2012: het jaar van het keerpunt

Ik zeg het niet snel, maar we staan momenteel op een keerpunt. 2012 zal, meer dan welk jaar ooit, bepalend zijn voor organisaties die gegevens van klanten en prospects voor commerciële processen gebruiken. Begrijp me niet verkeerd: met ‘keerpunt’ bedoel ik niet dat we terug bij af zijn. Integendeel: we staan juist op een rotonde met veel afslagen, fietspaden en zebrapaden. En het is de kunst om veilig en wel de juiste weg in te slaan.

Er zijn enkele redenen waarom 2012 een cruciaal jaar is:

  • Per 1 januari 2012 is de nieuwe ‘Code reclame via e-mail’ van kracht. Het is een aanvulling op de Telecommunicatiewet en de regels van de OPTA en het College Bescherming Persoonsgegevens op het gebied van tell-a-friend.
  • In de loop van 2012 treden de nieuwe regels van de cookie-wet in werking. Deze wet richt zich op het verkrijgen van toegang tot, en het opslaan van gegevens die opgeslagen zijn in de randapparatuur van een gebruiker.
  • In 2012 presenteert de Europese Commissie aanpassingsvoorstellen voor de richtlijn gegevens­bescherming, waarop de Wet bescherming persoons­gegevens is gebaseerd.

Het sleutelwoord is transparantie
Het doel van deze nieuwe regels? Transparantie die moet leiden tot meer vertrouwen en tot een stimulans van de informatiemaatschappij. De nieuwe Code E-mail en de cookie-wet zijn onderdeel van dit streven, met als hoofdregel: vraag toestemming waar de wet dit voorschrijft en vertel mensen wat u doet met hun persoonsgegevens. En vertel ook waarvoor u hun e-mailadres gebruikt en met welk doel cookies worden geplaatst.

Te veel toestemmingsrichtlijnen beperkt de economische ontwik­keling
Ook de nieuwe voorstellen voor de Europese wet voor de bescherming van persoonsgegevens dragen bij aan transparantie. Eind vorig jaar lekte er een conceptversie uit. Het meest opvallende is dat het gebruik van persoonsgegevens volstrekt afhankelijk wordt van de toestemming van de betrokkene. U moet niet alleen toestemming hebben om het e-mailadres te gebruiken; ook toestemming om überhaupt persoonsgegevens te analyseren, segmenteren en selecteren wordt verplicht. In mijn beleving dreigt de Europese Commissie hier de verkeerde afslag op de rotonde te nemen.

Niet alleen de industrie, maar ook verschillende directoraten-generaal van de Europese Commissie vinden deze wijziging onbegrijpelijk. Dit heeft geleid tot felle kritiek. Bijvoorbeeld dat de regeling nieuwe toetreders tot de markt zal beperken in hun marketingactiviteiten. Bovendien vindt men dat de Europese Commissie volstrekt voorbijgaat aan het goed werkende opt-out-systeem*. Vriend en vijand delen deze kritiek. De vraag is wat de opstellers van de regelgeving doen met de kritiek. De verwachting is dat de uitgelekte concepttekst grondig wordt herzien, ook op dit aspect, en dat de Europese Commissie het concept vervolgens zelf zal publiceren. Niet via een schimmig lek, maar gewoon in alle transparantie, zodat ze de discussie met open vizier aan kunnen gaan.

Goed gedrag loont
Hoe de wetgeving er straks uitziet, is afwachten. Maar de regelgeving is natuurlijk niet állesbepalend voor de uiteindelijke transparantie van de branche. Hoe partijen omgaan met de wet, en vervolgens met veiligheid, is minstens zo belangrijk. Want de keten is zo sterk als de mate van beveiliging.

