Innovatie & Strategie

Klantinteractie
Privacybescherming

Privacybescherming levert geld op

Juist nu veel mensen het opgeven dient zich een revolutie aan.

© CC0,  Pixabay
22 september 2015

“Over een paar jaar is het de grootste nachtmerrie van een webshop om niet aan onze nieuwe standaard te kunnen voldoen”, stelt Marcel van ­Galen, directeur van de Qiy Foundation. “Als de webshop zich niet houdt aan de afspraken die daarbij horen, wordt het lastig zaken doen op internet.” Dat is een boude uitspraak over een nieuwe internetstandaard die zich nog vrijwel geheel onder de radar ontwikkelt, zeker voor het grote publiek. Maar Van Galen weet zich inmiddels verzekerd van de steun van de Nederlandse overheid en Europese Commissie, en van actieve deelname van een reeks grote organisaties zoals Aegon, Eneco, ING, SIDN, RTL, SVB, Vodafone en Ziggo. De acceptatie van de nieuwe standaard vergt wel een revolutie in het denken van bedrijven en consumenten. Nu nog probeert iedere organisatie voor zichzelf zo veel mogelijk aan de weet te komen over zijn klanten en potentiële doelgroep. Dat is een logische stap in een wereld waarin klantprofielen veel geld waard zijn vanwege de mogelijkheid consumenten zo goed mogelijk gerichte advertenties en aanbiedingen voor te kunnen schotelen. Google is een bekend voorbeeld van een bedrijf dat zijn bedrijfsmodel vrijwel volledig heeft gebaseerd op de verkoop van gerichte advertenties.

Consumenten lijken steeds gelatener te accepteren dat hun persoonlijke gegevens verdwijnen in onduidelijke databases waarmee buiten hun zicht profielen over hen worden opgesteld. Toch, niemand geeft graag zijn privacy op. In een digitale wereld hebben eindgebruikers echter weinig tot geen mogelijkheden om de verzameldrang van organisaties tegen te gaan. Vaak hebben ze niet eens in de ­gaten dat er allerlei gevoelige ­informatie over hen verzameld kan worden. Maar weinig mensen weten bijvoorbeeld dat hun smartphone voortdurend contact zoekt met ­beschikbare wifi-netwerken. Daarbij deelt de smartphone informatie over de netwerken waarmee eerder contact is geweest. Door wat gegevens te combineren is eenvoudig te achterhalen waar de eigenaar van de smartphone de afgelopen tijd is geweest, in welke winkels, bars, maar ook wellicht in de nachtclub of sexclub of ...

Consument is de klos

Met de komst van het Internet of Things volgt de komende jaren een spectaculaire toename van het aantal apparaten dat voortdurend en ­ongemerkt informatie verzendt over zijn eigenaar. Zeker wanneer data uit verschillende bronnen wordt gecombineerd, kan waardevolle kennis ontstaan. Degene over wie het gaat – de eigenaar van de ‘things’ – wil dat wellicht helemaal niet. In ieder geval heeft hij geen controle over wat er met de informatie gebeurt. Evenmin kan hij daar optimaal van profiteren, bijvoorbeeld in de vorm van kortingen, privileges of ­gewoon cash.

De controle over die data moet dus terug naar de bron van de data. Bijvoorbeeld door de data te laten verzamelen in een nieuw platform dat wordt beheerd door een onafhankelijke partij, ofwel een Trusted Third Party (TTP). Het Amerikaanse Intertrust bouwt al een aantal jaar aan een netwerk van TTP’s. Een TTP werkt ­samen met appbouwers die op ­verantwoorde manier advertenties willen tonen in hun apps. Een ­adverteerder kan de TTP vragen relevante advertenties tonen aan een groep appgebruikers die voldoen aan een bepaald profiel. De TTP kan ook, in opdracht van de eigenaar van de data, bewerkingen uitvoeren op de verzamelde data en geanonimiseerde resultaten leveren ten behoeve van bijvoorbeeld medisch onderzoek of marktanalyses.

Verzameling ­liever decentraal

De deelnemers in de Qiy Foundation willen de dataverzameling niet bij één partij ­onderbrengen maar ­decentraliseren. Het uitgangspunt van Qiy is een basisset met identificatiegegevens die is ondergebracht bij een partij die toch al van rechtswege is verplicht deze geverifieerde gegevens op te slaan. Denk daarbij aan de bank of de gemeente.

