Door Marijn van Haperen

De Algemene Verordening Gegevensbescherming (AVG, of GDPR) is inmiddels geen nieuwkomer meer. Hoewel ondertussen iedere organisatie zijn best doet om zijn zaakjes helemaal op orde te hebben op het gebied van compliancy en veiligheid, zit een ongeluk toch al gauw in een klein hoekje. Op het gebied van AVG, tot nieuwere wet en regelgeving met betrekking tot Artificial Intelligence.

Hoe goed organisaties ook hun best doen de juiste maatregelen te treffen, blijven sommige fouten menselijk. Wij zetten hieronder vijf valkuilen op het gebied van compliancy uiteen, die jij misschien zelf ook wel herkent.

1. Vergeten data in back-ups: compliance eindigt niet bij je live omgeving

Als een klant zijn recht op vergetelheid wil uitoefenen en dus eist dat al zijn gegevens uit alle systemen van een organisatie verwijderd worden, dan is het voor veel bedrijven sowieso al lastig om te bepalen in welke systemen de klant allemaal voorkomt. Maar zelfs als dat probleem getackeld is, bijvoorbeeld door de inzet van een Customer Data Platform (CDP), worden de back-ups van systemen vaak nog vergeten.

Wat als ik bij een recht op vergetelheid wél de persoon verwijder uit mijn CRM, maar ik in mijn datawarehouse nog 10 kopieën van de database in de cloud heb draaien? Als persoonsgegevens daar nog jarenlang in blijven voortbestaan zonder bewaartermijn of restricties, is dat een serieus risico onder de AVG.

Heb jij al nagedacht over verwijderpolicies bij een verzoek tot ‘recht tot vergetelheid’? Technisch is het vaak lastig om data selectief te verwijderen uit back-ups, maar er zijn oplossingen, zoals encryptie, lifecycle policies en duidelijke retention schema’s.

2. ChatGPT als ideale assistent, maar ook als verleidelijk datalek.

Okay. Deze heb jij vast ook al eens gebruikt. ChatGPT, die jou helpt als persoonlijke assistent om vragen te beantwoorden of een stuk uit te werken.

Verleidelijk is het dan ook Chat GPT te vragen jou te helpen een lang PDF document samen te vatten waarin zich óók privacy gevoelige informatie bevindt. Of om uit een Excel bestand met daarin diverse klantgegevens inzichten te halen. Maar zijn medewerkers en collega’s zich er ook van bewust waar deze data landt?

In maart 2023 kreeg OpenAI te maken met een datalek, waardoor het bedrijf gedwongen was ChatGPT voor een periode offline te halen. De inbreuk werd veroorzaakt door een bug in de broncode, waardoor elke actieve gebruiker de chatgeschiedenis van een andere gebruiker kon zien.

3. Losse Excel lijstjes, de klassieker

Misschien wel hét klassieke voorbeeld. Je organiseert een event en de aanmelders, met contactgegevens, parkeerplaats en de auto kentekens worden voor de organisatie vastgelegd in Excel en lokaal opgeslagen, misschien zelfs uitgeprint en geplastificeerd én per email gedeeld met collega’s.

Probeer dan nog maar eens te traceren wáár data van een individu leeft, met welke gegevens én wie daar toegang toe heeft. Een goed CRM waarin we met elkaar op één én dezelfde plek gegevens opslaan, bewerken én inzien helpt dit soort valkuilen te voorkomen.

4. Onvoldoende doelbinding: ‘We verzamelen het alvast, misschien is het ooit handig’

De verleiding is groot om data te verzamelen “voor het geval dat”. Maar de AVG vereist een duidelijk doel vóórdat je begint met verzamelen. Dit betekent dat je niet alleen juridisch moet vastleggen wat je met de data wilt doen, maar ook technisch moet zorgen dat data alleen voor die doeleinden beschikbaar is, bijvoorbeeld door segmentatie, dataclassificatie en toegangsbeheer binnen je CDP. Én niet voor personen of praktische toepassing waarvoor de data niet bedoeld was.

Handig is dat tools als Dynamics 365 Customer Insights Journeys je helpen om consent voor opslag én voor opt-in ten behoeve van communicatie uit te vragen en op te slaan.

5. Gebrekkige rechtenbeheer: wie kan wat met welke data doen?

De rechten van betrokkenen (zoals inzage, correctie en verwijdering van de eigen data) zijn een kernonderdeel van de AVG. Toch worstelen veel organisaties met het daadwerkelijk uitvoeren van die rechten, technisch én organisatorisch. Binnen Customer Data Platforms zoals Microsoft Customer Insights is het essentieel om datastromen inzichtelijk te hebben en processen in te richten die deze verzoeken efficiënt en correct afhandelen. Een juridische verplichting, maar ook een kans om vertrouwen op te bouwen.

Maar, mogen en kunnen we nu helemaal niets meer?

Misschien wel de grootste valkuil: de overtuiging dat de AVG innovatie in de weg staat. Veel organisaties raken verlamd door de gedachte dat de privacy wetgeving vooral restricties oplegt: “We mogen dit niet meer vragen”, “Dat mogen we niet opslaan”, “Daar kunnen we niks meer mee”. Maar die gedachte klopt maar ten dele, en vormt daarmee een gevaarlijke valkuil. Want er kan juist verrassend veel, zolang je het op de juiste manier doet.

De AVG verbiedt niet het gebruik van persoonsgegevens, ze stelt er voorwaarden aan. Transparantie is daarbij cruciaal. Dat betekent: duidelijk en begrijpelijk communiceren naar je klanten wat je doet met hun data, waarom je dat doet, hoe lang je het bewaart en met wie je het eventueel deelt. Dit gaat verder dan een juridisch document of een generiek privacybeleid. Denk aan heldere toestemmingsteksten, interactieve voorkeurencentra en inzicht in welke gegevens een klant bij jou heeft opgebouwd.

Daarnaast vraagt de AVG om verantwoording: je moet intern kunnen aantonen dat je processen en systemen in lijn zijn met de regelgeving. Bijvoorbeeld: heb je vastgelegd welk doel je aan welke dataset hebt gekoppeld? Kun je aantonen dat alleen bevoegde medewerkers toegang hebben? Zijn je dataplatforms (zoals een CDP) technisch ingericht om gebruikersrechten uit te voeren, zoals dataportabiliteit of vergetelheid?

Kortom: in plaats van te denken in beperkingen, is het beter te denken in kaders. Wie dat goed aanpakt, kan met een gerust hart klantdata gebruiken voor personalisatie, analyse en optimalisatie, en tegelijkertijd het vertrouwen van klanten versterken.