Een voorbeeld: Webshop X uit de Verenigde Staten is het toonbeeld van transparantie en vertrouwen. En ongetwijfeld heeft het bedrijf volop geïnvesteerd in beveiliging. Desondanks leek het slachtoffer te worden van een ‘hack-aanval’. Zo meldden verschillende media dat van 24 miljoen klanten de persoonsgegevens zijn gehackt. De webshop heeft daarop uit voorzorg alle wachtwoorden gereset en elke klant verzocht om zijn wachtwoord aan te passen. De webshop gaf bovendien aan dat er geen creditcardgegevens zijn gehackt, omdat die in een aparte omgeving zijn opgeslagen. In het kader van integratie is het opslaan van gegevens in een aparte omgeving minder wenselijk. Toch is het maar goed dat deze webwinkel dat heeft gedaan. Het leed was anders vele malen groter geweest.

Als Nederlandse klant van de webshop wilde ik graag één ding weten toen ik de berichten las: wat is er waar over de berichtgeving in de pers? Ik kreeg de volgende boodschap toen ik hun url intypte.

We are so sorry – we are currently not accepting international traffic. If you have any questions please email us at …

Een verontrustende boodschap voor mij als klant. Zeker omdat ik nergens kan nagaan of de inhoud van de nieuwsberichten op waarheid berust.

Een hack is geen marketing­contact­momentje
Het bovenstaande is catastrofaal voor een webwinkel, hoewel een marketeer misschien zal stellen dat het ‘een mooie reden voor een contactmomentje’ is. Niets is minder waar. Gelukkig onderkende de webshop dat sommige klant­gegevens, zoals creditcardgegevens, ‘gevoeliger’ zijn dan andere. Om die reden heeft de webshop de financiële gegevens in een aparte omgeving opgeslagen, met een hoger beveiligingsniveau. Een slimme zet, zo bleek. Want beveiliging is niet alleen een stuk maatwerk afgestemd op de organisatie. Het dient ook afgestemd te worden op de aard van de gegevens.

Het zal duidelijk zijn dat NAW-gegevens zónder aankoophistorie minder gevoelig zijn dan mét deze historie. En dat het verliezen of hacken van een combinatie van NAW-gegevens, aankoophistorie en financiële gegevens in één keer al het vertrouwen doet verdampen. En dan hebben we het niet eens over de schade door kwaadwillende transacties en de kosten voor het vervangen van eventuele gehackte creditcards. Organisaties moeten daarom goed in kaart brengen hoe hun beveiliging is ingericht. En of ze per type persoonsgegevens een verschillend veiligheidsniveau hanteren. Wellicht is het raadzaam om – zoals Webshop X deed – het bestand met financiële gegevens op te knippen en onder te brengen bij verschillende omgevingen. Dit brengt meteen de vraag met zich mee of het wel wenselijk is om het ‘cafetaria-model’ te hanteren. Bij dit model kan de klant alles zelf doen zonder verdere tussenkomst van controles. Dus ook het muteren van financiële gegevens.

Vertrouwen kwijt en privacy aan­getast?
Nog even terugkomen op Webshop X. Ik zou mijn vertrouwen in deze webshop volledig kwijt zijn als mijn financiële gegevens daadwerkelijk gehackt zouden zijn. Nu ben ik hooguit verbaasd, omdat er – op het moment van schrijven – nog steeds geen ‘international traffic’ wordt geaccepteerd. Maar ik heb niet het gevoel dat mijn privacy nu is aangetast en dat al mijn vertrouwen weg is. Dat was vannacht anders, toen een junk bij mij aanbelde om een uur of drie. Hij meldde dat mijn fietssleuteltje nog in mijn fiets zat en dat ik het sleuteltje voor 10 euro kon terugkopen. Dat is pas een aantasting van mijn privacy midden in de nacht. En het was niet eens mijn fiets. ¶

* De opt-out-regeling schrijft voor dat u klanten vertelt wat u doet met persoonsgegevens en dat u hun de mogelijkheid biedt om zich voor uw e-mails af te melden.

LinkedInDelen