5 redenen om als datagedreven organisatie extra aandacht te besteden aan privacy
Met de komst van de Algemene Verordening Gegevensbescherming (AVG) heeft het onderwerp privacy veel attentiewaarde gekregen. Verplichtingen die voor een groot deel onder de Wet bescherming persoonsgegeven al bestonden, staan opeens in de schijnwerpers. Verplichtingen die vóór de AVG niet buitengewoon veel aandacht kregen, onder meer omdat het voormalige College Bescherming Persoonsgegevens pas in 2016 een serieuze boetebevoegdheid kreeg. Onder de AVG is dat laatste fors uitgebreid, zo is algemeen bekend. Veel organisaties zijn geschrokken van de hoge boetes die de Autoriteit Persoonsgegevens (AP) sinds 25 mei 2018 kan opleggen. Mede daardoor besteedt men tegenwoordig veel meer tijd en energie aan privacy-compliance dan voorheen.
Toch heeft het onderwerp niet de aandacht van al het senior management – mogelijk omdat compliance niet direct een sexy onderwerp is, of extra omzet of efficiency oplevert. Ten onrechte, want bijna iedere afdeling binnen een organisatie werkt in meer of mindere mate met persoonsgegevens, wat privacy een verantwoordelijkheid maakt van de gehele organisatie. Dit geldt in het bijzonder voor datagedreven organisaties, want als je met data werkt, werk je al snel met persoonsgegevens. Maar wat maakt het dan belangrijk dat organisaties zich aan de privacywetgeving houden? Daar zijn een aantal redenen voor te noemen.
1. Risico op hoge boetes
In de eerste plaats het risico op de hiervoor genoemde hoge boetes, in combinatie met de overige ruime bevoegdheden van de AP. Het afschrikwekkende effect dat de Europese wetgever voor ogen had lijkt in ieder geval effect te sorteren. Bovendien kan een bewust verwijtbaar handelen leiden tot persoonlijke aansprakelijkheid van bestuurders.
2. Reputatieschade
Belangrijker nog is de reputatieschade die een publieke tik op de vingers van een toezichthouder of een serieus incident met zich mee kunnen brengen, met mogelijk serieuze gevolgen voor de omvang van je klantenbestand en zelfs een risico op faillissement (Cambridge Analytica). Alle inspanningen om marktaandeel te winnen en kosten te besparen kunnen dan in één klap teniet worden gedaan. Zo blijkt uit onderzoek dat 17% van de consumenten aangeeft weg te gaan bij een bedrijf na een datalek.[1]
3. Morele verplichting
De belangrijkste reden om je aan de privacywetgeving te houden is wat mij betreft dat je als organisatie die persoonsgegevens verwerkt niet alleen een wettelijke, maar ook een morele verplichting hebt om zorgvuldig met die gegevens om te gaan. Als burger en consument verwachten we dat de overheid en bedrijven onze privacy serieus nemen, en terecht. Er is een steeds grotere hoeveelheid data over ons beschikbaar en dat biedt reële mogelijkheden om daar misbruik van te maken, vooral door gegevens met elkaar te combineren. We moeten er dus vanuit kunnen gaan dat degenen aan wie we die gegevens toevertrouwen daar zorgvuldig en veilig mee omgaan. Je zou zelf niets anders verwachten.
4. Specifieke risico’s bij BI & A
Voor datagedreven organisaties, die Business Intelligence en Analytics (BI&A) inzetten om tot betere resultaten te komen, is het implementeren van privacywaarborgen om specifieke redenen extra belangrijk. Ten eerste zetten deze organisaties grote gegevensverzamelingen in om tot de gewenste inzichten te komen. Het verwerken daarvan brengt meer risico’s met zich mee voor de betrokkenen, zeker als het om gevoelige persoonsgegevens gaat. Verkeerd gebruik of datalekken kunnen een grote impact hebben op het leven van degenen op wie ze betrekking hebben.
Dit geldt in het bijzonder, en dat is de tweede reden, als gegevensverzamelingen aan elkaar worden gekoppeld, wat tot nieuwe inzichten over de betrokkenen leidt. Deze nieuwe inzichten kunnen van grote waarde zijn, maar uiteraard ook tot grote(re) risico’s leiden als ze in verkeerde handen vallen.
Ten derde stelt de AVG extra eisen aan organisaties die op basis van Business Analytics profielen opstellen van individuen en/of geautomatiseerd besluiten nemen op basis van gegevens, omdat ook daar hogere risico’s aan zijn verbonden.
5. Positief effect op bedrijfsresultaat
Tot slot blijkt investeren in AVG-compliance ook een positief effect te hebben op de financiële resultaten. Uit onderzoek van Cisco blijkt dat organisaties met een effectief privacyprogramma voordelen hebben geplukt die verder gaan dan compliance alleen. Zo is er een positieve invloed op de doorlooptijd van verkooptransacties bij vragen/zorgen van klanten over hun privacy. Ook hebben klanten meer vertrouwen in organisaties die privacybescherming serieus nemen. Er doen zich niet alleen minder datalekken voor, maar ook de omvang en impact ervan zijn beperkter.
Daarnaast heeft investeren in privacycompliance een positief effect op de waarde die organisaties uit hun data kunnen halen. Dit is onder andere het gevolg van een beter inzicht in het gebruik van data binnen de organisatie en de positieve invloed van de juiste beheersmaatregelen op de kwaliteit van data. Dit laatste is voor datagedreven organisaties essentieel voor het optimaliseren van hun return on investment in BI&A.
De inzet van BI&A maakt dus dat privacy om extra aandacht vraagt. Daar komt nog bij dat privacy-compliance in een BI&A-omgeving specifieke aandachtspunten kent. Dit zijn andere dan de aandachtspunten die gelden voor de primaire systemen van de organisatie. Een goede methode om te beoordelen in hoeverre je als datagedreven organisatie in staat bent om privacyrisico’s te beheersen, is door gebruik te maken van een privacy-maturity-model. In een aantal volgende blogs zal ik nader ingaan op het privacy-maturity-model dat Hot ITem Conclusion specifiek voor BI&A-omgevingen heeft ontwikkeld, en op welke manier je privacyrisico’s in BI&A-context effectief kunt beheersen.
[1] Deloitte, A new era for privacy – GDPR six months on, 2018, p. 17