Data, privacy & AI

De meeste klantinteracties zijn digitaal – en alles dat digitaal is, is standaard meetbaar. Maar welke klantgegevens zijn echt nuttig te verzamelen? Over welke klantgegevens beschikt u en in welke bronnen staan die? Welke gegevens staan er in uw kassasysteem, de website en de boekhouding? En hoe gebruikt u die dan vervolgens om meer te verkoop te realiseren of een betere dienstverlening te bieden?

Bij data maken we het onderscheid tussen gestructureerde en ongestructureerde data. Gestructureerde gegevens zijn gegevens die zijn georganiseerd volgens vooraf gedefinieerde regels (zoals in een database), terwijl ongestructureerde gegevens geen vooraf gedefinieerde indeling hebben (zoals bijvoorbeeld een afbeelding of een stuk tekst). Data kan verder van statische of dynamische aard zijn. Klantgegevens zijn bijvoorbeeld dynamisch: deze kunnen veranderen over de tijd. Informatie over verkopen zijn dan weer statisch. Zij weergeven een status op een bepaald tijdstip (‘de verkoop’) en veranderen daarna niet meer.

Veel bedrijven maken eerste bewuste stappen op het gebied van data met tools zoals Microsoftā€™s Clarity en Google Analytics 4 (GA4). Met deze tools bent u in staat om meer inzichten te capteren in het landschap van gebruikersdata, voor respectievelijk kwalitatieve en kwantitatieve data over uw website of webshop. Door het aankoopproces van klanten te doorlopen en met behulp van data pijnpunten van uw digitaal aanbod te identificeren is het mogelijk om uw aanbod te verbeteren en conversiepercentages te verhogen.

Meer mature organisaties maken een overzicht van alle in hun onderneming vergaarde data. Zij identificeren die data en combineren die om betere inzichten te verwerven. Met sommige inzichten richten zij vervolgens geautomatiseerde processen in, bijvoorbeeld op het gebied van marketing. Met dergelijke marketing automation zijn zijn vervolgens in staat om een vliegwiel te creƫren ter promotie van hun producten en/of diensten.

Data discovery process

Privacy

U heeft vast al vaker gelezen over GDPR (of in het Nederlands: AVG), de EU-regelgeving rondom privacy. Als burger is het fijn om te weten dat uw rechten worden beschermd. Als zaakvoerder biedt de nieuwe privacywetgeving tal van kansen, mits u er goed mee omgaat. AVG is een afkorting voor Algemene Verordening Gegevensbescherming, de regelgeving die vanaf 25 mei 2018 actief wordt gehandhaafd. De regels bieden u als bedrijf duidelijke handvatten voor alles wat u met klantgegevens kunt doen. Wanneer u in meerdere EU-landen actief bent, is het tegenwoordig eenvoudiger om uw campagnes in Europa uit te rollen. Overal gelden immers dezelfde regels. Uw buitenlandse concurrenten zijn tevens verplicht zich aan dezelfde regels te houden, waardoor u geen nadeel heeft ten opzichte van hen.

De gegevens die u (direct of indirect) kunt herleiden tot een natuurlijke, identificeerbare persoon, zijn persoonsgegevens. Typische voorbeelden zijn een naam, een e-mailadres of een telefoonnummer. Maar ook de zoekgeschiedenis of een IP-adres zijn bijvoorbeeld persoonsgegevens. Elk bedrijf heeft dergelijke gegevens ergens opgeslagen, verzamelt deze actief of gebruikt ze voor analyses. U verwerkt dan persoonsgegevens en u moet ā€“ op een enkele uitzondering na ā€“ voldoen aan de wetgeving. In de meeste gevallen mag u deze persoonsgegevens gewoon verwerken, bijvoorbeeld voor marketingdoeleinden. U moet dan wel vooraf expliciete toestemming krijgen van uw klant of prospect. Uiteraard kunnen persoonsgegevens ook worden verwerkt voor het leveren van uw producten en diensten of omdat u moet voldoen aan wettelijke verplichtingen. Dit laatste wordt ook wel een gerechtvaardigd belang genoemd. Het is verboden om specifieke ‘gevoelige’ persoonsgegevens te verwerken. Dit zijn bijvoorbeeld zaken als ras, politieke opvattingen, lidmaatschap van een vakbond, informatie over de seksuele geaardheid of genetische informatie.

