Zet klanten in het middelpunt van uw privacyprogramma

Het privacyrisicolandschap evolueert snel voor de bedrijven van vandaag. In de afgelopen vijf jaar werd de General Data Protection Regulation (GDPR) in Europa al snel gevolgd door de California Consumer Privacy Act (CCPA); Brazilië, China, India en Zuid-Afrika hebben nu vergelijkbare regelgeving ingevoerd. Als reactie hierop verhogen bedrijven hun budgetten voor privacyprogramma's en hun inspanningen om personeel aan te werven dat zich richt op de privacy van consumenten.

Tegelijkertijd is het volgens het managementadviesbureau McKinsey steeds minder waarschijnlijk dat klanten een bedrijf zullen bezoeken dat ze niet vertrouwen met hun persoonlijke gegevens. Uit het onderzoek van 2020 onder 1 000 consumenten in Noord-Amerika bleek dat 87% geen zaken zou doen met een bedrijf als ze zich zorgen maakten over de beveiligingspraktijken, terwijl 68% zei dat de inhoud van hun e-mail alleen toegankelijk mag zijn voor de entiteiten die ze toestemming geven.[1] Onderzoek heeft ook aangetoond dat de bereidheid van klanten om informatie te delen met verschillende merken rechtstreeks verband houdt met hun gevoel van autonomie en controle over wat ze delen.[2]

Eenvoudig gezegd: naleving en risicobeperking zijn niet langer het plafond voor de privacyrechten van de consument. In plaats daarvan zijn ze de basislijn. Hoewel dit grote uitdagingen met zich meebrengt voor organisaties die niet zijn voorbereid, biedt het ook een kans om de privacystrategie van bedrijven te heroverwegen, de privacy-ervaring van gebruikers buiten de context van compliance te herdefiniëren en gegevensprivacy om te vormen van een belemmering tot een concurrentievoordeel.

Dit rapport, gebaseerd op een Gartner-rapport met de titel "Predicts 2022: Privacy Risk Expands," maakt deel uit van een driedelige serie over privacy. Andere rapporten in deze serie gaan in op de trends op het gebied van regelgeving, handhaving en rechtszaken die bedrijven onder nieuwe druk zetten om de regelgeving na te leven.

Een gebrek aan strategie leidt tot klachten - en erger

Te midden van het groeiende aantal wereldwijde privacywetten voor consumenten en de bijbehorende complexiteit, hebben bedrijven zich op privacy geconcentreerd als een kwestie van naleving van de regelgeving. Dit is zeker begrijpelijk, maar het heeft een negatief effect gehad op de klantenservice-ervaring.

Volgens een onderzoek van de International Association of Privacy Professionals (IAPP) heeft minder dan de helft van de multinationals een wereldwijde privacystrategie, waarbij ruwweg een derde van de bedrijven gegevens organiseert per rechtsgebied en gegevens beheert volgens de lokale wetgeving.[3] Bij gebrek aan een bedrijfsbrede strategie zijn privacyprogramma's op een ad hoc manier geïmplementeerd.

Als gevolg daarvan hebben bedrijven de privacy-ervaring van hun gebruikers opgeofferd, waardoor klanten niet in staat zijn om de functionaliteit te vinden of te gebruiken waarmee ze hun gegevens kunnen inzien, corrigeren of verwijderen, zoals toegestaan onder wetten zoals GDPR en CCPA. "Velen missen een goede transparantie, toestemmings- en voorkeursbeheer, en automatisering van subject rights request (SRR) reacties, wat resulteert in een overvloed aan klachten," aldus Gartner.

In sommige gevallen zijn klachten van consumenten slechts het topje van de ijsberg. Gartner vervolgt: "Met de uitbreiding van het compliancerisico wordt de inzet hoger door de mogelijkheid van class-action en massaclaims. Organisaties krijgen niet alleen mogelijk te maken met de kritische blik van regelgevende instanties, maar zullen ook meer dan voorheen rekening moeten houden met het privacyactivisme van consumenten. Tot 2026 zullen organisaties die verkeerd omgaan met persoonsgegevens drie keer meer financiële schade ondervinden van class actions en massaclaims dan van handhavingssancties."

