Nederlander ruilt privacy niet voor ‘koopje’

AMSTERDAM – Nederlanders zijn niet bereid privégegevens en informatie over hun surfgedrag achter te laten bij adverteerders als ze in ruil daarvoor gratis content krijgen of goedkoper uit zijn. Dit blijkt uit donderdag gepubliceerd wereldwijd onderzoek van adviesbureau KPMG onder bijna 10.000 consumenten (bron).

Als je dit zo leest dan zou je kunnen denken dat het nog niet zo slecht gesteld is met die gekke Nederlanders. Toch is dit bericht tegenstrijdig aan vele eerdere berichten waarin duidelijk werd dat mensen hun wachtwoord of pincode al weggegeven voor een reep chocola. En nee, ik heb de links naar deze andere artikelen even niet paraat, dus wil je je echt een goed beeld vormen dan zul je die er zelf even bij moeten zoeken.

Misschien zit het hem hier ook met name in de vraagstelling en de exacte weergave van de antwoorden. Het verschil dus tussen kennis, houding en gedrag. Nee, ik wil mijn gegevens niet weggeven voor korting maar doe het in de praktijk toch omdat ik toch wel erg graag die korting wil hebben. Het sociaal wenselijke antwoord komt dan dus niet overeen met het vertoonde gedrag.

Laten we het bericht nog wat verder uitpluizen:
Uit het onderzoek blijkt dat bijna twee derde van de Nederlanders zijn gegevens niet inruilt voor een goedkopere deal. Buiten Nederland is een meerderheid van de consumenten hiertoe wel bereid.
Wat is er gebeurt met “ons bin zuunig” en “kijken, kijken en niet kopen”. Volgens mij willen wij juist voor een dubbeltje op de eerste rang zitten. Ook hier kunnen we best aangeven dat we onze gegevens liever niet weggeven maar dat in de praktijk toch doen (zonder er bij na te denken zelfs).

Denk alleen maar aan de Airmiles. Miljoenen mensen die over zo’n pas beschikken. Al jaren trouwens. Daar hebben ze inderdaad ooit wat gegevens voor af moeten staan, maar welke dat exact waren zijn we allang vergeten. Nu krijgen we korting (van een paar cent) en met een beetje mazzel sparen we een nieuwe set keukenhanddoeken bij elkaar. Ja daar moeten we dan wel € 9,95 voor bijbetalen maar dat is natuurlijk logisch (oh ja, die keukenhanddoeken kosten in een andere winkel maar € 4,95 maar we hebben mooi wel 5 euro korting op de adviesprijs van € 14,95).

Ruim de helft van de Nederlanders wil ook geen advertenties op zijn mobiele apparaat ontvangen als hij in ruil daarvoor goedkopere producten of gratis content kan krijgen. Slechts 14 procent betaalt voor content op het internet.
Bovenstaande zin is op zich natuurlijk al tegenstrijdig. Nee, natuurlijk willen we geen advertenties maar 86% betaalt niet voor content op internet. Iets is maar zelden gratis, er moet op de een of andere manier toch ergens een verdienmodel achter zitten. Op internet zie je dat er veelal verdient wordt aan die reclames. De keuze is dus betalen of gratis maar dan met advertenties. De weegschaal slaat voorlopig nog door naar gratis…dan ontkomen we dus niet aan advertenties.

Bijna 90 procent geeft aan bepaalde websites niet langer te zullen bezoeken zodra die overgaan tot betaalde toegang. In dat geval zullen zij op zoek gaan naar alternatieve sites die gratis zijn.
Ook hier weer een logisch antwoord. Stel je hebt de keuze: ergens voor betalen of iets gratis krijgen…wat heeft jouw voorkeur? Natuurlijk krijgen we iets liever gratis, alleen mogen we dan natuurlijk niet dezelfde functionaliteiten verwachten als dat we er voor betalen. Alternatieve sites zullen er misschien best zijn, maar ook die moeten op de een of andere manier hun geld verdienen…dat zal dan waarschijnlijk zijn met advertentieverkopen.

