Compliancy ‘beyond’ GDPR
Wij worden overspoeld met publicaties omtrent GDPR, meestal met een technische of juridische insteek. De businesspartners Michael Doves – Analytical Champion bij DIKW – en Arjen van Berkum – Chief Disruption Officer bij Conclusion – hebben een volledig andere focus: “Wij kijken naar compliancy ‘beyond’ GDPR.”
De data scientists van DIKW en Conclusion verzamelen data voor diverse klanten. Hoe weten we dat daar niet een databeveiligingsconflict ontstaat? “Dat weten we niet”, vertelt Doves. “Het vereist zoiets als ontology driven security, waardoor je ‘on the flight’ kan bepalen welke data iemand vanuit zijn of haar rol wel of niet mag zien. Zover is de techniek nog niet, al is dat ongetwijfeld een kwestie van tijd. Het is een van de vele voorbeelden waaruit blijkt dat we met zijn allen nimmer zullen voldoen aan iets als GDPR. Hoe goed ze ook hun best hebben gedaan, deze wetgeving is uiteindelijk een farce.”
“Het is nog niet goed genoeg”, nuanceert Van Berkum. “Vrijwel alle ICT is gebouwd op applicatieve rechten – als jij deze applicatie gebruikt, mag je alles zien wat daarin wordt verwerkt. Terwijl GDPR gaat over inhoudsrecht. De context van waarom je dingen doet, wordt steeds belangrijker. Daarom is GDPR hooguit een goede eerste stap. Alleen ontwikkelt het data science vakgebied zich zo onvoorstelbaar snel, dat wetgeving per definitie achterloopt bij de technische mogelijkheden. Organisaties moeten daarom gaan werken aan hun compliancy ‘beyond’ GDPR.”
Handhavers
Om te benadrukken waarom organisaties dat echt moeten gaan doen, brengt Doves de meldplicht datalekken in herinnering. “Vorig jaar waren er ongeveer 5500 meldingen en dat werd ‘een succes’ genoemd. Volgens mij is dat nog niet eens één procent van het daadwerkelijke aantal. Niet één van de 1,2 miljoen Nederlandse bedrijven heeft de gegevensbescherming volledig op orde. Daarom gaat een toezichthouder of handhaver dit volgens mij nooit dichttimmeren, los van de ontbrekende capaciteit om het te controleren. De enige echte handhavers zijn de klanten, die bedrijven die iets verkeerds doen – met privacygegevens of anderszins – echt afstraffen. Dat is veel effectiever dan wat een toezichthouder kan doen. Sjoemelsoftware werkt niet meer in de nieuwe wereld.”
Schandpaal
Het probleem is niet zozeer dat klanten niet willen dat er iets met hun persoonsgegevens gebeurt. Het probleem is dat ze vaak helemaal niet weten wat ermee gebeurt. Doves: “Een aantal Amerikaanse bedrijven heeft daar goed over nagedacht. Zij geven een duidelijke uitleg over welke data zij hebben en wat ze ermee doen. Klanten accepteren dat, omdat ze precies weten waar ze aan toe zijn qua privacy. En als je daar als bedrijf van afwijkt, heb je een serieus probleem. Als bekend wordt dat jij onder de motorkap iets aan bijvoorbeeld Amazon hebt verkocht, word je aan de schandpaal genageld.”
En dergelijke praktijken komen vroeg of laat altijd aan het licht, weet Van Berkum. “De consument wordt steeds alerter en kiest bewuster voor ‘ja’ of ‘nee’. Zij straffen misbruik rucksichtslos af door die diensten of producten niet meer te gebruiken. Een recent onderzoek dat wij deden voor een bedrijf – die een commerciële app exploiteert – wees uit dat het geven van toestemming voor geofetching binnen één jaar tijd met bijna 30 procent was gedaald.”
