Deze website maakt gebruik van cookies. Meer informatie Melding niet meer tonen

Nog niet GDPR proof? De wetgeving biedt bedrijven goede kansen

31-10-2017 - Voor veel bedrijven is het een uitdaging om uit meerdere systemen met één druk op de knop alle relevante informatie naar boven te halen, zodat duidelijk is welke gegevens je van een bepaalde klant hebt opgeslagen. Toch is dat volgens de nieuwe Europese wetgeving nodig. Als een consument je om een overzicht van zijn eigen gegevens vraagt, moet je die binnen een bepaalde tijd kunnen aanleveren. Ook moet je in staat zijn om bepaalde informatie op verzoek van die consument te verwijderen. Dat kan bij legacy systemen nog wel eens een uitdaging zijn. Wij kunnen je daarmee helpen, want wij hebben de tools om goed opgelagen informatie snel zichtbaar te maken en te bewerken. En als je die op de juiste manier inzet, biedt de wetgeving bedrijven goede kansen. Uiteindelijk beperkt het identiteitsfraude en verbetert het de gebruikerservaring van consumenten die online winkelen.

De nieuwe EU-regels over persoonsgegevens (die in het Nederlands Algemene Verordening Gegevensbescherming (AVG) wordt genoemd) zijn bedoeld om de ontwikkeling van op persoonsgegevens gebaseerde innovatieve diensten te stimuleren en om ervoor te zorgen dat deze diensten ook pan-Europees kunnen worden uitgerold. Omdat de bescherming van persoonsgegevens een Europees grondrecht is kan dit beleid alleen maar worden vormgegeven als individuen tegelijkertijd meer zeggenschap krijgen over hun gegevens.

GDPR geeft een antwoord op een weeffout in het internet, waar iedereen die te maken heeft met klantcontact hetzelfde probleem tegenkomt: hoe weet je zeker dat degene die je voor hebt is wie hij zegt te zijn? Je kunt mensen controlevragen stellen, in de vorm van een postcode of een geboortedatum, maar die details zijn voor kwaadwillenden gemakkelijk online te vinden.

Consument heeft identificatietaak


GDPR bepaalt dat als de consument data beschikbaar stelt, je die alleen voor het doel waarvoor dat is gebeurd mag gebruiken. Wanneer de consument zijn data proactief beschikbaar stelt door middel van een opt-in ontstaat er een gecertificeerde digitale persoon, die echt bestaat. Hiervoor is wel een authenticatiemiddel nodig van een voldoende hoog niveau, conform de Europese eIDAS-verordening. Vervolgens kan die persoon zijn gegevens wellicht gevalideerd beschikbaar stellen als hij toegang heeft tot de oorspronkelijke bron die de gegevens met echtheidskenmerken beschikbaar kan stellen. De identificatietaak ligt dus voortaan bij de vragende partij, want die heeft het beheer en de zeggenschap over de data.

Voor webshops is dit een goede kans om fraude te reduceren. De klant logt in met gecertificeerde data en niet met bijvoorbeeld een Facebookprofiel dat gemakkelijk te fingeren is. Op een veilige manier krijg je het bankrekeningnummer, adres et cetera. De consument deelt die gegevens graag want hij wil iets bij je kopen. Je mag alleen niets bewaren tenzij er een noodzaak voor is. De data mag je dus alleen gebruiken voor die ene transactie. Je komt niet meer weg met een algemeen cookie statement, maar moet elke keer opnieuw de klant om toestemming vragen als je zijn gegevens wilt gebruiken. Dat is in het redelijke: een verzekeraar die een polis heeft afgegeven voor een jaar mag gedurende die periode de data van de verzekerde opslaan. Maar wat niet mag, is als de klant nog geen reisverzekering heeft, deze aanbieden zonder dat je de klant actief wijst op een opt-out, waarmee hij de gelegenheid heeft om aan te geven dat hij deze aanbiedingen niet wenst te ontvangen.

Overigens zijn er nog andere grondslagen op basis waarvan verwerking toegestaan kan zijn. Bijvoorbeeld als de verwerkingsverantwoordelijke kan aantonen dat hij een gerechtvaardigd belang heeft bij de verwerking dat zwaarder weegt dan het belang van het individu bij de bescherming van zijn persoonsgegevens. Profilering ten behoeve van direct marketing kan een gerechtvaardigd belang zijn. In zo’n geval is dan geen toestemming nodig.

