Nieuws/Financieel

Boetes bij misbruik van data

Door door Theo Besteman

Consultants jagen op het goud in oude data. Met zware computers helpen ze bedrijven zoeken in jaren opgespaarde klantgegevens voor gerichte reclamemailing. „Maar ze overtreden de wet en riskeren miljoenenboetes”, wijzen hoogleraren op ingrepen uit Brussel. De ’data miners’ wacht echter meer verlies door reputatieschade van twitterende consumenten die hun gegevens misbruikt zien.

 ’Haal meer uit uw data’. Aangejaagd door zulke reclameborden, marketingbureaus en vooral software die miljoenen bestanden tegelijkertijd aankunnen, duiken bedrijven in hun digitale kelders met namen, adressen, inkomens en aankopen. Softwarebedrijven als SAP, Oracle en IBM verdienden in 2012 met data mining voor multinationals, volgens marktonderzoeker Gartner, ruim $14 miljard. Chris Verhoef, hoogleraar informatiemanagement (VU Amsterdam): „ Ik kom bij bedrijven regelmatig oude persoonsdata tegen. Die gegevens mag je helemaal niet in bezit hebben, dus dat mag al niet. Er vervolgens commercieel mee aan de slag gaan,zoals data miners dat suggereren, mag al helemaal niet.” Anders dan waarvoor die gegevens destijds zijn verzameld. Dat mag niet. In de richtlijnen staat geen woord Spaans: je mag zulke data alleen gebruiken waarvoor ze bedoeld zijn en ook niet langer bewaren dan strikt noodzakelijk”, wijst hij op oude bestanden. „In retrospect data minen mag alleen met toestemming van de betrokkenen, en die wordt niets gevraagd. Bedrijven moeten die oude data opruimen.” Bedrijven zoeken onder hun klanten vooral naar effectieve verbanden: wil de laarzenkoper van toen nu wellicht een bijpassende tas kopen? Telecombedrijven KPN, T-Mobile, Tele2 en Vodafone bewaarden miljoenen gegevens van websites en apps die klanten bezochten om er specifieke aanbiedingen aan groepen consumenten mee te doen. Begin deze maand stopten ze, na dreiging met boetes wegens privacyschending door het College Bescherming Persoonsgegevens (CBP). Ook de Belastingdienst is volgens CBP-voorzitter Jacob Kohnstamm zwaar in overtreding. De dienst heeft namelijk van Servicehuis Parkeren alle gegevens over 2012 opgevraagd van mensen die bij een parkeerautomaat op kenteken parkeerden. Dat wisten de parkeerders niet. Maar ook de kapper die zijn klant om diens adres vraagt voor ’het klantenbestand’, en daarna mails stuurt met nieuwe haarproducten, overtreedt de wet. Verhoef: „Mailen voor de volgende knipbeurt mag, maar niet voor nieuwe producten. Het probleem is dat de bedrijfsleiding vaak niet weet welke privacygevoelige informatie zij in huis heeft. Soms denken ze: beter bewaren dan het te verliezen – maar de wet staat het meestal niet toe.” Albert Heijn dacht gegevens van klanten via hun bonuskaart opnieuw te kunnen gebruiken, maar overtrad de Wet bescherming persoonsgegevens. De grootgrutter zwichtte voor het CBP. „Bedrijven willen steeds beter weten wie hun klanten zijn. Dat moeten ze op marketinggebied ook, anders lopen ze achter”, consultant Bart Witteman van bedrijfsadviseur PwC het dilemma. „Maar bedrijven springen niet goed met de regels om.” De Europese artikel 29-werkgroep geeft genoeg praktijkvoorbeelden, zegt Arnold Roosendaal, auteur van de Informatiefuik en de privacyjurist die de geheime volgtechnieken van Facebook wereldkundig maakte. Data mining ondersteunt en verdringt steeds meer het aloude fingerspitzengefühl van marketingafdelingen, dankzij de sterk toegenomen slimme analyses en rekenkracht van computers. Afgelopen twee jaar is meer data verzameld dan in 2000 jaar ervoor, stellen Viktor Mayer-Schönberger en Kenneth Cukier, auteurs van de Big Data Revolutie, wijzend op de ’enorme economische waarde’ uit gegevens en vooral de voorspellende kracht van wat consumenten willen kopen. Volgens Annika Sponselee, privacyjurist van bedrijfsadviseur Deloitte, mogen bedrijven veel met data-analyse. „Ze moeten alleen 180 graden anders leren denken. Dat is lastig als zij al zo veel persoonsgegevens bruikbaar voor zich hebben, maar waar je eerst per geval toestemming voor moet hebben. Bedenk eerst wat je ermee wilt, pas systemen aan en betrek consumenten.” De echt grote stap „is vooraf bedenken wat de rechten van consumenten zijn”, aldus PWC’s consultant Bart Witteman. „Daar is zo’n kapperszaak zich niet erg bewust van, maar wie via internet zakendoet, moet snel een omslag maken.” CBP’s Kohnstamm krijgt meer armslag. Als Brussel instemt met een nieuwe privacyverordening, het voorstel telt 4000 amendementen, beboeten nationale toezichthouders schendingen met tot 2% van de jaaromzet.