Data, privacy & AI

De meeste klantinteracties zijn digitaal – en alles dat digitaal is, is standaard meetbaar. Maar welke klantgegevens zijn echt nuttig te verzamelen? Over welke klantgegevens beschikt u en in welke bronnen staan die? Welke gegevens staan er in uw kassasysteem, de website en de boekhouding? En hoe gebruikt u die dan vervolgens om meer te verkoop te realiseren of een betere dienstverlening te bieden?

Bij data maken we het onderscheid tussen gestructureerde en ongestructureerde data. Gestructureerde gegevens zijn gegevens die zijn georganiseerd volgens vooraf gedefinieerde regels (zoals in een database), terwijl ongestructureerde gegevens geen vooraf gedefinieerde indeling hebben (zoals bijvoorbeeld een afbeelding of een stuk tekst). Data kan verder van statische of dynamische aard zijn. Klantgegevens zijn bijvoorbeeld dynamisch: deze kunnen veranderen over de tijd. Informatie over verkopen zijn dan weer statisch. Zij weergeven een status op een bepaald tijdstip (‘de verkoop’) en veranderen daarna niet meer.

Veel bedrijven maken eerste bewuste stappen op het gebied van data met tools zoals Microsoft’s Clarity en Google Analytics 4 (GA4). Met deze tools bent u in staat om meer inzichten te capteren in het landschap van gebruikersdata, voor respectievelijk kwalitatieve en kwantitatieve data over uw website of webshop. Door het aankoopproces van klanten te doorlopen en met behulp van data pijnpunten van uw digitaal aanbod te identificeren is het mogelijk om uw aanbod te verbeteren en conversiepercentages te verhogen.

Meer mature organisaties maken een overzicht van alle in hun onderneming vergaarde data. Zij identificeren die data en combineren die om betere inzichten te verwerven. Met sommige inzichten richten zij vervolgens geautomatiseerde processen in, bijvoorbeeld op het gebied van marketing. Met dergelijke marketing automation zijn zijn vervolgens in staat om een vliegwiel te creëren ter promotie van hun producten en/of diensten.

Data discovery process

Privacy

U heeft vast al vaker gelezen over GDPR (of in het Nederlands: AVG), de EU-regelgeving rondom privacy. Als burger is het fijn om te weten dat uw rechten worden beschermd. Als zaakvoerder biedt de nieuwe privacywetgeving tal van kansen, mits u er goed mee omgaat. AVG is een afkorting voor Algemene Verordening Gegevensbescherming, de regelgeving die vanaf 25 mei 2018 actief wordt gehandhaafd. De regels bieden u als bedrijf duidelijke handvatten voor alles wat u met klantgegevens kunt doen. Wanneer u in meerdere EU-landen actief bent, is het tegenwoordig eenvoudiger om uw campagnes in Europa uit te rollen. Overal gelden immers dezelfde regels. Uw buitenlandse concurrenten zijn tevens verplicht zich aan dezelfde regels te houden, waardoor u geen nadeel heeft ten opzichte van hen.

De gegevens die u (direct of indirect) kunt herleiden tot een natuurlijke, identificeerbare persoon, zijn persoonsgegevens. Typische voorbeelden zijn een naam, een e-mailadres of een telefoonnummer. Maar ook de zoekgeschiedenis of een IP-adres zijn bijvoorbeeld persoonsgegevens. Elk bedrijf heeft dergelijke gegevens ergens opgeslagen, verzamelt deze actief of gebruikt ze voor analyses. U verwerkt dan persoonsgegevens en u moet – op een enkele uitzondering na – voldoen aan de wetgeving. In de meeste gevallen mag u deze persoonsgegevens gewoon verwerken, bijvoorbeeld voor marketingdoeleinden. U moet dan wel vooraf expliciete toestemming krijgen van uw klant of prospect. Uiteraard kunnen persoonsgegevens ook worden verwerkt voor het leveren van uw producten en diensten of omdat u moet voldoen aan wettelijke verplichtingen. Dit laatste wordt ook wel een gerechtvaardigd belang genoemd. Het is verboden om specifieke ‘gevoelige’ persoonsgegevens te verwerken. Dit zijn bijvoorbeeld zaken als ras, politieke opvattingen, lidmaatschap van een vakbond, informatie over de seksuele geaardheid of genetische informatie.