Meer zekerheid over identiteit klant


Het bedrijfsleven kan door de GDPR-regels veel meer zekerheid over de identiteit van de klant verkrijgen. Controlevragen zijn niet meer nodig en er is een persoonlijkere, gelijkwaardige interactie mogelijk, mits de consument dat toestaat. Daar staat tegenover dat de eis van minimale gegevensverwerking ertoe kan leiden dat een bedrijf juist niet de identiteit van de klant nodig heeft om toch een dienst te kunnen verlenen, zoals in het geval van online winkelen.

Tweede voordeel is dat transacties een stuk simpeler worden als je 99,9 procent zeker weet wie je voor je hebt. De consument hoeft niet meer allerlei verschillende usernames en wachtwoorden te onthouden of cookietoestemming te geven – dat verdwijnt allemaal. Zijn gebruikerservaring verbetert dus aanzienlijk.

Spagaat


Natuurlijk ontstaat er ook een aantal vraagstukken als gevolg van de nieuwe GDPR-wet. De wisselwerking tussen verschillende regels bijvoorbeeld. De Nederlandse belastingwet stelt dat je administratieve gegevens zeven jaar moet bewaren. Maar wat nu als de consument binnen het aflopen van die periode belt om te zeggen dat de gegevens moeten worden verwijderd? Dan zit het bedrijf in een spagaat. Een oplossing zou kunnen zijn dat compliance de data opslaat, maar dat die niet in te zien zijn door de rest van het bedrijf. Daar moet je goed over nadenken.

Een ander vraagstuk is hoe je de consument zover krijgt dat hij toestemming geeft voor targeting. Je hebt onder GDPR-regelgeving als bedrijf veel geanonimiseerde data maar kunt iemand alleen individueel targeten als hij of zij daarvoor expliciete toestemming heeft gegeven en jouw belang niet zwaarder weegt. De consument zal ergens zijn preferences kunnen managen; hoe dat er precies uit komt te zien, is nog niet duidelijk. Het kan zijn dat op product- en merkniveau wordt aangegeven wie wel en niet mag targeten. Een aantal verzekeraars heeft dit ingericht door een digitale zorgpas als smartphone app aan te bieden. Daarin staan alle persoonsgegevens, uiteraard encrypted. Als de klant aanzet dat hij interesse heeft in reisverzekeringen, dan komt de verzekeraar met een aanbod, anders niet. Er is een trusted relatie waarin de consument de touwtjes in handen heeft.
Voor bedrijven die heel veel data verkopen is GDPR niet gunstig. Zij moeten op zoek naar andere inkomstenbronnen. Je mag immers wel profielen verkopen en data analyseren maar niet op persoonsniveau. En wat doe je als Europees bedrijf wanneer je buitenlandse klanten hebt? Zij zijn eraan gewend bepaalde data te ontvangen en krijgen die nu niet meer.

Kans, geen bedreiging


Dit zijn echter vrij specifieke gevallen. Per saldo zal de GDPR-wetgeving voor de meeste bedrijven een kans zijn en geen bedreiging. Hoe een en ander in zijn werk zal gaan is nog wat vaag maar er wordt aan gewerkt. Zo is er bijvoorbeeld de Qiy Foundation, die zich bezighoudt met hoe dit alles goed kan worden ingeregeld. Qiy ontwikkelt een set afspraken over het uitwisselen van data en identifiers die openbaar en transparant zijn, met als uitgangspunt dat de consument zelf over zijn of haar persoonsgegevens kan beschikken en deze onder eigen regie met andere personen of organisaties kan delen. Vergelijk het met een Ja/Nee-sticker tegen reclame maar dan in elektronische vorm. Het is een open standaard die controleerbaar is. Als een bedrijf gekke dingen doet, dan wordt het uitgesloten van deelname. Het werkt dus ook als een soort keurmerk dat de consument duidelijkheid verschaft over hoe webwinkels en andere organisaties met veel klantinteractie met hun privacy omgaan.

Voor bedrijven is de kop in het zand steken geen optie. De wet is al van kracht en vanaf mei 2018 kan de toezichthoudende instantie, de Autoriteit Persoonsgegevens (AP), overtreders boetes opleggen. Deze kunnen 4 procent van de jaaromzet bedragen – let wel, per overtreding. Een papieren tijger is dit bepaald niet. AP-voorzitter Aleid Wolfsen heeft in een interview met het Financieel Dagblad gewaarschuwd dat het ‘heel vervelend’ kan worden voor bedrijven. “Privacy raakt de fundamenten van de rechtsorde. Iedereen moet in vrijheid kunnen leven zonder stiekem op het web te worden achtervolgd door bedrijven en instanties.” Daar kunnen we het toch alleen maar mee eens zijn?

Nog eens rustig nalezen?

Download hier het bovenstaande artikel als PDF.


RPA en gezichtsherkenning? Lees hier de case op LinkedIn