf komplexe Fälle zu konzentrieren.

Es bietet außerdem den Vorteil, das Kundenerlebnis zu verfolgen. Wenn Anrufer Wörter verwenden, die auf starke Emotionen oder Stress hinweisen, können Sie so Anrufe erkennen, die aus Compliance-Gründen überwacht werden müssen.

Sorgen Sie für Compliance mit der sicheren Plattform von Nextiva

Schulung, Aufzeichnungen und ständiges Lernen sind für die Einhaltung der Compliance im Contact Center von entscheidender Bedeutung.

Ohne diese Maßnahmen könnten Sie sich größeren Risiken aussetzen, als Sie erwartet hatten.

Contact-Center-Plattformen wie Nextiva bieten jedem Kunden unabhängig von der Branche eine sichere und zuverlässige Kommunikation.

Wir schränken einige Funktionen für HIPAA-konforme Konten ein, um private Patientendaten zu schützen. Dies hilft Unternehmen, die Compliance einzuhalten, ohne Änderungen vornehmen zu müssen.

In letzter Zeit haben wir die folgenden Funktionen angepasst:

• Visuelle Voicemail: deaktiviert
• Nextiva-App: Voicemail-Wiedergabefunktion deaktiviert
• Voicemail an E-Mail oder SMS: deaktiviert
• vFAX: deaktivierte Funktionalität, die das Versenden von Faxen per E-Mail ermöglicht (Sie können eingehende Faxe weiterhin über einen sicheren E-Mail-Link oder durch Anmeldung in Ihrem Portal anzeigen)

Nextiva führt außerdem eine Geschäftspartnervereinbarung durch, die unsere abgedeckten Dienstleistungen regelt und die Datenschutz-, Sicherheits- und Benachrichtigungsregeln für Verstöße festlegt, die für Geschäftspartner gemäß HIPAA erforderlich sind.

Dank der erweiterten Anrufaufzeichnung ermöglicht unser robuster Funktionsumfang auch PCI DSS-Konformität. Sie können alle Anrufe zu Schulungs- und Überwachungszwecken aufzeichnen und die Funktion „Pause/Fortsetzen“ verwenden, sodass keine Kartendetails aufgezeichnet werden.

Dank unseres intuitiven, interaktiven Spracherkennungs-Builders ANI und zahlreichen anderen Funktionen, die darauf ausgelegt sind, Sie auf dem Laufenden zu halten, können Sie spezifische Datensicherheitsmaßnahmen und Agenten-Workflows hinzufügen.