
Nederlandse bedrijfsleven: 'Privacywetgeving is te defensief'
Te veel nadruk op risico's, te weinig oog voor kansen.
Data- en privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), is te defensief en wordt te veel ingevuld vanuit de nadruk op de risico's in de omgang met data, met te weinig oog voor de kansen die data geeft.

Nederlandse bedrijfsleven: 'Privacywetgeving is te defensief'
Data- en privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), is te defensief en wordt te veel ingevuld vanuit de nadruk op de risico's in de omgang met data, met te weinig oog voor de kansen die data geeft.
Dat vinden enkele topmanagers van Nederlandse organisaties. Tijdens een ronde tafel-discussie in het Amsterdamse Hotel Conservatorium bleek dat Nederlandse bedrijven en organisaties proberen te laveren tussen experimenteren en innoveren met data en het voldoen aan de risicobeperkingen die de wetgever ze oplegt. "Het is continu een risico-afweging", concludeert Hatice Dogan, functionaris voor gegevensbescherming bij de Sociale Verzekeringsbank, dan ook na het horen van de verhalen van haar tafelgenoten.
De discussie over de juridisering van de verwerking van data werd aangezwengeld door Gaby Schilders, sales engineer bij Enterprise DB (leverancier van het dataplatform EDB Postgres) en gastheer van deze lunch annex ronde tafelgesprek. Naar aanleiding van de juridische achtergrond van Dogan plus de actuele situatie rond de AVG wilde hij graag weten van zijn disgenoten hoe ze daarmee omgaan.
"Het is niet zo dat niks meer mag", ziet Jerry Loman, manager IT bij verzekeraar Vivat. "Wij experimenteren binnen een aparte omgeving, die we Sandbox noemen. Eén op de 20 is succesvol genoeg om naar de productie-omgeving door te groeien. Wel geven we die doorgegroeide experimenten kaders mee binnen de combinatie van technologie, business en toezicht."
De deelnemers aan deze ronde tafel-discussie waren gastheer Gaby Schilders (Enterprise DB), Jerry Loman (manager IT bij Vivat), Annet Holtrop (manager IT Development bij Syntrus Achmea RE&F), Bouke Hoving (Executive Vice President Networks & IT bij KPN) en Hatice Dogan (functionaris gegevensbescherming bij Sociale Verzekeringsbank).
Loman benadrukt dat je - ondanks de regelgeving - niet kan voorkomen dat er wel eens wat mis gaat. "Er worden altijd wel foutjes gemaakt. Maar wij hebben als stelregel dat we eerst gaan kijken naar de behoefte van de klant, en daarna pas kijken naar het juridisch kader. Je ziet dat maatschappijbreed het aantal meldingen van datalekken toeneemt, maar dat komt volgens mij door een toenemend bewustzijn. Dat stimuleert de meldplicht. Maar de vraag is wel wat we in de maatschappij tolereren als foutenmarge."
Dat laatste is een lastig punt, vindt ook Annet Holtrop, manager IT Development bij Syntrus Achmea Real Estate & Finance. "Risico met data moet je voorkomen, maar remt dat niet tevens de innovatie? De vraag welk risico je accepteert, is meer een strategische dan een technologische keuze."
Daar is Bouke Hoving het mee eens. De Executive Vice President Networks & IT bij KPN (en CIO van het jaar 2017) maakt een vergelijking met de zelfrijdende auto. "Daar gebeuren nu nog (dodelijke) ongelukken mee, maar dat betekent niet dat je ermee moet stoppen. Als we over 10 jaar terugkijken, zal de conclusie zijn dat er minder verkeersdoden zijn gevallen dan in het tijdperk van de menselijke chauffeur."
Annet Holtrop (Syntrus Achmea RE&F): "Risico met data moet je voorkomen, maar remt dat niet tevens de innovatie?"
