GDPR: welke kansen bieden de nieuwe dataregels bedrijven?
De General Data Protection Regulation (GDPR) is een organisatorische kluif maar biedt bedrijven ook goede kansen. Uiteindelijk beperkt het identiteitsfraude en verbetert het de gebruikerservaring van consumenten die online winkelen.
De nieuwe EU-regels over persoonsgegevens (die in het Nederlands Algemene Verordening Gegevensbescherming (AVG) worden genoemd) zijn bedoeld om de ontwikkeling van op persoonsgegevens gebaseerde innovatieve diensten te stimuleren en om ervoor te zorgen dat deze diensten ook pan-Europees kunnen worden uitgerold. Omdat de bescherming van persoonsgegevens een Europees grondrecht is kan dit beleid alleen maar worden vormgegeven als individuen tegelijkertijd meer zeggenschap krijgen over hun gegevens.
GDPR geeft een antwoord op een weeffout in het internet, waar iedereen die te maken heeft met klantcontact geeft hetzelfde probleem: hoe weet je zeker dat degene die je voor hebt is wie hij zegt te zijn? Je kunt mensen controlevragen stellen, in de vorm van een postcode of een geboortedatum, maar die details zijn voor kwaadwillenden gemakkelijk online te vinden.
Consument heeft identificatietaak
GDPR bepaalt dat als de consument data beschikbaar stelt, je die alleen voor het doel waarvoor dat is gebeurd mag gebruiken. Wanneer de consument zijn data proactief beschikbaar stelt door middel van een opt-in ontstaat er een gecertificeerde digitale persoon, die echt bestaat. Hiervoor is wel een authenticatiemiddel nodig van een voldoende hoog niveau, conform de Europese eIDAS-verordening. Vervolgens kan die persoon zijn gegevens wellicht gevalideerd beschikbaar stellen als hij toegang heeft tot de oorspronkelijke bron die de gegevens met echtheidskenmerken beschikbaar kan stellen. De identificatietaak ligt dus voortaan bij de vragende partij, want die heeft het beheer en de zeggenschap over de data.
Voor webshops is dit een goede kans om fraude te reduceren. De klant logt in met gecertificeerde data en niet met bijvoorbeeld een Facebookprofiel dat gemakkelijk te fingeren is. Op een veilige manier krijg je het bankrekeningnummer, adres et cetera. De consument deelt die gegevens graag want hij wil iets bij je kopen. Je mag alleen niets bewaren tenzij er een noodzaak voor is. De data mag je dus alleen gebruiken voor die ene transactie. Je komt niet meer weg met een algemeen cookie statement, maar moet elke keer opnieuw de klant om toestemming vragen als je zijn gegevens wilt gebruiken. Dat is in het redelijke: een verzekeraar die een polis heeft afgegeven voor een jaar mag gedurende die periode de data van de verzekerde opslaan. Maar wat niet mag, is als de klant nog geen reisverzekering heeft, deze aanbieden. Dan gebruik je de data op een oneigenlijke manier.
Overigens zijn er nog andere grondslagen op basis waarvan verwerking toegestaan kan zijn. Bijvoorbeeld als de verwerkingsverantwoordelijke kan aantonen dat hij een gerechtvaardigd belang heeft bij de verwerking dat zwaarder weegt dan het belang van het individu bij de bescherming van zijn persoonsgegevens. Profilering ten behoeve van direct marketing kan een gerechtvaardigd belang zijn. In zo’n geval is dan geen toestemming nodig.
Meer zekerheid over identiteit klant
Het bedrijfsleven kan door de GDPR-regels dus veel meer zekerheid over de identiteit van de klant verkrijgen. Controlevragen zijn niet meer nodig en er is een persoonlijkere, gelijkwaardige interactie mogelijk, mits de consument dat toestaat. Daar staat tegenover dat de eis van minimale gegevensverwerking ertoe kan leiden dat een bedrijf juist niet de identiteit van de klant nodig heeft om toch een dienst te kunnen verlenen, zoals in het geval van online winkelen.
Tweede voordeel is dat transacties een stuk simpeler worden als je 99,9 procent zeker weet wie je voor je hebt. De consument hoeft niet meer allerlei verschillende usernames en wachtwoorden te onthouden of cookietoestemming te geven – dat verdwijnt allemaal. Zijn gebruikerservaring verbetert dus aanzienlijk.
