Business first, privacy second?
Toen een autoverzekeraar een aantal jaar terug privacyadvies vroeg voor een innovatieve autoverzekering, wisten we dat het een though job kon worden. The basic idea: Jonge bestuurders krijgen een kastje in de auto dat het rijgedrag bijhoudt. Rijd je als een idioot, dan betaal je de volle mep. Rijd je als een beschaafd oud vrouwtje, dan krijg je korting. Ze hadden een interessant businessmodel ontwikkeld en de lancering stond binnen een paar maanden gepland. We moesten alleen het privacybeleid “nog even fixen”…
Niet eerder werd het me zo duidelijk dat dealen met de Algemene Verordening Gegevensbescherming (kort gezegd: AVG) (en daarvoor de Wbp) vaak een kwestie van timing is. In het geval van de verzekeraar was het plan rond, waren de contracten met leveranciers getekend, waren de hard- en software ingekocht en lagen de marketingplannen klaar. Het fixen van het privacybeleid eindigde met een keiharde boodschap: Het ingekochte ‘kastje’ kon op geen mogelijkheid voldoen aan Europese privacyregels. Het kastje, de contracten, de software en daarmee eigenlijk het hele plan – het kon de prullenbak in. –Erg zonde, er waren namelijk voldoende kastjes op de markt die wél aan de privacyregels voldeden, maar deze waren niet ingekocht.