Privacy als verdienmodel

doxing

Bedrijven en overheden besteden vele miljoenen euro’s aan juristen en consultants om aan de GDPR te voldoen. Dezelfde beroepsgroepen overigens die stevig hebben gelobbyd voor deze wetgeving. Alleen zijn zij niet de enigen die privacy als markt en verdienmodel kunnen benaderen.

Minister Kamp (Economische Zaken) onderkent – getuige een brief aan de Tweede Kamer – dat big data niet alleen meerwaarde heeft voor efficiencyverbetering, strategische kennisopbouw, profilering en wetenschappelijk onderzoek maar ook voor privacy. Privacy biedt niet alleen ‘belemmeringen’ – als gevolg van strengere regels – maar ook kansen, zoals dat ook is gebeurd voor ‘duurzaamheid’. Juist dankzij restrictieve wetgeving werd dat een markt. Het centrale begrip hier is: vertrouwen. Dat wat te voet komt en te paard gaat, zoals ING Bank heeft ervaren met de mislukte introductie in 2014 om bankdata in te zetten voor commerciële suggesties aan klanten. Niet de wettelijke grenzen maar de mate van vertrouwen bepalen hoe bedrijven omgaan met privacy in de praktijk.

De bewindsman suggereert de opzet van gedragscodes en keurmerken. “Naarmate het bewustzijn en de keuzemogelijkheden van de burger groeien, zullen bedrijven de manier waarop ze omgaan met data steeds meer kunnen inzetten als concurrentiemiddel.”

 

Privacy-kampioenen

Uit rapportage van de Expertgroep Big data en privacy[1] blijkt dat privacyvoorvechters vanuit de regelgeving gaan voor maximale bescherming van passieve burgers. Marktdenkers daarentegen gaan voor een optimaal vertrouwen van consumenten in het bewust verschaffen van data. Zij kunnen er immers ook voordelen uit halen, bijvoorbeeld uit medisch onderzoek en aanbiedingen. De expertgroep concludeert “dat bedrijven die maatschappelijk verantwoord innoveren en ondernemen met big data toepassingen de beste kaarten hebben om een blijvende vertrouwensrelatie met consumenten te ontwikkelen en te behouden.” Dat is ook nodig, vinden de experts, om een dam op te werpen tegen de snel groeiende Amerikaanse datamachten als Google, Facebook, Amazon, Apple en Microsoft die op steeds meer markten toegevoegde waarde afsnoepen ten koste van Europese en lokale bedrijven. Een bescheiden praktisch voorbeeld in eigen land van een beginnende aanpak met data en privacy zijn volgens de expertgroep de ‘Privacy Champions’ van Ziggo, geïntroduceerd nadat de telco werd bestraft voor overtreding van privacyregels. Dertig mensen uit de hele organisatie melden de privacy- en integriteitsrisico’s en dragen, naast hun normale werk, het beleid van het Privacy & Data Protectie Team uit. Dit creëert een groeiend vertrouwen van klanten wat leidt tot een betere relatie en meer afzet van diensten.

 

Aegon en Qiy

Maar echte voorsprong en verdienmodellen ontstaan uit technologie. Om die reden participeert EZ in de QIY Foundation, een afsprakenstelsel dat beoogt de internetgebruiker controle en overzicht over, en inzicht in, de eigen data te geven[2]. Het Qiy wordt onder meer gebruikt door de applicatie Dappre (spreek uit ‘Depper’) voor identiteitsbeheer en als sociaal netwerk. Als eerste verzekeraar biedt Aegon haar twee miljoen klanten behalve een inlog met Facebook-, Google- of LinkedIn nu ook de mogelijkheid voor inloggen met Dappre. “Dappre is veel veiliger voor je privacy”, zegt Pieter Hartman, Head of Digital Business Development bij Aegon. Hij is zeer gecharmeerd van het Qiy afsprakenstelsel. “Aegon wil klanten financieel bewust maken en daar hoort bij dat ze zeggenschap krijgen over hun geld, hun data én privacy. Dit principe waarbij klanten zelfbeschikking hebben over hun data zou vanuit bescherming van consumenten een standaard moeten worden in Europa.”

Voor Nederlandse bedrijven biedt Dappre volgens Aegon een grote kans. Hartman: ‘Ik hoop op een netwerk van organisaties waarbij klanten zelf het middelpunt zijn. Als een klant dan een bankrekeningnummer wijzigt in zijn persoonlijke netwerk, verandert dat direct ook bij ons in de systemen. We kunnen pensioengerechtigden dan beter blijven volgen op nieuwe adressen, ook in het buitenland.”

 

Nieuwe TNO-dienst

Een consortium van banken, verzekeraars, KvK, TNO en enkele anderen ontwikkelt een soortgelijk product: Self-Sovereign Identity Framework (SSIF). Het heeft als doel zakelijke transacties te faciliteren, zo verklaart Rieks Joosten, onderzoeker Informatiebeveiliging bij TNO. “De persoonsgegevens zijn via een app beschikbaar en hebben waarde doordat een vertrouwde derde partij ze heeft gevalideerd. De afnemende partij moet bij een elektronische transactie zeker zijn van juiste, ware en eenduidige gegevens. Als bedrijven opgaven steeds zelf moeten controleren, kost dat veel tijd en geld. Dat kan worden bespaard als de controle al is gedaan.” Het consortium werkt aan een prototype van het systeem dat de werkwijze in de praktijk moet laten zien, zoals bij banken en verzekeraars.

 

Data onherleidbaar maken

Een vierde voorbeeld waarbij een privacy-oplossing waarde kan toevoegen is Viacryp, tot voor kort bekend als Pseudonimiseer. Voor grote organisaties maakt Viacryp van persoonsgegevens data die niet tot personen te herleiden zijn. Een mooi voorbeeld is de verwerking van bewegingsprofielen, bijvoorbeeld van supermarkten, warenhuizen of winkelcentra. Bezoekers worden gevolgd door hun mac-adressen te scannen die telefoons ‘zenden’ als deze zoeken naar wifi-contact.

Crumbbase, een aanbieder van bewegingsprofielen, nam Viacryp in de arm om mac-adressen real-time te pseudonimiseren met versleuteling. “Winkels verbeteren hun routering en krijgen inzicht in bezoekpatronen, terwijl de privacy van de bezoekers is gewaarborgd”, zegt Patrick van den Bos, commercieel directeur bij Viacryp. Verkeersonderzoeken vormen een gelijksoortige toepassing. De data – verzameld door camera’s en scanauto’s – over in- en uitkomend verkeer en geparkeerde auto’s, worden gecombineerd met het parkeervergunningsregister. Dankzij Viacryp pseudonimisering zijn die patronen over verblijfstijden, parkeren en herkomst niet meer herleidbaar tot kentekens en personen. De data is dat te gebruiken voor stadplanning of om parkeeroverlast te verminderen. Van den Bos: “Denk aan de indeling van parkeerruimte of het instellen van eenrichtingsverkeer en autovrije zones.”

Zo te zien zijn er meerdere verdienmodellen denkbaar, waarbij van de nood (beperkingen door regels) een deugd wordt gemaakt met Privacy Enhanced Technology. De GDPR schudt veel organisaties wakker, die de komende tijd met strategieën zullen komen die ondanks, of juist dankzij, de nieuwe privacyregels meerwaarde uit data generen.

[1] ‘Licht op de digitale schaduw – Verantwoord innoveren met big data’

[2] Zie het artikel ‘Nederlands stelsel maakt einde aan wildwest persoonlijke data’ in ICT/Magazine, april 2015.

Gerelateerde berichten...