Spagaat
Natuurlijk zie ook ik een aantal vraagstukken ontstaan als gevolg van de nieuwe GDPR-wet. De wisselwerking tussen verschillende regels bijvoorbeeld. De Nederlandse belastingwet stelt dat je administratieve gegevens zeven jaar moet bewaren. Maar wat nu als de consument binnen het aflopen van die periode belt om te zeggen dat de gegevens moeten worden verwijderd? Dan zit het bedrijf in een spagaat. Ik kan me de oplossing voorstellen dat compliance de data opslaat, maar dat die niet in te zien zijn door de rest van het bedrijf. Daar moet je goed over nadenken.
Een ander vraagstuk is hoe je de consument zover krijgt dat hij toestemming geeft voor targeting. Je hebt onder GDPR-regelgeving als bedrijf veel geanonimiseerde data maar kunt iemand alleen individueel targeten als hij of zij daarvoor expliciete toestemming heeft gegeven en jouw belang niet zwaarder weegt. De consument zal ergens zijn preferences kunnen managen; hoe dat er precies uit komt te zien, is nog niet duidelijk. Het kan zijn dat op product- en merkniveau wordt aangegeven wie wel en niet mag targeten. Een aantal verzekeraars heeft dit ingericht door een digitale zorgpas als smartphone app aan te bieden. Daarin staan alle persoonsgegevens, uiteraard encrypted. Als de klant aanzet dat hij interesse heeft in reisverzekeringen, dan komt de verzekeraar met een aanbod, anders niet. Er is een trusted relatie waarin de consument de touwtjes in handen heeft.
Voor bedrijven die heel veel data verkopen is GDPR niet gunstig. Zij moeten op zoek naar andere inkomstenbronnen. Je mag immers wel profielen verkopen en data analyseren maar niet op persoonsniveau. En wat doe je als Europees bedrijf wanneer je buitenlandse klanten hebt? Zij zijn eraan gewend bepaalde data te ontvangen en krijgen die nu niet meer.
Kans, geen bedreiging
Dit zijn echter vrij specifieke gevallen. Per saldo denk ik dat de GDPR-wetgeving voor de meeste bedrijven een kans is en geen bedreiging. Hoe een en ander in zijn werk zal gaan is nog wat vaag maar er wordt aan gewerkt. Wat dat betreft heb ik een hoge pet op van de Qiy Foundation, die zich bezighoudt met hoe dit alles goed kan worden ingeregeld. Qiy ontwikkelt een set afspraken over het uitwisselen van data en identifiers die openbaar en transparant zijn, met als uitgangspunt dat de consument zelf over zijn of haar persoonsgegevens kan beschikken en deze onder eigen regie met andere personen of organisaties kan delen. Vergelijk het met een Ja/Nee-sticker tegen reclame maar dan in elektronische vorm. Het is een open standaard die controleerbaar is. Als een bedrijf gekke dingen doet, dan wordt het uitgesloten van deelname. Het werkt dus ook als een soort keurmerk dat de consument duidelijkheid verschaft over hoe webwinkels en andere organisaties met veel klantinteractie met hun privacy omgaan.
Voor bedrijven is de kop in het zand steken geen optie. De wet is al van kracht en vanaf mei 2018 kan de toezichthoudende instantie, de Autoriteit Persoonsgegevens (AP), overtreders boetes opleggen. Deze kunnen 4 procent van de jaaromzet bedragen – let wel, per overtreding. Een papieren tijger is dit bepaald niet. AP-voorzitter Aleid Wolfsen heeft in een interview met het Financieel Dagblad gewaarschuwd dat het ‘heel vervelend’ kan worden voor bedrijven. “Privacy raakt de fundamenten van de rechtsorde. Iedereen moet in vrijheid kunnen leven zonder stiekem op het web te worden achtervolgd door bedrijven en instanties.” Daar kunnen we het toch alleen maar mee eens zijn?
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
2 Reacties
bert
Groot nadeel van de wet is dat de grote jongens als FB en G er toch wel weer juridisch een draai aan geven, gesteund door leger advocaten, en je privacy er bij hun geen fluit mee op schiet. Enig voordeel is dat al die kleine webshops niet meer allemaal flutaccounts gaan vragen.
Eveline - Vacanceselect
Ik schrok, vorige week, tijdens een groot congres tijdens een enquête hoe veel mensen nog geen idee hadden. Ik geloof erg in data bescherming maar kijk met angst en beven tegen de commerciële consequenties aan :). Het heeft echt grote gevolgen voor iedere organisatie.