EU-privacywet: van risicobeheer naar klantgerichter werken

Een van de belangrijkste doelstellingen van de GDPR is dat het burgers de controle wil teruggegeven over hun persoonlijke gegevens. Krielaart: ‘Door deze wetgeving voor heel Europa te laten gelden, wordt het voor zowel nationale als internationale bedrijven eenvoudiger om aan de nieuwe wettelijke eisen te voldoen. Dit neemt echter niet weg dat het, zeker voor organisaties die hun informatiehuishouding nog niet goed op orde hebben, een aanzienlijke uitdaging kan zijn.’

Onderzoek Veritas
Dit blijkt ook uit recent onderzoek van Veritas. Meer dan de helft van de bedrijven in de Benelux heeft nog geen enkele stap gezet om aan de minimale wettelijke eisen van de GDPR te voldoen. Ze lopen daarmee het risico op een boete, die kan oplopen tot 20 miljoen euro of 4 procent van het totale wereldwijde bedrijfsomzet van het jaar daarvoor. Krielaart vervolgt: ‘De GDPR heeft echter ook een grote impact op bedrijven buiten de EU. Stel dat een Amerikaans bedrijf de persoonsgegevens van een Europese burger opslaat, dan moet deze organisatie ook aan onze wetgeving voldoen. Met name grote internationale organisaties hebben hierbij een uiterst complexe uitdaging door de grote volumes en types data waar ze mee werken. De vraag is nu: wat is er precies nodig om aan de wettelijke eisen te voldoen?’

Toestemming en verwerking
Krielaart: ‘De GDPR vereist van bedrijven dat zij om te beginnen burgers in heldere taal informeren over de informatie die over hen wordt opgeslagen, en daar nadrukkelijk toestemming voor vragen. Ook moet deze toestemming te allen tijde weer ingetrokken kunnen worden.’ Daarnaast moet de verwerking van persoonsgegevens aan de volgende kernbeginselen voldoen:

• Verwerking moet op een behoorlijke, rechtmatige en transparante manier gebeuren.
• Persoonsgegevens mogen alleen voor een duidelijk omschreven doel worden verwerkt.
• Alleen gegevens die noodzakelijk zijn voor het doel mogen verwerkt worden.
• Gegevens moeten correct en actueel zijn.
• Als identificatie niet meer noodzakelijk is voor het doel, dan moeten gegevens worden verwijderd of geanonimiseerd.
• Persoonsgegevens moet beveiligd worden door technische en organisatorische maatregelen.

Vervolgens moet de organisatie volledig kunnen aantonen dat het voldoet aan alle verplichtingen uit de GDPR. Krielaart: ‘Naast het vastleggen van handelingen als het verlenen van toestemming en de informatievoorziening aan burgers, gaat het dus ook om de  beveiliging van de persoonsgegevens, en de mogelijkheid om die te anonimiseren of verwijderen. De grote bottleneck hierbij is vaak de informatie-infrastructuur. Persoonsgegevens binnen organisaties zijn regelmatig in verschillende gescheiden datasilo’s opgeslagen, waardoor het uiterst arbeidsintensief en tijdrovend is om snel en efficiënt de gedetailleerde informatie te leveren die de GDPR vereist.’

Operationele data hub
Het mag duidelijk zijn dat de GDPR een waar hoofdpijndossier gaat worden voor organisaties die er nog totaal niet mee bezig zijn. Er is volgens Krielaart echter wel een snelle manier om data uit verschillende silo’s bij elkaar te brengen in een uniforme omgeving. ‘Een aantal grote banken heeft bijvoorbeeld gekozen voor de implementatie van een operationele data hub op basis van een enterprise NoSQL-database, specifiek om beter aan regelgeving te kunnen voldoen. Een dergelijke database biedt de mogelijkheid om allerlei data uit allerlei verschillende bronnen naast elkaar op te slaan, met behoud van de metadata. Met een geïntegreerde Google-achtige zoekmogelijkheid kan vervolgens aan elk dataverzoek voldaan worden, zelfs als de wettelijke regels op termijn veranderen. Met een dergelijke omgeving verlaag je het risico aanzienlijk dat data onvindbaar blijft of niet binnen een gestelde termijn aangeleverd kan worden. Je vermijd er dus GDPR-boetes mee, en door de uniforme datastructuur kan het proces bovendien grotendeels geautomatiseerd worden, zonder kostbare ETL-procedures.’

Meer inzicht in b2b klanten
Een groot voordeel van een operationele data hub is dat zowel persoonsgegevens als de metadata geïndexeerd worden. Essentiele informatie voor GDPR-compliance is bijvoorbeeld in welke systemen persoonsgegevens zijn opgeslagen. Daarnaast maakt metadata ook inzichtelijk hoe en waar die informatie wordt gebruikt en welke overeenkomsten er zijn tussen datasets. Krielaart legt uit: ‘Dit geeft organisaties waardevolle inzichten in hun interacties met klanten, wat vervolgens weer gebruikt kan worden om de klantenservice-, marketing- en salesteams een compleet beeld te geven van klanten en prospects. Het wordt in feite een soort gouden standaard van alle data die gerelateerd is aan een klant, of in het geval van een b2b-organisatie, de individuen die voor elke klant werken.’

Diversiteit aan data
Maar de diversiteit aan data is meestal nog veel groter binnen zo’n omgeving. Krielaart:'Denk bijvoorbeeld aan allerlei gegevens over gedrag, sociale media en transacties, maar ook beschrijvingen van producten en diensten. Die komen vaak allemaal uit verschillende bronsystemen, waaronder CRM-systemen, analytics-databases die klik- en zoekgedrag monitoren, website-registratiesystemen, fulfillment-systemen, callcenter audio-opnames, marketingdatabases, LinkedIn en nog veel meer.'

360 graden inzicht
Door al je data in een operational data hub te verenigen, creëer je een 360 graden inzicht in elke klant. Krielaart: ‘Organisaties kunnen hiermee hun inkomsten verhogen en klantverlies (churn) verlagen doordat ze hun klantinteracties beter kunnen identificeren en beheren, en die personen meer op maat gesneden contextuele aanbiedingen kunnen doen via meerdere kanalen. Ook kan de klanttevredenheid verbeterd worden als callcentermedewerkers toegang kunnen krijgen tot klantspecifieke informatie de ze nodig hebben om snel en nauwkeurig te reageren op een vraag of klacht van een klant.’

Hoofdbrekens
De GDPR gaat de komende tijd zonder twijfel grote hoofdbrekens opleveren voor IT-teams. Krielaart tot slot: ‘We zouden deze exercitie voor risicobeheersing echter ook kunnen zien als een uitgelezen kans om een project te starten dat echte business-value toevoegt. De diepere inzichten in klanten, die een operational data hub oplevert, geeft organisaties immers een krachtig platform waarmee ze compleet, consistent en blijvend klantbeeld opbouwen. En dat  geeft ze uiteindelijk een concurrentievoordeel, waarmee ze hun inkomsten positief kunnen beïnvloeden.’