Privacy en big data worden vaak in één adem genoemd. Big data bedreigt de privacy van individuen, zo is de gedachte. Vervolgens wordt dit ‘privacyprobleem’ meestal neergelegd bij it. Van it wordt een technische oplossing verwacht om de privacy van de consument te waarborgen. Echter, bedrijven die voor deze aanpak kiezen, zien over het hoofd dat privacy geen it-probleem is, maar een kans voor de business om vertrouwen bij klanten te winnen.
In het tijdperk van big data is persoonlijke data een nieuwe, belangrijke bron van economische waarde geworden. Ontwikkelingen in technologie en analytics en de enorme toename in rekenkracht en dataopslag hebben de informatie waarover organisaties kunnen beschikken, explosief vergroot. Doordat steeds meer apparaten met sensoren worden uitgerust en met digitale netwerken verbonden zijn, wordt er veel meer data verzameld, opgeslagen en gedeeld. Bovendien kunnen die gegevens ook nog eens veel sneller worden geanalyseerd, waardoor nieuwe verbanden kunnen worden gelegd en er nieuwe, onvermoede toepassingen van bestaande gegevens komen.
Zo hebben verschillende Nederlandse banken (onder andere ING en Rabobank al aangegeven dat ze informatie van individuele bankrekeningen willen gebruiken voor aanbiedingen en advies op maat. Inzicht hebben in gedrag, voorkeuren en relaties van mensen heeft veel voordelen, maar het heeft natuurlijk ook een keerzijde: privacy. Vanwege het gevoelige karakter van de informatie is het niet in iedere situatie even wenselijk.
‘IT-feestje’
Het is geen nieuws dat de privacy van individuen in het geding kan zijn bij het gebruik van persoonlijke data. Al decennia worden persoonlijke data opgeslagen in allerlei systemen en gebruikt voor allerlei doeleinden. Wel zijn personen tegenwoordig veel sneller identificeerbaar aan de hand van de grote hoeveelheid en variëteit van data die aan hen is gerelateerd. Dat baart zorgen, vooral voor de individuen van wie de data wordt gebruikt. Wie weet wat van mij en wat wordt er met mijn gegevens gedaan?
Ook bij organisaties zelf begint het besef door te dringen dat privacy een belangrijk onderwerp is. Wat doet het met onze reputatie als we data van klanten gebruiken? Voldoen we nog wel aan de veranderende wetgeving? Zijn onze systemen veilig genoeg om data te bewaren? Privacy wordt daarbij gezien als een risico met grote gevolgen in de vorm van reputatieschade, boetes of problemen met de bescherming van data.
Op risico’s kun je je voorbereiden en je kunt ze zodanig inperken dat het geen probleem hoeft te worden. Organisaties zoeken de oplossing daarom vaak in allerlei technische oplossingen voor het beschermen van persoonlijke data, bijvoorbeeld voor het anonimiseren van gegevens of door privacy vroeg in het systeemontwerp af te bakenen. Op zichzelf prima oplossingen maar het maakt het probleem meteen een ‘it-feestje’ en gaat daarmee voorbij aan de eigenlijke bedrijfsvraagstukken. Want wat als privacy ook een factor kan zijn waarmee organisaties klanten voor zich kunnen winnen?
Duurzaamheid
Hoewel big-datatechnologieën mogelijkheden bieden om informatie te verbinden en te innoveren met nieuwe producten en diensten, is het, zoals alle technologie, ethisch neutraal. Dat betekent dat ‘big data’ geen ingebouwd perspectief heeft over wat goed of wat fout is in het gebruik ervan. Organisaties hebben daarentegen wel normen en waarden en daarom is het vanaf de businesskant belangrijk om na te denken over hoe klantgegevens worden gebruikt. Maar hoe doe je dat? Hoe ga je als organisatie om met privacy?
Organisaties kunnen hun beleid niet of nauwelijks toetsen aan wetgeving omdat die achterloopt op de technologische ontwikkelingen. Ook kunnen ze zich niet vergelijken met concurrenten omdat een gemeenschappelijk kader ontbreekt. Weliswaar zijn er privacykeurmerken voor internetbedrijven, maar die hebben nog onvoldoende bekendheid en draagvlak bij consumenten en beperken zich alleen tot internetbedrijven.