5 stappen voor een holistische kijk op privacystrategie

In reactie op deze uitgebreide risico-voetafdruk investeren bedrijven in privacypersoneel en -budget, zo blijkt uit het IAPP-onderzoek. De gemiddelde uitgaven aan privacy stegen van 2019 tot 2020 met 9%, en van 2020 tot 2021 met 29%. De meeste bedrijven verwachten dat de uitgaven voor privacy ook in 2022 zullen stijgen, waarbij de gemiddelde stijging ergens tussen de 20% en 32% zal liggen. Wat personeel betreft, verwacht ongeveer 45% van de bedrijven extra personeel aan te nemen, hoewel de meerderheid verwacht slechts één of twee functies aan te nemen.

Nu privacyteams groeien en privacybudgetten toenemen, is dit een optimaal moment voor bedrijven om een meer holistische kijk op privacystrategie te ontwikkelen. Gartner voorspelde: "Tegen 2024 zal het gemiddelde jaarlijkse budget voor privacy van grote organisaties meer dan 2,5 miljoen dollar bedragen, wat een verschuiving mogelijk maakt van ethiek voor naleving naar differentiatie ten opzichte van de concurrentie."

Er zijn vijf belangrijke stappen die bedrijven kunnen nemen om deze transformatie mogelijk te maken, zoals hieronder uiteengezet:

• Verander de privacy mentaliteit.
• Ontwikkeling en financiering van een meerjarenstrategie.
• Geef voorrang aan privacy bij het ontwerp.
• De beveiliging van e-mail verfijnen.
• Efficiënter reageren op verzoeken van betrokkenen (DSR's).

Verschuiving van de privacy-mindset

De eerste stap bestaat erin de perceptie van privacy in het bedrijf te verruimen tot buiten een enge programmatische focus op naleving van de regelgeving. Dit stelt de organisatie in staat privacy te zien vanuit het oogpunt van de klant.

Om deze mentaliteitsverandering te bewerkstelligen, moeten zowel de uitvoerende belanghebbenden die zich met privacy bezighouden als de soorten bedrijfsinitiatieven die als onderdeel van privacy moeten worden beschouwd, op ruimere schaal worden betrokken. Gartner verklaarde: "CIO's, chief data officers (CDO's) en informatiebeveiligingsprofessionals zien een deel van hun uitgaven gaan naar direct daarmee verbonden functies, waaronder bijvoorbeeld data discovery, classificatie, end-of-life automatisering en automatisering van toegangscontroles ... Deze organisatiebrede rijping van zowel privacybeheer als datacentrische capaciteiten stelt organisaties in staat om verder te reiken dan louter compliance-gedreven werk, in de richting van klantgerichte activiteiten."

Daarnaast moeten organisaties kijken naar de volwassenheid van technologieën zoals data mapping en analytics, identity en access management, en data storage infrastructuur, gekoppeld aan best practices voor data breach identification, mitigation en response. Volgens McKinsey zal dit een meer proactieve aanpak van de privacy- en gegevensbeschermingsvereisten mogelijk maken.

Een meerjarenstrategie ontwikkelen en financieren

Een sterke nadruk op naleving van de regelgeving en privacybeheer zonder een bedrijfsbrede privacystrategie kan leiden tot de implementatie van eenmalige programma's om de regels voor een bepaald geografisch gebied of rechtsgebied na te leven. Deze aanpak maakt het moeilijk om privacy holistisch aan te pakken, aangezien verschillende delen van het bedrijf - en verschillende segmenten van de klantenpopulatie - onderhevig zijn aan inconsistente beleidsregels en gebruikerservaringen. Nu de inspanningen op het gebied van privacyregulering wereldwijd alleen maar toenemen, wordt deze aanpak ook steeds onhoudbaarder.