De AVG verplicht u om transparant te zijn over de rechten van de consument. Consumenten hebben het recht om hun gegevens die door u zijn opgeslagen op te vragen (die aanvraag moet u vervolgens binnen 30 dagen beantwoorden), het recht om te eisen dat die gegevens worden overgedragen aan een andere leverancier en zelfs het recht om volledig te worden verwijderd (‘vergeten’) vanuit uw systemen. Wanneer u een verzoek krijgt om ‘vergeten’ te worden, moet u de gegevens ook daadwerkelijk overal verwijderen. Dus ook uit uw back-ups.. Transparantie betekent ook dat u uw (mogelijke) klanten proactief informeert over hun rechten. U dient zo minstens een duidelijke privacyverklaring te hebben, wanneer u persoonsgegevens verwerkt.

Natuurlijk moet u de vergaarde gegevens afdoende beschermen tegen aanvallen van hackers of menselijke fouten. Een adequate beveiliging betekent ook dat u uw accounts die toegang hebben tot klantinformatie actief dient te beheren. Veel bedrijven gebruiken “gedeelde” accounts, bijvoorbeeld om toegang te krijgen tot een gratis (of goedkoper) abonnement op een internetdienst. Dat is eigenlijk niet koosjer. Iedereen die toegang heeft tot uw gegevens die onder de privacywetgeving vallen (deze worden vaak in uw boekhoud-, CRM-, ERP- en e-mailsystemen geplaatst), dient in uw verwerkingen te worden vermeld. Verlaten zij het bedrijf, dan verwijder u direct de bijbehorende accounts en noteert u die datum in uw administratie. Heeft u toch een datalek? Dan moet u de Privacycommissie binnen 72 uur na ontdekking van de inbreuk op de hoogte stellen.

U voldoet waarschijnlijk impliciet aan de meeste van bovenstaande zaken. U heeft tenminste een expliciet privacybeleid en weet wie waarvoor verantwoordelijk is binnen uw bedrijf en welke procedure u moet volgen wanneer en een datalek zou plaatsvinden. U heeft uw eigen medewerkers, de partners waarmee u samenwerkt en uw opdrachtgevers actief over uw beleid geinformeerd.

Privacyregels gelden voor iedere onderneming. Om de impact op uw organisatie te bepalen, moet u het volgende inventariseren:

  • welke gegevens u bewaart, en waar u deze bewaart;
  • hoe u deze gegevens hebt verkregen – en waar uw klanten precies mee hebben ingestemd;
  • hoe deze gegevens worden verwerkt.

Wanneer u gegevens verwerkt, dan houdt u dat bij in een verwerkingsregister. In deze administratie vermeldt u het doel van de verwerking en de categorieën persoonsgegevens die u heeft verwerkt. Daarnaast vermeld u de namen en contactgegevens van uw verwerkingsverantwoordelijken. Wanneer u met externe partners werkt die toegang hebben tot de door u vergaarde persoonsgegevens, dan sluit u met hen een zogenaamde dataverwerkingsovereenkomst (een data processing agreement) af.

De relatie tussen de verschillende actoren binnen de GDPR regelgeving

Helaas is het onmogelijk om een ​​duidelijke vergelijking te maken tussen kleine en grote bedrijven om de impact van de AVG te bepalen. Een klein marketingbureau kan bijvoorbeeld heel actief zijn met klantgegevens, terwijl dat bij een groot bouwbedrijf minder belangrijk kan zijn. Het uitgangspunt blijft de gegevens die u als bedrijf verwerkt. Bedrijven met een hoger risico of moeten een Data Protection Officer (DPO) in dienst hebben. Hij of zij is verplicht voor bedrijven die regelmatig gegevens verwerken, of gevoelige gegevens verwerken. Hij of zij kan vrijwillig worden aangesteld door het bedrijf. Bovendien is het niet per definitie een van uw medewerkers. De DPO ziet er bijvoorbeeld op dat het principe van privacy by design wordt toegepast bij nieuwe projecten waar persoonsgegevens een rol spelen. Dit type bedrijven organiseert ook regelmatig een analyse waarin u in kaart brengt welke data u gebruikt binnen uw bedrijf, waar deze vandaan komen, wie er toegang toe heeft (in- en extern) en waarom u ze bewaart. Dit type analyse heet een Data Protection Impact Assessment (DPIA).