Voor niets gaat de zon op. Dat is altijd al zo geweest en zal waarschijnlijk ook altijd zo blijven. We mogen het dan de gratis economie noemen maar dat betekent niets meer dan dat het voor de ontvanger gratis is en dat het verdienmodel erachter anders is dan in het verleden.

Nee, mijn beeld is in ieder geval niet gewijzigd en ik ben er van overtuigd dat mensen misschien zeggen dat ze hun gegevens niet weg willen geven maar dat in de praktijk toch gewoon doen. Zelfs als dat uiteindelijk niet echt iets oplevert…nee, het moet inspelen op het gevoel van de mens en dan worden alle gegevens gewoon weggeven.

De legitieme doelen van persoonsgegevens

We weten inmiddels dat we serieus na moeten denken over de wijze waarop we de persoonsgegevens van onze klanten beveiligen. De Wet Bescherming Persoonsgegevens geeft daar goede kaders voor en er zijn allerlei checklists beschikbaar om na te gaan hoe goed we het doen. We haalden ook al aan dat het gaat om de legitieme doeleinden van de verzameling van persoonsgegevens.

De vraag die hier verder op ingaat is:
Worden persoonsgegevens (zowel van medewerkers als klanten) uitsluitend opgeslagen voor opgestelde en legitieme doeleinden?

Bij de Wet Bescherming Persoonsgegevens denken we al snel aan de gegevens die we van onze klanten ontvangen. Toch is het ook goed om nadrukkelijk stil te staan bij de gegevens van medewerkers. Deze vallen onder dezelfde wet en deze gegevens verzamelen we wellicht met andere doeleinden dan de gegevens van de klanten.

De Wet Bescherming Persoonsgegevens verbiedt niet om te communiceren met klanten, medewerkers en andere personen maar stelt wel nadrukkelijk kaders waarbinnen we moeten acteren. Het belangrijkste kader maken we echter zelf en dat is de omschrijving van de legitieme doeleinden waar we die gegevens voor verzamelen.

Vaak is er een grijs gebied waar we ons op glad ijs kunnen bevinden. We willen claims en onnodige negatieve persberichten voorkomen. juist daarom is het goed om de doelen duidelijk te stellen, de grijze gebieden zo smal mogelijk te houden, er met de personen in kwestie over te communiceren en bij twijfel de gegevens maar vooral niet te gebruiken.

Hebben we de doelen inderdaad duidelijk en stemmen de personen daar mee in (nee, niet onder lichte dwang omdat ze niet anders kunnen, maar open en transparant), dan kunnen we nadenken over scheiding in de systemen die we hebben en scheiding in functies om te voorkomen dat men in de verleiding komt om ze toch te gebruiken. Hebben we een bepaalde monopolie positie in de markt dan is daar veelal aanvullende regelgeving voor en moeten we vanuit controlerende instanties aan aanvullende beveiligingsmaatregelen voldoen. Hebben we die monopolie positie niet, dan zouden we onze verantwoordelijkheid moeten nemen en zelf na moeten denken over de aanvullende maatregelen die we willen nemen.

We brengen dus scheiding aan in de systemen, maar brengen ook hier functiescheiding aan. De ene afdeling hoeft niet noodzakelijkerwijs te kijken in de gegevens van de andere afdeling. Het is natuurlijk erg aanlokkelijk om dat vooral wel te doen…maar het ging om vertrouwen van de klant, weten we nog? En hoe vinden we het zelf als onze gegevens te koop zijn?

Schaden we dat vertrouwen dan zijn we ze kwijt, we komen negatief in het nieuws en nog meer mensen zullen besluiten over te stappen naar een andere aanbieder. De negatieve spiraal is ingezet en kan enorm snel gaan. We zijn gewaarschuwd en willen er dus minimaal over hebben nagedacht.

De grenzen op zoeken is helemaal niet erg, het kan zelfs erg spannend zijn. We moeten er alleen voor proberen te zorgen dat we die ene grens niet overgaan. Dat doen we door vooraf de doelen te stellen en zoals met zoveel doelen maken we die ook weer zo SMART mogelijk. We verzamelen alleen die gegevens die we echt nodig hebben en bewaren ze niet langer dan noodzakelijk. Daarbij gebruiken we ze binnen de door onszelf gestelde kaders en we zijn al een heel stuk op weg.