Gartner gaf aan: "Degenen die verder gaan dan louter wettelijke vereisten bevinden zich in de positie om te profiteren van het toegenomen vertrouwen van klanten en ecosystemen om de bedrijfswaarde te verhogen." Om zover te komen moet privacy worden beschouwd als een langdurig initiatief met een meerjarige routekaart gericht op meer samenwerking tussen bedrijfsonderdelen. Het vereist ook een verhoging van de privacybudgetten, zowel voor het privacykantoor als voor de IT-, data-, beveiligings-, marketing- en customer experience-teams.

Prioriteit geven aan privacy door ontwerp

Artikel 25 van de GDPR roept op tot privacy "by design and by default", waarbij wordt benadrukt hoe belangrijk het is om bij het ontwerpen van producten en systemen rekening te houden met privacy. De Internationale Organisatie voor Normalisatie heeft ook een reeks specificaties ontwikkeld die gericht zijn op het beheer van privacyinformatie in het licht van de wereldwijde vereisten inzake consumentenrechten.[4]

Door privacy op te nemen in de ontwerp- en ontwikkelingscyclus wordt privacy niet langer gezien als een add-on of een last-minute overweging. Bij ingebouwde privacy ligt de nadruk op proactieve en preventieve maatregelen, transparantie en gebruikersgerichtheid. Het doel is standaardprivacy, waarbij de eindgebruiker geen actie hoeft te ondernemen om zijn privacy te beschermen.[5] Dit helpt bedrijven om privacy tot een kernelement te maken van alle klantgerichte contactpunten, waardoor zij meer controle krijgen over de gegevens die zij delen en de manier waarop zij met een bedrijf communiceren.

De beveiliging van e-mail verfijnen

E-mail speelt een belangrijke rol bij de naleving van de privacywetgeving. [kl1] E-mailmarketing krijgt veel aandacht, aangezien de GDPR expliciet de "rechtmatige grondslagen" vastlegt voor het verzamelen, opslaan en gebruiken van consumentengegevens, voor het adverteren van relevante diensten aan een e-mailabonnee, en voor het vereisen van opt-ins en het mogelijk maken van opt-outs.

Er komt echter veel meer bij kijken dan het voorkomen van spam, vooral omdat e-mail een enorme bron van persoonlijke informatie is. GDPR roept ook op tot gegevensbescherming "by design and by default", en hoewel e-mailencryptie niet wettelijk verplicht is, is het wel de meest haalbare optie om e-mailgegevens te beschermen tegen een mogelijke inbreuk. GDPR roept ook op tot "het recht om te worden vergeten", wat organisaties die gewend zijn hun e-mail jarenlang te bewaren, dwingt hun beleid voor het bewaren en verwijderen van e-mail te actualiseren. Ten slotte vereist GDPR-naleving passende maatregelen om persoonsgegevens te beschermen, wat strengere beveiligingssystemen en training nodig kan maken om inbreuken te voorkomen die het gevolg zijn van opzettelijke of onopzettelijke activiteiten van werknemers.[6]

DSR-respons efficiënter maken

Privacyregelgeving geeft consumenten het recht om gegevens op te vragen (Data Subject Requests, DSR's), waarmee zij de gegevens die bedrijven over hen hebben, kunnen inzien, corrigeren of verwijderen. Dit is een gecompliceerde onderneming voor wereldwijd opererende bedrijven, aangezien zij meestal gegevens verzamelen uit vele rechtsgebieden; de overgrote meerderheid (87%) maakt ook gebruik van externe verkopers om persoonsgegevens te verwerken, zo meldde IAPP.