De AVG verplicht u om transparant te zijn over de rechten van de consument. Consumenten hebben het recht om hun gegevens die door u zijn opgeslagen op te vragen (die aanvraag moet u vervolgens binnen 30 dagen beantwoorden), het recht om te eisen dat die gegevens worden overgedragen aan een andere leverancier en zelfs het recht om volledig te worden verwijderd (‘vergeten’) vanuit uw systemen. Wanneer u een verzoek krijgt om ā€˜vergetenā€™ te worden, moet u de gegevens ook daadwerkelijk overal verwijderen. Dus ook uit uw back-ups.. Transparantie betekent ook dat u uw (mogelijke) klanten proactief informeert over hun rechten. U dient zo minstens een duidelijke privacyverklaring te hebben, wanneer u persoonsgegevens verwerkt.

Natuurlijk moet u de vergaarde gegevens afdoende beschermen tegen aanvallen van hackers of menselijke fouten. Een adequate beveiliging betekent ook dat u uw accounts die toegang hebben tot klantinformatie actief dient te beheren. Veel bedrijven gebruiken ā€œgedeeldeā€ accounts, bijvoorbeeld om toegang te krijgen tot een gratis (of goedkoper) abonnement op een internetdienst. Dat is eigenlijk niet koosjer. Iedereen die toegang heeft tot uw gegevens die onder de privacywetgeving vallen (deze worden vaak in uw boekhoud-, CRM-, ERP- en e-mailsystemen geplaatst), dient in uw verwerkingen te worden vermeld. Verlaten zij het bedrijf, dan verwijder u direct de bijbehorende accounts en noteert u die datum in uw administratie. Heeft u toch een datalek? Dan moet u de Privacycommissie binnen 72 uur na ontdekking van de inbreuk op de hoogte stellen.

U voldoet waarschijnlijk impliciet aan de meeste van bovenstaande zaken. U heeft tenminste een expliciet privacybeleid en weet wie waarvoor verantwoordelijk is binnen uw bedrijf en welke procedure u moet volgen wanneer en een datalek zou plaatsvinden. U heeft uw eigen medewerkers, de partners waarmee u samenwerkt en uw opdrachtgevers actief over uw beleid geinformeerd.

Privacyregels gelden voor iedere onderneming. Om de impact op uw organisatie te bepalen, moet u het volgende inventariseren:

  • welke gegevens u bewaart, en waar u deze bewaart;
  • hoe u deze gegevens hebt verkregen – en waar uw klanten precies mee hebben ingestemd;
  • hoe deze gegevens worden verwerkt.

Wanneer u gegevens verwerkt, dan houdt u dat bij in een verwerkingsregister. In deze administratie vermeldt u het doel van de verwerking en de categorieƫn persoonsgegevens die u heeft verwerkt. Daarnaast vermeld u de namen en contactgegevens van uw verwerkingsverantwoordelijken. Wanneer u met externe partners werkt die toegang hebben tot de door u vergaarde persoonsgegevens, dan sluit u met hen een zogenaamde dataverwerkingsovereenkomst (een data processing agreement) af.

GDPR – de EU-regelgeving rondom privacy – staat voor General Data Protection Regulation en is in het Nederlands vertaald naar AVG, ofwel Algemene Verordening Gegevensbescherming. Als onderneming biedt de regelgeving u handvatten rondom alles wat u met klantdata mag doen. Als resultaat zal u op uw legitieme direct marketingactiviteiten mogelijk een betere respons ontvangen. Het consumentenvertrouwen in (bijvoorbeeld) e-mailmarketing zal immers verbeteren. Wanneer u actief bent in meerdere EU-landen, dan vereenvoudigt de nieuwe regelgeving uw marketingactiviteiten aanzienlijk. Doordat de basisregels binnen de hele EU gelijk zijn, zal u uw campagnes eenvoudiger Europees kunnen uitrollen. Uw overzeese concurrenten zijn overigens verplicht dezelfde regelgeving na te leven, waardoor u geen nadeel zal ondervinden ten opzichte van hen.

Op de verwerking van specifieke ā€˜gevoeligeā€™ persoonsgegevens staat een verbod. Dit zijn bijvoorbeeld zaken als ras, politieke opvattingen, lidmaatschappen vakbond, informatie over de seksuele geaardheid of genetische informatie. In de meeste gevallen mag u persoonsgegevens wel verwerken, bijvoorbeeld voor marketingdoeleinden. U dient dan wel vooraf toestemming te hebben ontvangen van uw klant of prospect. Uiteraard kunnen persoonsgegevens ook verwerkt worden voor de levering van uw producten en diensten of omdat u aan wettelijke verplichtingen moet voldoen.

U bent verplicht om zelf een register met uw verwerkingsactiviteiten bij te houden. Dat klinkt omslachtig, maar is een goede zaak. In de oude regels moest u immers telkens weer uw verwerkingsactiviteiten aanmelden bij de Privacycommissie. In dit register vermeld u uiteraard het doel van de verwerking en de categorieƫn van persoonsgegevens die u verwerkt heeft. Daarnaast meldt u de namen en contactgegevens van de verwerkingsverantwoordelijken.

