GDPR als business case

De AVG als business case: privacy als hulpmiddel voor consumentenvertrouwen

- 30 March 2018

De AVG (de Algemene verordening gegevensbescherming), de nieuwe regelgeving rond privacy die op 25 mei 2018 van kracht wordt binnen alle landen van de Europese Unie is niet alleen een wettelijke verplichting, maar ook dé business case voor de privacybewuste organisatie van nu.

Uit onderzoek van de Boston Consulting Group (BCG), de internationale management consultant, blijkt dat consumenten zich steeds minder op hun gemak voelen bij het delen van persoonlijke gegevens. Dat geldt voor zowel financiële als voor locatiegebonden en op gebruik gebaseerde data.

Bovendien liet het onderzoek, dat gehouden werd in vijf grote Europese landen (Frankrijk, Duitsland, Engeland, Italië en Spanje) en de VS, zien dat bepaalde industrieën in de ogen van de consument 'verdacht' zijn. Dat geldt met name voor online bedrijven, financiële ondernemingen en overheden.

AVG en betrouwbaar databeheer

De bevindingen van BCG zijn opgenomen in een paper met de titel ‘Leveraging GDPR to Become a Trusted Data Steward', ofwel: gebruikmaken van de AVG om een betrouwbare beheerder van data te worden. In het rapport worden de belangrijkste kenmerken van de nieuwe wetgeving onderzocht en wordt gekeken naar de bereidheid van bedrijven om aan de bepalingen ervan te voldoen.

Het rapport schetst vervolgens een rechtlijnig proces waarmee bedrijven snel de stap kunnen maken van louter voldoen aan de regelgeving naar slim met gegevensbeheer omgaan met consumentenvertrouwen als doel. Een doel dat ook economisch niet onderschat moet worden: BCG toont met het onderzoek namelijk aan dat consumenten minstens vijf keer zoveel kans hebben om gegevens te delen met een bedrijf dat ze vertrouwen als met een bedrijf dat ze niet kennen.

Consumentenvertrouwen

Interessant ook is het onderzoek naar de discrepantie tussen wat veel bedrijven zien als de bron van grootschalig wantrouwen bij consumenten over datagebruik en de werkelijke zorgen van consumenten. De grootste verrassing voor BCG daarbij kwam overigens van de bedrijfskant, waar de onderzoekers een trend ontdekten van ‘roekeloos conservatieve manieren’ om klantgegevens te verzamelen en te verwerken.

Aan de ene kant vermijden bedrijven het gebruik van gegevens op een manier waar consumenten juist het minst vijandig tegenover staan, en anderzijds falen ze om consumenten te informeren over of toestemming te vragen voor gegevensgebruik, ook al geven consumenten aan die controle duidelijk wel te willen hebben.

In de praktijk: Facebook

Neem de lopende situatie bij Facebook als actuele illustratie. Nu er steeds meer duidelijk wordt over de wijze waarop Cambridge Analytics persoonsgegevens heeft verzameld en verwerkt, liggen de social media gigant en oprichter Mark Zuckerburg zwaar onder vuur. Gedurende het China Development Forum dat deze week plaatsvond in Peking riepen zowel Apple-CEO Tim Cook als IBM-baas Virginia Rometty op tot meer toezicht op de manier waarop gegevens worden gebruikt.

Persoonlijk ben ik geen fan van regelgeving, maar ik geloof dat deze situatie zo uit de hand is gelopen, dat wat goed opgestelde regelgeving geen kwaad zou kunnen,” zei Cook tegen Reuters. “Als je deze technologieën gaat gebruiken, moet je dat kenbaar maken aan het publiek, zodat ze nooit verrast kunnen worden,” voegde Rometty daar aan toe. “We moeten toestaan dat mensen soms weigeren om hieraan mee te werken en hen de controle over hun eigen gegevens teruggeven.”

Momenteel moet Facebook alle zeilen bijzetten om de geleden schade te beperken en een potentiële leegloop te voorkomen, met paginagrote advertenties in alle grote internationale kranten als opvallendste (want analoge) strategie. In het spoor van de populariteit van de hashtag #DeleteFacebook hebben namelijk meer dan een aantal bedrijven hun pagina’s verwijderd en op grote schaal advertenties ingetrokken.

Daar houdt het niet op: Facebook krijgt ook een aantal juridische implicaties op zijn bord, waaronder een rechtszaak aangespannen door Cook County, de provincie in Illinois waar ook Chicago toe behoort. “Facebook is geen social media bedrijf, maar de grootste data mining-operatie die er bestaat”, zo valt in de claim te lezen. Met andere woorden, de grootste verzamelaar van gegevens die nu actief is.

Privacy als pluspunt

Het is aan alle organisaties die met persoonsgegevens te maken hebben om de bescherming van privacy breed uit te dragen – ook buiten de verantwoordelijkheden en verplichtingen van de nieuwe Europese wetgeving om. Concreet hebben we het dan over uitdagingen zoals gedrag en verwachtingen van klanten, technologische innovaties en bedreigingen, en de verstorende elementen van cybercrime.

Bedrijfscultuur en individuele houding zijn doorslaggevend bij informatieveilig gedrag van mensen op de werkvloer. Zijn alle medewerkers zich bewust van hun rol bij informatieveiligheid? Wat zijn de gangbare normen? Is de organisatie voldoende bewust van de verantwoordelijkheden en potentiële bedreigingen? Hoe is het voorbeeldgedrag van het management? En: hoe kunnen we hier een geslaagde business case van maken?

Informatiebewustzijn

Een sterke infrastructuur gericht op information security is cruciaal. Niet alleen omdat de regelgeving verandert en de startdatum van de nieuwe Europese wetgeving met rasse schreden dichterbij komt, maar ook omdat het moderne bedrijfsleven en je klanten daar om vragen. Doe de gratis maturity check op deze website om in kaart te brengen hoe het gesteld is met het informatiebewustzijn in jouw organisatie.