Wanneer we het met organisaties over het beschermen van data privacy hebben komt heel snel wet- en regelgeving om de hoek kijken. Logisch natuurlijk. Als persoon heb je recht op privacy, dat is zelfs in de grondwet vastgelegd. Een organisatie moet er in die zin dus alles aan doen om ervoor te zorgen dat ze jouw (data) privacy goed beschermt en tegelijkertijd daarmee voldoet aan wet- en regelgeving.
Toch zie ik vaak dat organisaties die volgorde anders interpreteren.
Zo willen organisaties vaak primair voldoen aan de wet- en regelgeving op het gebied van data privacy. Want, zo wordt er gedacht, “als we dat niet doen krijgen we misschien een torenhoge boete, belanden we in het nieuws of halen we onze certificering niet”. Een secundaire bijkomstigheid is dat we daadwerkelijk iets geven om de data privacy van onze medewerkers, klanten, cliënten, burgers, etc. Daarbij heb ik het hier niet eens over de – veel te grote – groep organisaties die weinig tot niets doen om data privacy te beschermen want: “er is toch bijna geen handhaving dus waarom zouden ze bij ons langskomen? [1]”.
Er is dus helaas maar weinig sprake van een strategie waarbij je eerst de privacy van je medewerkers en klanten voorop stelt en dat is jammer. En niet alleen omdat je dan als organisatie de plank mis slaat op het gebied van privacy bescherming, maar juist omdat je daardoor gaat verliezen van die concurrent die privacy wel belangrijk vinden.
Data privacy als unique selling point
Het idee dat je als organisatie je alleen maar druk hoeft te maken over data privacy vanuit een wet- en regelgeving gedachte is geweest. Data privacy is namelijk een “unique selling point” aan het worden waarop jij je als organisatie kan onderscheiden van de concurrentie. En nu iedereen zich steeds beter realiseert wat zijn of haar rechten zijn op het gebied van data privacy bescherming – en wat het kan betekenen als privacygevoelige data lekt [2] – worden we ook kritischer naar de organisaties die onze gegevens verwerken. Dat wordt ook bevestigd door o.a. onderzoek van Cisco welke het aantal “Privacy Actives” – consumenten die het belangrijk vinden dat er goed met hun privacy omgegaan wordt en anders actie ondernemen – onderzocht. Zo gaf 29% van de ondervraagde consumenten aan dat ze zelfs van leverancier zouden wisselen op het moment dat ze het gevoel hebben dat er niet goed met hun privacy wordt omgegaan [3].
Andersom geredeneerd kun je dus als organisatie juist een hele grote groep nieuwe klanten aantrekken door te laten zien dat jij je wel goed inzet op het gebied van data privacy bescherming.
Dat het goed omgaan met de data privacy voor organisaties leid tot positieve effecten is een feit. Zo werd in een onderzoek van Gapgemini uit 2019 [4] al aangetoond dat van de ondervraagde organisaties 92% aangeeft een concurrerend voordeel te hebben gehaald dankzij het voldoen aan de AVG/GDPR wet- en regelgeving. Dat uit zich in een stijging van het vertrouwen richting de organisatie, een sterkere imago maar ook een stijging in de omzet. Volgens recent onderzoek van Cisco [5] verdient een gemiddelde organisatie minimaal 2x de investeringen op het gebied van data privacy terug en in sommige gevallen wordt de investering zelfs meer dan 5x terug verdient.
Nu de verwachtingen op het gebied van data privacy bescherming stijgen, personen steeds beter begrijpen wat hun rechten zijn en het beschermen van data privacy resulteert in allerlei positieve effecten voor je organisatie is er geen excuus meer. Je moet als organisatie aan de slag met data privacy bescherming. Zo wordt niet alleen de medewerker, klant of cliënt er beter van, maar ook jouw organisatie!
Bronnen:
[1] Om precies te zijn is er 2,9 FTE beschikbaar bij de Autoriteit Persoonsgegevens om alleen al de 27.000 gemelde datalekker te controleren en 0,2 FTE die actief op zoek gaat naar mogelijke datalekken. (https://www.tweedekamer.nl/kamerstukken/moties/detail?id=2021D04900)
[4] https://www.capgemini.com/championing-data-protection-and-privacy/