Bepaalde ondernemingen moeten ook een Data Protection Officer (DPO) aanstellen. Deze ā€“ in goed Nederlands.. ā€“ gegevensbeschermingsfunctionaris is verplicht voor bedrijven die regelmatig of gevoelige gegevens verwerken. Hij of zij kan door een onderneming ook vrijwillig worden aangesteld. Ook is dit niet per definitie 1 van uw medewerkers. De DPO kan er ook op toezien dat het principe van privacy by design wordt gehanteerd bij nieuwe projecten waarbij persoonsgegevens een rol spelen. Wanneer u nog geen DPO heeft aangesteld, dan doet u er verstandig aan om dat te doen en hem of haar verantwoordelijk te maken voor de initiele audit waarin u analyseert wat de impact van GDPR is op uw bedrijfsvoering.

Vergeet niet dat u bij nieuwe projecten het beste een privacy by design methodiek kan hanteren en u een meldplicht heeft wanneer u ondanks uw inspanningen toch een datalek ontdekt.

GDPR verplicht u transparant om te gaan met de rechten van private personen. Zij hebben het recht de bij u over hen opgeslagen gegevens op te vragen (welke u binnen 30 dagen moet beantwoorden), het recht dat deze gegevens worden overgedragen naar een andere leverancier en zelfs het recht om volledig uit al uw systemen verwijderd (ā€˜vergetenā€™) te worden. Let op: wanneer u een verzoek tot ā€˜vergetenā€™ ontvangt, dan moet u deze eigenlijk ook uit uw back-ups verwijderen. Voor de meeste ondernemingen is dit ā€“ begrijpelijk.. ā€“ geen eenvoudig proces.

Uiteraard dient u de gegevens adequaat te beschermen tegen een inbraak door hackers of menselijke fouten. Bent u toch slachtoffer van een datalek? Dan moet u binnen 72 uur nadat u deze ontdekt heeft een melding doen aan de Privacycommissie.

Wanneer woorden als CRM, data analytics, e-mailmarketing en remarketing u bekend in de oren klinken dan bent u mogelijkerwijs al op een geavanceerdere manier bezig met direct marketing.Ten opzichte van de oude regels, zijn er nieuwe regels gemaakt rondom de geautomatiseerde verwerking van persoonsgegevens waarbij bepaalde aspecten van een natuurlijke persoon worden geƫvalueerd om een voorspelling te doen rondom zijn of haar (koop) gedrag. Iedereen heeft het recht om uitgesloten te worden van dit type activiteiten (beter bekend als profiling) en andere vormen van geautomatiseerde besluitvorming. Uitzonderingen hierop zijn wanneer dit nodig is om een overeenkomst te sluiten, het wettelijk is toegestaan of wanneer dit is gebaseerd op een uitdrukkelijke toestemming.

Wanneer u werkt met externen, dan doet u er goed aan de contracten met hen te herzien en/of een specifieke clausule rondom privacy toe te voegen. Zo zou u er bijvoorbeeld minstens op moeten kunnen vertrouwen dat uw partner voldoende veiligheidsmaatregelen neemt tegen eventuele datalekken.

Het is verplicht om uw privacybeleid expliciet te maken en is aan te raden om binnen uw onderneming te benoemen wie waarvoor verantwoordelijk is. Voor de meeste ondernemingen kan dit in enkele paginaā€™s worden samengevat, waarna wij u adviseren om uw eigen medewerkers, de partners waarmee u samenwerkt en uw klanten actief hierover te informeren. Om de impact voor uw organisatie te bepalen dient u te inventariseren:

De relatie tussen de verschillende actoren binnen de GDPR regelgeving

Helaas is het onmogelijk om een ā€‹ā€‹duidelijke vergelijking te maken tussen kleine en grote bedrijven om de impact van de AVG te bepalen. Een klein marketingbureau kan bijvoorbeeld heel actief zijn met klantgegevens, terwijl dat bij een groot bouwbedrijf minder belangrijk kan zijn. Het uitgangspunt blijft de gegevens die u als bedrijf verwerkt. Bedrijven met een hoger risico of moeten een Data Protection Officer (DPO) in dienst hebben. Hij of zij is verplicht voor bedrijven die regelmatig gegevens verwerken, of gevoelige gegevens verwerken. Hij of zij kan vrijwillig worden aangesteld door het bedrijf. Bovendien is het niet per definitie een van uw medewerkers. De DPO ziet er bijvoorbeeld op dat het principe van privacy by design wordt toegepast bij nieuwe projecten waar persoonsgegevens een rol spelen. Dit type bedrijven organiseert ook regelmatig een analyse waarin u in kaart brengt welke data u gebruikt binnen uw bedrijf, waar deze vandaan komen, wie er toegang toe heeft (in- en extern) en waarom u ze bewaart. Dit type analyse heet een Data Protection Impact Assessment (DPIA).