Naast de uitdaging van verschillende regelgeving die van toepassing is op verschillende geografische gebieden, meldden IAPP-leden dat het eenvoudigweg moeilijk kan zijn om de gegevens van een persoon binnen de wereldwijde organisatie te lokaliseren. Dit is zelfs het meest urgente probleem in verband met DSR's voor 47% van de wereldwijd actieve ondernemingen. Deze factoren hebben ook gevolgen voor de efficiëntie van het DSR-antwoordproces. Slechts 22% van de bedrijven kan een verzoek binnen twee dagen verwerken, tegenover 40% die minstens een week nodig heeft. Bovendien houdt meer dan 50% van de ondernemingen vast aan handmatige processen voor DSR-respons, tegenover 35% die het proces op zijn minst gedeeltelijk hebben geautomatiseerd.

Twee strategieën kunnen een oplossing bieden voor de complicaties bij het lokaliseren van klantgegevens en het verwerken van DSR's, aldus McKinsey. De ene strategie bestaat erin technologieën zoals data mapping in te zetten om te categoriseren welke soorten gegevens een organisatie van klanten verzamelt, en dit te koppelen aan een herzien gegevensopslagbeleid voor elke gegevenscategorie. De andere is het automatiseren van het indienen van en reageren op de meest voorkomende typen DSR's via self-service portals. Gartner merkte op: "Het is niet alleen de bedoeling om boetes te voorkomen, maar ook om het vertrouwen van klanten te versterken en een positief merksentiment te behouden. Organisaties die een selfservicemodel hebben ingevoerd, hebben verdere voordelen ondervonden van een consistentere gebruikerservaring, die vaak de merkloyaliteit en -betrokkenheid bevordert."

De kern van de zaak: Privacy als concurrentiële differentiator

Gartner gaf aan: "Tegen 2023 zullen overheidsvoorschriften die organisaties verplichten om gratis en toegankelijke privacyrechten voor consumenten te bieden, betrekking hebben op 5 miljard burgers en meer dan 70% van het wereldwijde bbp." Vanaf 1 januari 2023 worden de wetten van Californië ook sterker - "dark patterns" die consumenten kunnen manipuleren om beslissingen te nemen die ze anders misschien niet zouden nemen, zoals moeizame annuleringen van abonnementen of opt-out processen, zullen worden onderworpen aan boetes onder de California Privacy Rights Act.[7]

Naleving van de privacyregels voor consumenten is steeds meer een must voor de mondiale ondernemingen van vandaag. Het gaat echter om meer dan alleen het vermijden van strafmaatregelen; het betekent ook dat moet worden voldaan aan de verwachtingen van klanten over hoe bedrijven hun gegevens gebruiken. Het is nu tijd voor bedrijven om een robuustere strategie voor gegevensprivacy te ontwikkelen, die begint bij het productontwerp en zich ontwikkelt naar alle gebieden van het bedrijf waar privacy en klantgegevens elkaar raken. Een bedrijfsbrede strategie om de privacy van de klant centraal te stellen in de gebruikerservaring, en om consumenten duidelijke keuzes te geven over het delen van gegevens, zal de komende jaren een onderscheidende factor blijken te zijn in de concurrentiestrijd.

[1] "The consumer-data opportunity and the privacy imperative," McKinsey

[2] "Hoe aanvaardbaar is dit? How User Experience Factors Can Broaden our Understanding of The Acceptance of Privacy Trade-offs," Computers in Human Behavior

[3] "IAPP-EY Annual Privacy Governance Report 2021, International Association of Privacy Professionals en EY

[4] "Privacy engineering: Het wat, waarom en hoe," IAPP

[5] "Privacy by Design: The 7 Foundational Principles," Information and Privacy Commissioner of Ontario

[6] "Welke gevolgen heeft de GDPR voor e-mail?" GDPR.EU

[7] ""Dark Patterns Come to Light in California Data Privacy Laws"," National Law Review

[kl1]Renatta: Ik probeerde te linken naar deze pagina: https://www.mimecast.com/solutions/governance-risk-and-compliance-grc maar hij blijft "omslaan" naar de GDPR pagina (niet altijd, maar meestal), wat niet juist is voor deze link. Is er een mogelijkheid om dit te repareren? Als alternatief, deze link: https://www.mimecast.com/products/cloud-archive/compliance/