Deze situatie is vergelijkbaar met die op het gebied van duurzaamheid eind jaren tachtig, toen organisaties duurzamer wilden gaan ondernemen, maar er nog geen label was voor producten en diensten die over een milieuvriendelijk karakter beschikken. Uiteindelijk ontstond hiervoor het groene label. Eenzelfde aanpak kan worden toegepast op privacy. De wetgeving is dan slechts de bodem waarboven organisaties moeten bewegen.
Privacystrategie formuleren
Het is duidelijk dat privacy door de bedrijfsvoering moet worden aangepakt. De business is eerst aan zet en it pas in tweede instantie. Pas als in de bedrijfsstrategie van een organisatie een duidelijke privacystrategie is geformuleerd, kan het in it-systemen worden geimplementeerd. Een populaire methode door veel Nederlandse organisaties toegepast bij de ontwikkeling van grote ict-projecten is privacy by design. Deze richtlijn zorgt ervoor dat al bij het ontwerp van systemen over de bescherming en beveiliging van persoonsgegevens wordt nagedacht. Dit geeft ook het belang aan om bij de bedrijfsvoering al goed na te denken over normen en waarden en dat toe te passen op it-systemen.
Caroline Massart MSc, faculteit Business & Information Management, Erasmus Universiteit en dr. ir. Jan-Willem Lankhaar, data scientist bij CGI
Onderzoek
De Erasmus Universiteit Rotterdam en CGI Nederland deden samen onderzoek naar de privacystrategieën die bedrijven kunnen toepassen. In het onderzoek werden drie mogelijke privacystrategieën onderzocht: een minimale strategie waarbij de wetgeving net aan wordt gevolgd, een heel uitgebreide privacy-omarmende strategie waarbij transparantie en het belang van de klant centraal staan en een strategie die een middenpositie tussen beide uitersten inneemt. De strategieën werden heel specifiek uitgewerkt aan hand van de acht privacyprincipes van de OESO, die de basis vormen voor de wetgeving. In een survey onder vijfhonderd respondenten werd onderzocht hoe de toegepaste privacystrategie en het gevoeligheidsniveau van informatie invloed hebben op de bezorgdheid van consumenten en hun gedrag als reactie op hun bezorgdheid.
Uit het onderzoek bleek dat de toegepaste privacystrategie veel invloed heeft op de bezorgdheid van individuen en hun gedrag als reactie hierop (bijvoorbeeld klagen via social media of naar een concurrent gaan). De privacy-omarmende strategie, waarbij de klant actief wordt betrokken bij de persoonsgegevens die van hem of haar bekend zijn, geeft klanten een beter gevoel en kan dus worden ingezet door organisaties die het vertrouwen van klanten als selling point zien.
Het verbaast me hoe in veel sectoren de hierboven genoemde “privacy-omarmende strategie” in praktijk nog nauwelijks wordt toegepast. Waar het bij social media al jarenlang mogelijk is om als gebruiker een aantal voorkeuren aan te kunnen geven, zie je dat gebruikers binnen zakelijke of overheidsomgevingen nog volledig eenvormig worden benaderd. In overeenstemming met de wet, die meestal niet verder komt dan algemene regels opleggen, zonder rekening te houden met individuele voorkeuren. Dat de business belangrijker moet zijn dan IT is zeker waar, maar aanvullend zal ook de gebruiker veel belangrijker moeten worden om te kunnen bepalen wat er wel en niet met zijn/haar gegevens mag gebeuren.
Ergens krijg ik de indruk dat zaken wederom omgekeerd worden, zoals Edward Snowden al zei kunnen we als ons vertrouwen geschonden wordt bij bedrijven makkelijk met onze voeten stemmen. Sociale media zijn hier inderdaad een aardig dwangmiddel en dus investeren bedrijven nog meer in ‘webcare teams’ dan in interne privacy audits. Een minimalistische gegevensverzameling, alleen dat wat nodig is voor het proces vragen en opslaan staat nu eenmaal op gespannen voet met de maximalistische insteek van CRM.
Als ik die enthousiaste PaaS Cloud verhalen zo lees hier op computable, dan vinkt de Business toch gewoon ergens “ethical active” aan ipv “ethical neutral” ?