De meeste bedrijven hebben e-maillijsten die ze actief verwerken met meerdere marketingacties. U moet expliciete toestemming hebben om een ā€‹ā€‹contactpersoon te e-mailen. Dit betekent eigenlijk dat je moet kunnen aantonen dat je de adressen hebt verkregen via een opt-in, waarbij je hebt vastgelegd wanneer ze specifiek hebben ingestemd met wat en via welk IP-adres. Veel bedrijven hebben ergens een e-maillijst op basis van een spreadsheet en ergens anders wat visitekaartjes. Dan is het verstandig om je contacten expliciet om toestemming te vragen, bijvoorbeeld via een nieuwe opt-in campagne. Wanneer u woorden als CRM, data-analyse, e-mailmarketing en remarketing herkent, dan bent u mogelijk al op een geavanceerde manier bezig met direct marketing. Wanneer er een geautomatiseerde verwerking van persoonsgegevens, plaatsvindt, waarbij bepaalde aspecten van een natuurlijk persoon worden geĆ«valueerd om zijn of haar (koop)gedrag te voorspellen, dan heeft deze persoon het recht om uitgesloten te worden van dit soort activiteiten (algemeen bekend als profilering) en andere vormen van geautomatiseerde besluitvorming. Uitzonderingen zijn wanneer het noodzakelijk is om een ā€‹ā€‹overeenkomst te sluiten, wanneer deze wettelijk is goedgekeurd of wanneer deze gebaseerd is op uitdrukkelijke toestemming.

Artificial intelligence (AI)

Kunstmatige intelligentie (AI) is een technologie voor algemene doeleinden waarmee we de komende tien jaar alle dingen die we doen opnieuw zullen heruitvinden. Kunstmatige intelligentie is in feite een populaire naam voor een reeks technologieĆ«n die bijdragen aan een systeem dat – met verschillende niveaus van autonomie – denkt en handelt om specifieke doelen te bereiken, zoals mensen dat doen. De meest gekende AI-technologie is machine learning, inclusief deep learning en reinforcement learning.

AI-systemen voelen hun omgeving aan, interpreteren de verzamelde (gestructureerde en ongestructureerde) gegevens, redeneren op basis van de kennis die uit deze gegevens wordt verkregen en beslissen welke actie(s) het beste kunnen worden ondernomen. Tot slot kan het systeem zijn gedrag aanpassen op basis van het effect van zijn eerdere acties. AI is dus zelflerend.

Op AI gebaseerde systemen kunnen puur gebaseerd zijn op software (bijvoorbeeld chatbots) of kunnen een combinatie zijn van hardware en software (slimme producten zoals de Nest-thermostaat of Amazon’s Alexa).

Omdat AI veel rekenkracht vereist, bevinden de meeste AI-toepassingen zich tegenwoordig op het gebied van niet-tijdkritische taken die in de cloud kunnen worden berekend. Bedrijven gebruiken AI-aangedreven software bijvoorbeeld om kredietcontroles uit te voeren, de routering van inkomende klantenservicegesprekken te verbeteren of om de churn van een klantendatabase beter te voorspellen. AI-technologie ontwikkelt zich echter heel snel, dus zullen steeds vaker ook toepassingen beschikbaar komen die extreem nauwkeurige en tijdkritische berekeningen vereisen.

Ook wordt AI momenteel vooral ingezet als co-piloot: een slimme assistent om je te helpen bij het nemen van beslissingen. Steeds vaker zal AI die beslissing echter zelf nemen en de daaropvolgende actie initieren. Dat is de visie van auto pilot.

Illustratief voorbeeld van de ontwikkeling van AI tot autopilot

    Noodzakelijke cookies maken essentiƫle functies van de site mogelijk, zoals veilig login en het aanpassen van voorkeuren. Ze slaan geen persoonsgegevens op.
    Geen
    Functionele cookies ondersteunen functies zoals het delen van inhoud op sociale media, het verzamelen van feedback en het inschakelen van gereedschappen van derden.
    Geen
    Analytische cookies volgen interacties van bezoekers en geven inzicht in statistieken zoals het aantal bezoekers, bouncepercentage en verkeersbronnen.
    Geen
    Advertentiecookies leveren gepersonaliseerde advertenties op basis van je eerdere bezoeken en analyseren de effectiviteit van advertentiecampagnes.
    Geen
    Aangedreven door