Andere organisaties kunnen zich via een verzoek aan de eigenaar van de gegevens op die ­gegevens abonneren en hoeven deze dus niet zelf te onderhouden. Een telecombedrijf hoeft zelf geen NAW-gegevens aan te houden van een klant, maar verzamelt wel telecomgerelateerde gegevens. De klant kan weer zelf bepalen of en welke van deze telecomgegevens via een abonnementsvorm weer aan derden beschikbaar mogen komen. Zo hoeft ­elke organisatie slechts een minimum aan gegevens aan te houden en abonneert zich op de rest.

Bedrijven kunnen besparen

Deze nieuwe denkwijze rond privacy levert organisaties niet alleen goodwill bij de klant op, maar vormt ook een kostenbesparing. Het zelf verzamelen en onderhouden van profielinformatie hoeft immers niet meer. PwC becijferde eens dat een organisatie per record in een klantenbeheersysteem (CRM) gemiddeld 3,42 euro per jaar kwijt is aan het up-to-date houden van de informatie. Bovendien neemt de verantwoordelijkheid af die de organisaties hebben ten aanzien van de bescherming van hun dataverzameling.

Van Galen ziet de standaard waaraan met de Qiy Foundation wordt ­gewerkt als een beter fundament voor privacybescherming dan de ­platformaanpak bij een TTP. Maar er is plek voor beide initiatieven. “Het zou mooi zijn als dergelijke platformen ook hun data via de nieuwe standaard ter beschikking zouden stellen.”

Een voorwaarde voor het succes van de nieuwe Qiy-standaard is dat hij niet als een Nederlands initiatief gezien wordt, maar als een wereldwijd gedragen standaard. Van Galen probeert daarom via nieuwe deelnemers aan de Qiy Foundation dat werk verder uit te dragen. “We worden veel gevraagd om internationaal presentaties te geven en mee te denken. Een probleem is echter om voldoende handjes te organiseren om ook opvolging te kunnen geven wanneer mensen enthousiast zijn gemaakt. Als die opvolging uitblijft, zakt het enthousiasme weer weg en dan is het later veel lastiger opnieuw mensen in beweging te krijgen.”

Daar zit voorlopig ook de achilleshiel van deze initiatieven, signaleerde The Economist Intelligence Unit (EIU) onlangs in het rapport The impact of cloud. Er zouden meer organisaties moeten zijn die ze accepteren en integreren in hun dienstverlening, zegt EIU-analist Paul Miller. Wanneer je online een auto huurt, zou het verhuurbedrijf je prominent op zijn website de mogelijkheden moeten bieden van dit soort privacy-initiatieven. Bijvoorbeeld een button die bij aanklikken checkt bij Personagraph of je verzekerd bent of een button ‘Voeg hier je bankgegevens in via Qiy’. Daarnaast moeten ook consumenten meer bewust gemaakt worden dat zij op deze manier hun privacy kunnen bewaken en het gebruik van hun gegevens naar hun hand zetten.

“We vinden allemaal dat we zeggenschap over onze eigen data moeten hebben, maar hoeveel van ons nemen de moeite daar ook echt iets voor te doen”, zegt Miller. “Een paar dollar per maand of de belofte beter gerichte advertenties voorgeschoteld te krijgen, is waarschijnlijk onvoldoende aanlokkelijk om ons gedrag te veranderen.”

Vertel me wie je wil zien?

CEO Talal Shamoon werkt met zijn team van het Amerikaanse Intertrust sinds 2007 aan een privacybeschermingsplatform met de naam Personagraph. Het gaat om Trusted Third Party-diensten die gegevens verzamelen over de consument maar in het belang van de consument. “In plaats van de identiteit van iemand vrij te geven, gaan we naar merken en adverteerders en vragen ze: vertel me maar wie je wil zien”, legt Shamoon uit. Dus bijvoorbeeld een autodealer zegt dan dat hij de komende week een campagne heeft voor middelgrote SUV’s. Dan zoekt de TTP, binnen de voorwaarden die de dealer opgeeft, de doelgroep daarbij. In dit geval bijvoorbeeld vrouwen tussen 30 en 50 jaar, in een bovengemiddelde inkomensgroep, die binnen een afstand van 25 kilometer van de dealervestigingen wonen. Het systeem van de TTP zorgt dat dat de advertentie van de dealer met een hoge graad van betrouwbaarheid te zien is in de apps van app-producenten die ook bij de TTP zijn aangesloten. In veel gevallen hebben bedrijven maar weinig informatie nodig. Bijvoorbeeld, in plaats van een geboortedatum te vragen, kan het voldoende zijn wanneer een TTP met ja of nee antwoordt op de vraag: Is deze persoon ouder dan 18 jaar?