Ethiek
Doves zet een hypothese uiteen: “Jouw supermarkt weet precies wat jij aan boodschappen koopt, bijvoorbeeld veel rood vlees. Ergens anders is data over jou beschikbaar, dat je man bent en zoveel kilo weegt. Gecombineerd met nog meer gegevens over leefstijl valt dan redelijk accuraat jouw kans op darmkanker te berekenen. Informatie waar zorgverzekeraars absoluut interesse in hebben. En daar gaat het mis. Bedrijven kunnen veel meer bruikbare data verzamelen dan ze strikt genomen nodig hebben.”
Wat is ethisch nog in orde? Denk aan die scheve schaatsen die financiële instellingen reden in 2014. Equens en later ING kondigden een proef aan met het verkopen van klantgegeven. Alles zou volgens de bank ‘ruim binnen de grenzen blijven van wat de maatschappij acceptabel vindt’. Het kwam de instellingen op een ware storm van kritiek te staan, waarop de bank de proef een halfjaar later afblies. De klant pikte het niet.
“De consument verwacht dat een schoenmaker zich bij zijn leest houdt”, aldus Van Berkum. “Ik moet erop kunnen vertrouwen dat mijn supermarkt en bankinstelling de data voor eigen doeleinden blijft hanteren. Zolang iets als GDPR niet serieus werkt, blijft het gevaar aanwezig dat data wordt vermarkt. Echte transparantie is de enige correcte handelswijze. Wie dat niet doet en het komt naar buiten, die wordt ongenadig hard afgestraft via het imago en uiteindelijk de P&L. Dat zal niet lukken via boetes, hoe hoog die ook zijn.”
De geest en de fles
Organisaties die de waarde van hun imago, hun merk begrijpen, zien dat GDPR niets meer is dan een heipaal onder een huis. Van Berkum: “Alles wat je daarnaast moet doen om te kunnen wonen, doe je niet omdat de wetgever dat vraagt, maar omdat je de waarde van je imago beschermt. Heel weinig partijen denken vanuit die merkwaarde. En dat overstijgt de commerciële arena. Het geldt evenzeer voor leveranciers, non-profit instellingen, kortom iedere waardeketen. Bedrijven die boven komen drijven, hanteren een zuiver ‘moreel kompas’ – om dat nare woord maar te gebruiken. En wat dan moreel juist is, blijft subjectief. In ieder geval begint het met heel strak en transparant communiceren wat je doet. Uiteindelijk is GDPR niets anders dan een wake-up call voor een ethisch probleem.”
“En dan hebben we het nu alleen nog maar over de data die we hebben”, voegt Doves hieraan toe. “Met nieuwe technologieën, zoals beeld- of audioanalyse, wordt die berg aan data nog vele malen groter. De geest is uit de fles, niet omdat de kurk eruit is, maar omdat de fles kapot is.”
Fundamenten
De nauwelijks te bevatten nieuwe mogelijkheden met data zet de samenleving zoals we die kennen volledig op zijn kop. “De grote thema’s gaan in essentie niet over robotisering, of digitalisering”, licht Van Berkum toe, “maar over het feit dat deze ontwikkelingen aan de ethische fundamenten van onze maatschappij morrelen. Binnen deze discussie is GDPR een ‘building block’, aangezien het sec volgen van jurisprudentie niet volstaat.”
DIKW en Conclusion zijn onvervalste it-providers. Toch gaat dataprivacy volgens hen niet over techniek. “Wij moeten het gesprek voeren met onze klanten, omdat het relevant is voor onze toekomstige economische basis”, zegt Doves. “Daarin gaat het over waarde voor de lange termijn. Bij de korte termijnfocus – afgedwongen door aandeelhoudersdruk – blijft de verleiding om in de snoeppot te graaien aanwezig.”
“Er zal een moraliteits-keurmerk komen”, voorspelt Van Berkum. “Niet langer onderbouwd door de aloude trias politica, maar door andere ‘machten’ zoals ethical hackers, journalisten enzovoort. Zij zullen de moralistische wanpraktijken onthullen en uitbannen.”