Um Erlaubnis zu fragen, gehört heute nicht mehr nur zum guten Ton. Sichern und Verwalten Zustimmung des Kunden für die Nutzung und Erfassung ihrer privaten Daten wird bald zum Standardverfahren werden. Unabhängig davon, ob der Druck der Regulierungsbehörden oder das Reputationsrisiko im Vordergrund stehen, müssen Unternehmen ihren Kunden die Kontrolle über die Verwendung ihrer Daten geben. Die Erfassung und Verwaltung von Einwilligungen wird der Schlüssel zu zufriedenen und loyalen Kunden sein.
Aber bei der Vergabe von Kontrolle der Einwilligung über personenbezogene Daten für das Geschäft gut sein mag, ist es in der Praxis nicht immer einfach, sie auf bestehende Arbeitsabläufe anzuwenden. Heutzutage sind Unternehmen nicht darauf eingerichtet, Einwilligungen einheitlich zu erfassen oder bei der Regelung der Nutzung personenbezogener Daten Präferenzen für Einwilligungen anzuwenden. Für die meisten Unternehmen ist der Weg zur Umsetzung von Einwilligungen in der Datenverwaltung daher ein langer Weg, der mit der Erfassung von Einwilligungen beginnt und mit der Verwaltung von Daten unter Berücksichtigung von Einwilligungspräferenzen und -mandaten fortschreitet.
Der neue Data Governance Imperativ
Das Konzept der Zustimmungsmanagement ist in der Welt des Gesundheitswesens gut etabliert, wo Compliance-Anforderungen (wie HIPAA) vorschreiben, dass Patienten eine Reihe von Optionen zur Verfügung gestellt werden, um zu bestimmen, wer Zugang zu ihren geschützten Gesundheitsinformationen (PHI) hat, zu welchem Zweck und unter welchen Umständen.
Während die US-Regulierungsbehörden in jüngerer Zeit das Modell der "informierten Zustimmung" befürworten, legen ihre Kollegen in der EU seit langem Wert darauf, dass Kunden und Verbraucher ausdrücklich vor die Wahl gestellt werden, ob sie mit der Weitergabe ihrer Daten und der Zustimmung zur Verfolgung einverstanden sind.
Die Zustimmung der Kunden ist auch eine Frage des Grades und nicht eine Alles-oder-Nichts-Angelegenheit. Die Kunden fragen zunehmend nach detaillierteren Zustimmungsoptionen, darunter:
- die ausdrückliche Zustimmung zur Speicherung und Verarbeitung ihrer personenbezogenen Daten gegeben haben
- Sie haben ihre ausdrückliche Zustimmung zu einem begrenzten und spezifischen Verhaltenstracking-Datensatz gegeben
- die ausdrückliche Zustimmung zur Weitergabe dieses Datensatzes an Dritte gegeben haben
- die ausdrückliche Zustimmung zur Verwendung der Daten durch Dritte in bestimmter Weise erteilt haben
Das sichtbarste Beispiel für den Wandel in der Haltung der Regulierungsbehörden sind die kürzlich veröffentlichten Vorschläge der FCC zur Regelung des Umgangs von Internet- und Kabelanbietern mit personenbezogenen Daten. Der FCC-Vorschlag geht von der Annahme aus, dass eine bestimmte Menge an Daten notwendig ist, damit die Internetanbieter ihren Kunden Dienste anbieten und Rechnungen stellen können. Die Verbraucher sollen jedoch eine informierte Entscheidung darüber treffen, wozu sie sich bereit erklären: Wie werden ihre Daten verwendet, von wem und wie werden sie an externe Dritte weitergegeben.
Große Identitätsdaten: Die Einwilligung in die Praxis umsetzen
Natürlich wollen Organisationen sicherstellen, dass sie genug tun, um die Zustimmung der Kunden einzuholen, bevor sie Kundendaten sammeln. Kein Unternehmen möchte in den Ruf kommen, wahllos Daten zu sammeln - vor allem dann nicht, wenn es sich die Mühe gemacht hat, eine Datenschutzrichtlinie aufzustellen und die Zustimmung der Kunden einzuholen. Doch wie kann sichergestellt werden, dass die Verwendung oder Weitergabe der Daten, die unter die Einwilligungsparameter fallen, in der Praxis eingeschränkt wird - entweder intern oder extern?
Im Idealfall sollten die Zustimmungsbedingungen in ein Kennzeichen oder Datenattribut umgewandelt werden, das regelt, wie Kundendaten während ihres gesamten Lebenszyklus verarbeitet, gespeichert und verwaltet werden. Zugriffsberechtigungen, die auf den Zustimmungsparametern des Kunden beruhen, könnten anhand eines Zustimmungsprofils vergeben werden, die Datensensibilität könnte je nachdem, ob es sich um einen uneingeschränkten oder einen eingeschränkten Zugang handelt, unterschiedlich bewertet werden, die Nutzung könnte nachverfolgt und gemessen werden für Compliance gegen EULAs und Vorschriften.
Wenn Datenschutz können Unternehmen, die ihre Einwilligungspräferenzen verfolgen, auch besser durchsetzen, wie auf Kundendaten intern zugegriffen wird, und Einblicke in den Verlauf und die Datenherkunft gewähren. Im Gegenzug können Analysemodule genau darauf abgestimmt werden, welche personenbezogenen Daten sie verwenden dürfen, um die Integrität der Absicht eines Kunden in Bezug auf die Verwendung seiner personenbezogenen Daten zu gewährleisten.
Das Verständnis des Zugriffs auf personenbezogene Daten, des Risikos und der Einhaltung der Nutzungsbestimmungen sind Schlüsselkomponenten einer Strategie für das Management des Datenschutzes beim Kunden. Die Zustimmung sollte ein integraler Bestandteil sowohl der Verfolgung als auch der Durchsetzung sein Privatsphäre. Unternehmen sammeln persönliche Daten in einem noch nie dagewesenen Ausmaß. Die Verwaltung der Zustimmung zu personenbezogenen Daten bietet Unternehmen eine wirksame Methode zum Schutz der Privatsphäre ihrer Kunden.
Autor
