AVG als kans in plaats van compliance

Allard Keuter 23 mei 2018

Mij valt op dat iedereen in het kader van de inwerkingtreding van de AVG vooral bezig is om ‘compliant’ te worden. Bedrijven passen hun privacy statements aan en bedenken een procedure voor het opvragen of wijzigen van gegevens.

Met een beetje geluk hebben ze een register opgesteld met daarin netjes een beschrijving van de gegevens, waarvoor deze verzameld zijn en hoe lang ze bewaard worden. Ik kom echter zelden een organisatie tegen die juist de kansen van de AVG benut. Het lijkt allemaal vooral juridisch en vanuit compliance ingestoken te zijn. En dat terwijl er genoeg kansen zijn.

Kwaliteit gegevens

Het recht van inzage en wijzigen lijkt misschien lastig in te vullen, maar als je als organisatie eenmaal die stap gezet hebt, betrek je vanaf dat moment je klant bij wat je van hem of haar weet. Veel organisaties worstelen met het accuraat houden van het klantenbestand (verhuizingen, gewijzigde rekeningnummers, veranderde gezinssituatie, etc). Voor hen is dit een uitkomst. De kwaliteit van de klantgegevens kan eenvoudig toenemen door inzage te bieden.

Aanvullende diensten

Niet alleen inzage, maar ook de toestemming en het aangeven van het doel voor het gebruik van de gegevens vergroot de betrokkenheid van de klant. Organisaties die de toegevoegde waarde van het delen van (extra) gegevens door klanten heel helder kunnen maken, kunnen meer diensten leveren. Als organisatie ben je immers transparant en overtuig je door je toegevoegde waarde voor de klant.

Vertrouwen

Bovenstaande benadering staat of valt met het vertrouwen dat de klant in de organisatie en het proces heeft. En met de mate waarin de organisatie de identiteit van de klant betrouwbaar kan vaststellen. Dat begint, heel basaal, bij een betrouwbare inlogmethode zoals iDIN. Een user id-wachtwoord is niet meer van deze tijd, met alle wachtwoordhacks en datalekken als gevolg daarvan. En zelfs zonder dat wachtwoorden gestolen worden, heeft het Cambridge Analytics schandaal ons wel geleerd dat lang niet alle alternatieven voor user id-wachtwoord betrouwbaar zijn. Het vertrouwen dat de organisatie echt doet wat ze zegt te doen met de persoonsgegevens (en niet meer!) is heel belangrijk.

Digitalisering

De ideale mijnomgeving is natuurlijk niet alleen een inzage–portaal. Klanten verwachten meer dienstverlening en een zo kort mogelijke klantreis. Maar een inzage-portaal is vaak wel de eerste stap. Zo ging het ook bij de banken. Ooit begonnen ze met de digitale inzage in rekeningafschriften. Inmiddels kunnen ze hun diensten volledig digitaal verlenen: betalen, lenen, bankpassen aanvragen etc. Daarvoor was het nodig de identiteit van de klant betrouwbaar vast te stellen en te verifiëren bij elk online contact. Anders zou het risico op fraude – bijvoorbeeld het afnemen van diensten op andermans naam – te groot zijn. Banken zijn in de loop der jaren steeds bedrevener geworden in het vaststellen van de identiteit en hebben een zeer verfijnd fraudedetectiesysteem, essentieel voor het betrouwbaar houden van de online identiteit.

Over de auteur

Allard Keuter is Product Owner iDIN, inloggen, identificeren of je leeftijd aantonen via de inlogmethode van de banken. Hij is vanaf het begin betrokken geweest bij de ontwikkeling en marktintroductie van dit product en hij is gespecialiseerd in betalings- en authenticatieoplossingen. Allard heeft meer dan vijftien jaar ervaring op het gebied van technologie en business change management in de betaalsector. In zijn huidige rol bij iDIN is hij verantwoordelijk voor o.a. business development, onder meer in de financiële sector, het verzekeringswezen en het overheidsdomein. Met resultaat, want inmiddels maken tientallen organisaties gebruik van iDIN. Daarnaast behaalde iDIN in april de mijlpaal van de miljoenste transactie.