De Wet Bescherming Persoonsgegevens

Op het gebied van informatiebeveiliging zijn (nog) niet heel erg veel relevante wetten waaraan we ons verplicht moeten houden. Uit algemene wetgeving kunnen we natuurlijk wel afleiden dat we ons als goed huisvader dienen te gedragen. In hoeverre we “goed” dan nader definiëren is aan onszelf. Toch is er minimaal een wet waaraan we ons moeten houden als we gegevens van personen ontvangen, opslaan en hopelijk tijdig weer verwijderen.

De vraag die hierbij hoort is:
Wordt regelmatig getoetst of de bepalingen van de Wet Bescherming Persoonsgegevens worden nageleefd?

Onze klanten kopen bij ons omdat ze ons vertrouwen (of omdat ze nu eenmaal geen andere aanbieder hebben, maar daar gaan we voor nu even niet vanuit). Als dat zo is dan mogen wij dat vertrouwen niet schaden, dat is niet alleen niet netjes maar zal er ook voor zorgen dat de klanten massaal hun biezen pakken en nooit meer terug zullen keren.

Kennen we niet allemaal de regel dat het behouden van een klant vele malen makkelijker is dan het werven van een nieuwe? Dat mag dan vanuit verkoop en marketing helemaal waar zijn, maar vanuit informatiebeveiliging moeten we daar dan ook actief een bijdrage aan leveren. Het is onze taak om de gegevens van personen goed beveiligd te houden.

Dat klinkt misschien niet zo ingewikkeld en wordt ook als niet meer dan logisch ervaren. Toch zien we in de praktijk vele incidenten waarbij de privé gegevens van klanten op straat zijn geraakt. Systemen worden gehackt, databases worden openbaar en USB-sticks met gegevens worden verloren. Allemaal zaken waar we bij informatiebeveiliging natuurlijk stil bij willen staan.

Maar we mogen ook niet vergeten dat we de persoonsgegevens opslaan met een bepaald, vooraf gesteld en bekend gesteld, doel. Buiten dat doel om mogen we die gegevens niet gebruiken voor bijvoorbeeld commerciële doeleinden…tenzij we daar expliciet toestemming voor hebben gekregen.

Doen we het op een handige manier dan mogen we die gegevens intern nog op een redelijke wijze gebruiken, het wordt al anders als we besluiten die gegevens ook aan anderen te verkopen. Natuurlijk kunnen we ergens in de kleine lettertjes opnemen dat dat ons recht is en als men daar niet mee instemt dat de deal dan helaas niet door kan gaan. Maar hiermee hebben we toch redelijk boter op ons hoofd. Laten we eerlijk zijn, hoe lang geleden was het dat jij zelf de kleine lettertjes bij een contract hebt gelezen? Lang? Nooit?

Vertrouwen is goed, controle is beter. Heb je zelf wel eens je persoonsgegevens in moeten vullen en werd je daarna verrast met allerlei reclamemateriaal of telefoontjes? Grote kans dat je gegevens verkocht zijn. Wil je het controleren dan kun je natuurlijk je persoonsgegevens zodanig kenmerken dat je kunt herleiden waar je ze hebt ingevuld en hoe die dan weer zijn verkocht. Je kunt dat bijvoorbeeld doen door op het formulier eens een andere voorletter in te vullen of bijvoorbeeld de eerste twee voorletters van je voornaam. Moet je eens doen en dan kijken welke adresetiketten daar wel erg mee overeen komen.

Moet je digitaal je gegevens ergens achterlaten dan kun je natuurlijk altijd een gratis emailadres aanmaken bij Hotmail, Gmail of iedere andere gratis aanbieder. Die kun je dan mooi gebruiken als je weer eens op een site je adres moet achterlaten. De SPAM komt dan vele malen eerder daar terecht dan in de mailbox die je voor meer serieuze zaken gebruikt.