De vraag is waarom organisaties met Personagraph zouden willen werken wanneer ze zelf ook die informatie over potentiële klanten kunnen verzamelen en daarop eigen Big Data-analyses los kunnen laten? “Het blijkt dat ze dat wel doen”, zegt Shamoon. “De reden dat mensen naar ons komen is dat zij zelf ook waarde hechten aan privacy. Ze zijn nu afhankelijk van Google en Facebook die zich als gatekeepers opstellen. In de Guardian stond laatst een artikel dat waarschuwde voor het datamonopolie waaraan Google bouwt. Het bedrijf heeft een onverzadigbare honger naar informatie over hun gebruikers. Dus ik zie in Personagraph voordelen voor consumenten én bedrijven. Aan de kant van de consumenten waakt een derde partij over hun privacy en respecteert de rechten op die informatie. Aan de adverteerderskant ontneemt Personagraph de last zelf profielen te onderhouden en kweekt goodwill bij klanten omdat de adverteerder privacy respecteert.” Meer informatie is te vinden op www.personagraph.com

Verdeel en heers over eigen data

In de visie van de Qiy Foundation ontstaat een netwerk van bedrijven en organisaties die allemaal slechts een beperkte set gegevens van klanten beheren. De klant heeft zelf toegang tot die gegevens en kan bovendien bepalen wie er nog meer gebruik van kan maken door andere organisaties in staat te stellen zich daar op te abonneren.

Een webwinkel bijvoorbeeld heeft eigenlijk geen naam, adres, woonplaats (NAW)-gegevens nodig. De aangeschafte goederen worden immers afgeleverd door een ingehuurde pakketbezorger. Zo’n pakketbezorger kan zich – na toestemming – abonneren op je adresgegevens die bij de Gemeentelijk Basisadministratie bekend zijn. De webshop hoeft ook geen rekeningnummer van zijn klanten te hebben. Met een button op de website kan de transactie in gang worden gezet en de webshop krijgt via het protocol van de bank een bevestiging.

Zo kan een hypotheekverstrekker zich weer abonneren op de financiële gegevens die bijvoorbeeld de salarisverwerker heeft en op de gegevens over het betrokken huis die het kadaster en de taxateur hebben. Al deze partijen halen de NAW-gegevens van hun klanten op bij de GBA. Wie zijn gegevens via Qiy ontsluit zou bijvoorbeeld ook specifieke medische gegevens, aanwezig bij huisarts of specialist, al dan niet geanonimiseerd kunnen via een abonnement kunnen inbrengen als bijdrage aan grootschalig medisch onderzoek. Spil in deze decentrale aanpak is een Trust Framework, een set wereldwijd geaccepteerde standaardprotocollen, waar organisaties met behulp van een API interacteren. Naast de technische laag bevat het raamwerk ook een organisatorische en juridische laag. Het geheel is ingebed in een governance structuur. Meer informatie is te vinden op www.qiyfoundation.org.

Dialoog over toekomst privacy

De Qiy Foundation en Intertrust zijn niet de enige organisaties met voorstellen voor het oplossen van het privacyprobleem. Er zijn meer varianten van ‘data lockers’ zoals het Britse Mydex (mydex.org), The Locker Project, een open source initiatief (lockerproject.org). In augustus presenteerde de Online Trust Alliance (OTA) de ruwe versie van een aantal richtlijnen die betrokkenen bij de ontwikkeling van het Internet of Things houvast moeten geven bij het vinden van de beste manieren om de gegevens van consumenten te beschermen. De OTA – een initiatief van onder meer Microsoft, Symantec, TRUSTe en Verisign – nodigt organisaties die werken aan het Internet of Things uit mee te discussiëren over de verdere uitwerking daarvan. (otalliance.org)

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!