Maar zover zijn we nog niet, zo blijkt onder meer als de gesprekspartners het onderwerp legacy aansnijden in de omgang met data. Zo heeft Annet Holtrop het vraagstuk omtrent de integriteit van data in legacysystemen bij Syntus Achmea RE&F aangepakt. In het verleden is onderzocht of de data-integriteit verhoogd kon worden met behulp van een low-code schil om de legacy systemen. "We hebben nu echter de keuze gemaakt om vanuit een greenfield te gaan werken dat datadriven is. Binnen dit programma wordt een datalake met orchestration als centrale oplossing voor data-integriteit geïmplementeerd. Hierin worden alleen die data opgeslagen waar Syntrus Achmea RE&F de eigenaar van is; overige data worden bij de bron opgehaald op het moment dat dit nodig is."
"Dat zien we veel", zegt Schilder. "We hebben het vaak over nieuwe ontwikkelingen, maar hoe halen we de juiste data uit legacy?" KPN had in het verleden te maken met silo's waarin data werd opgeslagen van de individuele producten. "Nu maken we een slag, waarbij de klantinteractie centraal staat", zegt Hoving. "Daar gebruiken we onder andere open source-software voor."
Gaby Schilder (Enterprise DB): "We hebben het vaak over nieuwe ontwikkelingen, maar hoe halen we de juiste data uit legacy?"
Hoving zegt dat KPN "voorzichtig is met het gebruik van data in klanttoepassingen." KPN gebruikt vooral data uit hun systemen, om die beter te laten functioneren. "90 Procent ervan is gericht op het verbeteren van klantervaringen." Zo kreeg het callcenter van KPN vier jaar geleden nog 200.000 klanten aan de lijn, waarbij het vooral ging om de performance van het netwerk. Nu wordt dat elk kwartier doorgemeten en wordt daar direct op ingegrepen, wat in veel gevallen voorkomt dat de klant belt.
Dat maakt bij Schilder de vraag los wat KPN aan toekomstplannen heeft in het gebruik van data. Hoving ziet als volgende uitdaging de inzet van artificial intelligence en een architectuur waarin alle klantinteractiepunten real-time data leveren naar een centraal punt. "Een klantcontactmoment duurt gemiddeld drie minuten. Met artificial intelligence willen we de data van een klant zo snel en compleet mogelijk naar het punt brengen waar op dat moment de klant contact zoekt. Daarin hebben we het callcenter en de winkel al gecombineerd, maar de verbinding met social media hebben we nog niet op orde. Als de klant klaagt op Twitter en daarna de winkel binnenloopt, weten we op dat contactpunt niet over die klaagtweet. Ons doel is die informatie ook beschikbaar te maken."
Bouke Hoving (KPN): "Met artificial intelligence willen we de data van een klant zo snel en compleet mogelijk naar het punt brengen waar op dat moment de klant contact zoekt."
Een andere vorm van legacy is de data zelf, zo blijkt vervolgens. "Je hebt nu eenmaal data die je niet kan weggooien", zegt Dogan. "Maar er zijn termijnen voor. Zo hebben we bij de SVB klantgegevens nodig voor de uitvoering van taken, maar als die niet meer nodig zijn moeten ze na een bepaalde termijn vernietigd worden. Dat bleek niet altijd gebeurd te zijn. Hoe gaan jullie daarmee om?"
Dat is zeer divers, zo blijkt. Bij Vivat ligt het gecompliceerd, zegt Loman. "Wij hebben 130 miljoen dossiers waarin alle data van klanten zijn gecombineerd. Die dossiers knippen we nu op in losse documenten met behulp van AI. We onderzoeken de mogelijkheden om sommige data in een kluisprocedure te plaatsen, daar gaan we verder niets mee doen. Verder zetten we een nieuwe omgeving neer, waarin de data slechts toegankelijk is als jouw rol daarom vraagt. Natuurlijk deden we dat al, maar daar willen we verder in gaan. En de oude dossiers kunnen voortaan slechts door een beperkt aantal mensen worden ingezien, zodat we de privacy van onze klanten nog beter kunnen beschermen."