Als we terug komen op het feit waarom men bij ons koopt dan gaat het er dus om dat ze ons vertrouwen. Dat vertrouwen mogen we niet te grabbel gooien omdat we dan de deksel lelijk op onze neus kunnen krijgen. Natuurlijk doen we er met allerlei beveiligingsmaatregelen van alles aan om die gegevens te beschermen (toch?), maar daarnaast zullen we dus met de verkoop en marketing afdeling in overleg moeten om legitiem gebruik van die gegevens vast te leggen.

Veiligheid webwinkels nauwelijks verbeterd

Mosterd na de maaltijd. Hebben we net allemaal onze sinterklaas en kerstkado’s weer gekocht via internet en hebben we meer uitgegeven dan ooit tevoren krijgen we te horen dat het met de beveiliging van de webwinkels nog slecht gesteld is.

Vergeleken met een jaar geleden is er vrijwel niets veranderd wat betreft de veiligheid van webwinkels die gebruik maken van de betaalmethode iDeal
(bron).

Nu is dat natuurlijk minder leuk voor alle consumenten waarvan de gegevens op straat liggen. Maar vanuit business optiek biedt ook dit weer enorme kansen voor dit nieuwe jaar.

Van die websites verzendt 86 procent de persoonsgegevens van consumenten over een onveilige verbinding. Slechts veertien procent voldoet aan de eisen die de Wet bescherming persoonsgegevens (Wbp) voorschrijft. In 2009 was dat twaalf procent.

Slechts 14% voldoet aan de wettelijk gestelde eisen. Ehm, wordt het niet eens tijd dat hier wat aan gedaan wordt? Wordt het niet eens tijd dat het College Bescherming Persoonsgegevens er eens stevig naar gaat kijken? Zolang er weinig druk op staat, zo lang er nauwelijks boetes worden uitgedeeld zal het wel zo blijven.

Toch kun je er niet omheen dat juist ook dit een vorm van oneerlijke concurrentie is. Iedere winkelier met een winkel moet aan allerlei eisen voldoen, voldoet hij niet dan krijgt hij een stevige boete. Juist dit soort regels maken het houden van een winkel duurder dan het verkopen via internet (vanuit je garage of schuur).

Te weinig internet winkels die blijkbaar de link naar de zelfevaluatie van het College hebben gevonden. Nou voor een keer dan de link naar deze zelfevaluatie.

En voor al die ondernemers die het toch maar liever niet zelf doen, maar die wel hun klanten de juiste bescherming willen geven: ik kom jullie er graag bij helpen.

OV-bedrijven negeren inzageverzoek reisgedrag

Vier van de vijf OV-bedrijven voldoen niet aan verzoeken om inzage in verzamelde persoonsgegevens te geven. Dat blijkt uit onderzoek van Jan-Jaap Oerlemans, onderzoeker aan de Universiteit van Leiden. Oerlemans had op 20 juli van dit jaar bij Trans Link Systems (TLS), NS, RET, Veolia, GVB en Connexxion een inzageverzoek van zijn persoonsgegevens ingediend. TLS en de NS voldeden aan het verzoek, wat niet geldt voor de vier andere OV-bedrijven (bron)

Ik heb het er al vaker over gehad en vind het goed dat hier nu eens onderzoek naar is gedaan. Organisaties die persoonsgegevens van je bewaren moeten je daar inzicht in kunnen geven, dat is wettelijk zo geregeld in de Wet Bescherming Persoonsgegevens. Te weinig mensen vragen hun gegevens op dus veel organisaties komen daarmee weg.

Onthoud dus dat je altijd het recht hebt op inzage, twijfel je aan de gegevens die een organisatie van je bewaard, maak daar dan gebruik van. Overigens mag die aanvraagprocedure wat mij betreft wel wat eenvoudiger want er wordt nogal eens ontmoedigingsbeleid gehanteerd. Maak die aanvraagprocedure zo ingewikkeld dat iedereen het wel uit zijn hoofd laat.

Misschien kunnen we eens een actiegroep oprichten die stelselmatig de persoonsgegevens op gaat vragen…een sponsor zullen we daar denk ik niet snel voor vinden.

Maar belangrijk om te weten is dat je dus altijd je gegevens op mag vragen, maak daar gebruik van als je dat nodig vindt.