Waar de GDPR nu écht over gaat

Door Christophe Jacques, Marketing Director van Cheops

"Niets." Dat is mijn eerlijk antwoord op de (intussen grijsgedraaide) vraag: wat moeten we als bedrijf doen om te voldoen aan de GDPR-wetgeving? Niets dus? Niets. Of dat hoop ik toch. Want voor al wie bouwt aan duurzame relaties met klanten, werknemers, gebruikers en andere stakeholders, zou wat de GDPR ons dicteert al lang een evidentie moeten zijn.

Ofwel zit u al op het goede spoor. In dat geval: proficiat. Ofwel dringt er zich een radicale koerswijziging op. En dan bedoel ik niet alleen wat gerommel in een privacyverklaring, ergens onderaan uw website weggemoffeld.

“Hoezo een koerswijziging?” hoor ik u denken. Laat ons even uitzoomen van deze ogenschijnlijk juridische materie en het hebben over iets dat menig CEO beter kent: de missie van zijn of haar bedrijf.

Zo luidt de missie van Facebook “to bring the world closer together". Strevenswaardig, en ik twijfel niet dat de vele voorbeelden die Mark Zuckerberg in het Europese Parlement gaf, dit nobele doel illustreren. Maar de laatste tijd wordt Facebook ook vooral geassocieerd met volksmisleiding, polarisering en wat omschreven kan worden als de grootste golf van wantrouwen ooit.

Hoe groot de reputatieschade van het Cambridge Analytica-schandaal op dit moment voor Facebook precies is, weet niemand. Maar schade? Die is er zeker. De reputatie – dat ontastbare ding dat u legitimiteit geeft om de zaak te runnen en dus de bedrijfsmissie te verwezenlijken – is verbazingwekkend onfair: ze komt te voet, maar gaat te paard. Eén misstap en je kan weer van nul beginnen. Zolang het enkel bij woorden blijft, is de missie van een bedrijf in feite niets meer dan een lege doos.

En dat is jammer. Het ondermijnt de geloofwaardigheid van bedrijfsmissies en wakkert wantrouwen aan, en dit terwijl authenticiteit net belangrijker wordt dan ooit.

Op “Akkoord” klikken is niet nieuw

De GDPR dus. Het is volgens mij het moment van de waarheid voor organisaties die veel persoonlijke data in handen krijgen. Strikt gezien gaat het om nieuwe regelgeving. “Even de juristen bellen” dus. Maar tussen wat u mag doen – de letter van de wet – en wat u uiteindelijk beslist te doen, bevindt zich een dunne lijn.

Het gaat vooral over heel praktische keuzes, met reële gevolgen. Wat u bijvoorbeeld niet wil, is dat gebruikers het gevoel krijgen dat hun privacy geschonden wordt, ook al hebben ze ooit in een onbegrijpelijk document hun toestemming gegeven.

Boston Consulting Group (BCG) noemt dit in een recente studie “data misuse”: het legale gebruik van persoonlijke gegevens, dat door consumenten in het beste geval als onprettig wordt ervaren.

Wat betekent dit concreet? U irriteert zich misschien ook aan algoritmes die – weliswaar anoniem – uw e-mailverkeer doorzoeken om u later reclame voor huurauto’s of vakantiehuizen op uw volgende reisbestemming te kunnen tonen. Daar gaat het hem om. Consumenten worden dit beu. In diezelfde studie geeft BCG aan dat aanslepend data misuse, in tijden van steeds groter wantrouwen, voor omzetdalingen van 10 tot 25% kan zorgen.

Legaal is dus niet per se ok, dat snappen we wel. Maar zelfs als we denken dat we het goed menen met onze stakeholders – think again.  Bloomberg merkte recent op dat techbedrijven hun gebruikers de mist insturen wanneer ze denken hen te informeren. Gebruikers raken het noorden kwijt wanneer in eenzelfde passage van gebruiksvoorwaarden wordt verwezen naar accountinstellingen, privacy-instellingen, notificatie-instellingen, en applicatie-instellingen (compleet met bijhorende URLs) – die allemaal geüpdatet zijn.

Wat wordt verwacht van de gebruiker? Dat hij snapt wat het verschil tussen al deze zaken is, én zich in alles gaat verdiepen - vermoedelijk dan nog eens vanop een mobiel toestel? Legaal? Ja. Redelijk? Amper.

De GDPR gaat niet over al je privacy-documenten updaten en deze doormailen naar je gebruikers om hen zo snel mogelijk op “Akkoord” te doen klikken. Dat deden we vroeger al, en gebruikers hebben er weinig aan. Wat wel helpt is klanten in hun eigen taal uit te leggen wat je met hun persoonlijke gegevens doet, en dat dit in hun eigen belang is. De andere uitweg is – indien je zo’n claim niet hard kan maken – je praktijken aanpassen.

Better safe than sorry

Loopt een organisatie toch tegen de lamp met een schending van de GDPR, dan is de boete (4% van de omzet bij grote bedrijven) eigenlijk nog het minste van haar zorgen. In het geval Facebook zou een boete op basis van hun omzet uit 2017 zo’n slordige 1,6 miljard dollar bedragen. Ook al is dit niet bepaald peanuts, reputatieschade gaat nog veel verder.

Zo kreeg de beurswaarde van Facebook tijdens het Cambridge Analytica-schandaal een klap van 100 miljard dollar te verduren, maar heeft het zich inmiddels kunnen herstellen. Echter, ooit komt er een dag dat gebruikers het zinnetje "If something is free, you are the product." en de vele sorry’s van Mark Zuckerberg niet langer zullen blijven pikken als alibi om hun privacy te laten blijven misbruiken.

De prioriteit voor organisaties moet dus niet zijn om boetes te ontlopen, wel om hun integriteit te behouden. De toepassing van GDPR zegt immers alles over hoe organisaties hun stakeholders zien. Zijn hun belangen een prioriteit of enkel ruis in de verte?