Loman kent bij Vivat nog een uitdaging. "We hebben diverse producten, maar de data van een 'schadeklant' mag je niet combineren met die van de pensioenklant, ondanks dat deze dezelfde persoon zijn. Zo kan het dus zijn dat je je als klant bij een verhuizing drie maal moet aanmelden. Dat wil je, in het belang van de klant, oplossen. Wij denken dat het eigenaarschap van de data bij de klant zelf moet liggen. Zo praten we met een startup, die het idee heeft de klant een kluis te geven waarin zijn data staat. Het is open source. We kijken nu of het wat voor ons is. Je kan er een positieve draai mee geven aan het consumentenvertrouwen, de controle over data weer teruggeven aan de klant. Blockchain zou wellicht ook iets voor ons kunnen zijn."
Jerry Loman (Vivat): "Data van en schadeklant mag je niet combineren met die van de pensioenklant, ondanks dat ze dezelfde persoon zijn."
Vervolgens ontstaat er een geanimeerde discussie over technologie en data-eigenaarschap. "Ik zie dat als een maatschappelijke ontwikkeling, mensen willen controle over hun data", zegt Schilder. "Maar mensen hebben geen controle over de technologie", werpt Dogan tegen. "Mensen moeten op nieuwe waarden vertrouwen, daarom wordt open source ook steeds meer geaccepteerd", reageert Schilder. "Bij ons denken we eerst aan de toegevoegde waarde voor de consument", stelt Loman. "Pas daarna kijken we naar de technologie."
Zo heeft Vivat vorig jaar een aantal ideeën getest in combinatie met blockchain, maar bleken die ideeën ook uitvoerbaar te zijn zonder het gebruik van blockchain. "Nu zijn we wel bezig met een use case voor blockchain. Het is een laag van vertrouwen tussen partijen en je kan de keten van partijen in het verzekeringswezen verkorten. Blockchain is prima voor modelcontracten."
"Is de jurist dadelijk overbodig?", lijkt juriste Dogan te schrikken. "In mijn optiek zal de jurist altijd nodig zal zijn bij het maken van afweging tussen risico en belang, omdat de privacywetgeving veel open normen bevat."
"Zo hebben we het ook met IT gedaan, 70 procent kan geautomatiseerd worden", reageert Loman. "Onze IT-club is gehalveerd in de afgelopen jaren. Maar ik vind wel dat de menselijke maat altijd nodig blijft. Een zorgrobot in een verzorgingstehuis kan bijvoorbeeld gesprekken opvangen waaruit blijkt dat iemand slachtoffer is van mishandeling. Maar mag die robot dergelijke persoonsgegevens aan een ander doorgeven? Je moet er wat mee, maar je kan er niks mee."
Hatice Dogan (SVB): "In mijn optiek zal de jurist altijd nodig zal zijn bij het maken van afweging tussen risico en belang omdat de privacywetgeving veel open normen bevat."
De discussie leidt tot de vraag hoe er in de toekomst met data wordt omgegaan. Volgens Loman zal het uiteindelijk leiden tot de conclusie dat je data helemaal niet in je bezit hoeft te hebben. "Het gaat erom dat je data op het juiste moment op de juiste manier gebruikt. De regie komt dus op het gebruik van data te liggen in plaats van bezit. Veel informatie ligt ergens anders en dat is prima. Houd de data bij degene die het creëert."
Daarmee is Holtrop het eens. "In het Greenfield-project ligt de focus ook op de data waar Syntrus Achmea RE&F de eigenaar van is, de overige gegevens die benodigd zijn voor rapportages of andere verwerkingen worden betrokken van de bron, bijvoorbeeld het Kadaster."
Data is een markt geworden waarin de bibliothecaris de belangrijkste spil is. Die moet de data opzoeken als die nodig is, zegt Loman. "Elke verzekeraar is bijvoorbeeld bezig met auto's en schade. Hoe krijg ik informatie uit die auto als dat nodig is bij bijvoorbeeld een schadeclaim. Je kan daarmee bijvoorbeeld schades al afhandelen voordat de claim goed en wel is binnengekomen."
Het wordt de trend in de komende vijf jaar, sluit Schilder af. "Wat voor data heb ik zelf en wat is er nodig? Het beschikbaar maken van data aan degenen die het nodig hebben en het niet beschikbaar maken van data aan degenen die het niet nodig hebben, dat wordt de grootste uitdaging."
Reageer
Preview