De meeste bedrijven hebben e-maillijsten die ze actief verwerken met meerdere marketingacties. U moet expliciete toestemming hebben om een ​​contactpersoon te e-mailen. Dit betekent eigenlijk dat je moet kunnen aantonen dat je de adressen hebt verkregen via een opt-in, waarbij je hebt vastgelegd wanneer ze specifiek hebben ingestemd met wat en via welk IP-adres. Veel bedrijven hebben ergens een e-maillijst op basis van een spreadsheet en ergens anders wat visitekaartjes. Dan is het verstandig om je contacten expliciet om toestemming te vragen, bijvoorbeeld via een nieuwe opt-in campagne. Wanneer u woorden als CRM, data-analyse, e-mailmarketing en remarketing herkent, dan bent u mogelijk al op een geavanceerde manier bezig met direct marketing. Wanneer er een geautomatiseerde verwerking van persoonsgegevens, plaatsvindt, waarbij bepaalde aspecten van een natuurlijk persoon worden geëvalueerd om zijn of haar (koop)gedrag te voorspellen, dan heeft deze persoon het recht om uitgesloten te worden van dit soort activiteiten (algemeen bekend als profilering) en andere vormen van geautomatiseerde besluitvorming. Uitzonderingen zijn wanneer het noodzakelijk is om een ​​overeenkomst te sluiten, wanneer deze wettelijk is goedgekeurd of wanneer deze gebaseerd is op uitdrukkelijke toestemming.

Artificial intelligence (AI)

Kunstmatige intelligentie (AI) is een technologie voor algemene doeleinden waarmee we de komende tien jaar alle dingen die we doen opnieuw zullen heruitvinden. Kunstmatige intelligentie is in feite een populaire naam voor een reeks technologieën die bijdragen aan een systeem dat – met verschillende niveaus van autonomie – denkt en handelt om specifieke doelen te bereiken, zoals mensen dat doen. De meest gekende AI-technologie is machine learning, inclusief deep learning en reinforcement learning.

AI-systemen voelen hun omgeving aan, interpreteren de verzamelde (gestructureerde en ongestructureerde) gegevens, redeneren op basis van de kennis die uit deze gegevens wordt verkregen en beslissen welke actie(s) het beste kunnen worden ondernomen. Tot slot kan het systeem zijn gedrag aanpassen op basis van het effect van zijn eerdere acties. AI is dus zelflerend.

Op AI gebaseerde systemen kunnen puur gebaseerd zijn op software (bijvoorbeeld chatbots) of kunnen een combinatie zijn van hardware en software (slimme producten zoals de Nest-thermostaat of Amazon’s Alexa).

Omdat AI veel rekenkracht vereist, bevinden de meeste AI-toepassingen zich tegenwoordig op het gebied van niet-tijdkritische taken die in de cloud kunnen worden berekend. Bedrijven gebruiken AI-aangedreven software bijvoorbeeld om kredietcontroles uit te voeren, de routering van inkomende klantenservicegesprekken te verbeteren of om de churn van een klantendatabase beter te voorspellen. AI-technologie ontwikkelt zich echter heel snel, dus zullen steeds vaker ook toepassingen beschikbaar komen die extreem nauwkeurige en tijdkritische berekeningen vereisen.

Ook wordt AI momenteel vooral ingezet als co-piloot: een slimme assistent om je te helpen bij het nemen van beslissingen. Steeds vaker zal AI die beslissing echter zelf nemen en de daaropvolgende actie initieren. Dat is de visie van auto pilot.

Illustratief voorbeeld van de ontwikkeling van AI tot autopilot