26 september 2022 954 woorden, 4 min. gelezen

Marktonderzoek en enquêtes: pas op voor de Cloud Act

Door Pierre-Nicolas Schwab Gepromoveerd in marketing, directeur van IntoTheMinds
De Cloud Act vormt een reëel juridisch probleem voor Europese bedrijven. Helaas besteden ze er te weinig aandacht aan. In dit artikel presenteren wij de oplossing die wij hebben ontwikkeld zodat de enquêtes die wij uitvoeren zowel voldoen aan de […]

De Cloud Act vormt een reëel juridisch probleem voor Europese bedrijven. Helaas besteden ze er te weinig aandacht aan. In dit artikel presenteren wij de oplossing die wij hebben ontwikkeld zodat de enquêtes die wij uitvoeren zowel voldoen aan de GDPR en tegelijk de Amerikaanse Cloud Act naleven.

Als u maar 30 seconden heeft

  • De Cloud Act vormt een potentieel gevaar voor alle Europese bedrijven die hun gegevens opslaan bij AWS, Google of Microsoft.
  • Bijzondere aandacht is vereist voor marktonderzoeksinstellingen die waarschijnlijk persoonsgegevens verzamelen namens hun klanten (tevredenheidsonderzoek, B2C- of B2B-marktonderzoek, …).
  • Er bestaan oplossingen op basis van enquêtesoftware die op eigen servers in Europa is geïnstalleerd.
  • Om de risico’s te minimaliseren, moet u een datahost kiezen die een bedrijf is naar Europees recht.

Cloud Act: een tekst die frontaal ingaat tegen de GDPR

De Cloud Act en de GDPR zijn twee wetteksten die niet goed samengaan.

Landen als Frankrijk hebben hierop gereageerd met de SecNumCloud-norm en de ontwikkeling van een Europese vertrouwde cloud. Een studie van het advocatenkantoor Green Traurig in opdracht van de Nederlandse overheid kwalificeert echter de mogelijkheid om een echte soevereine cloud te creëren die vrij is van elke inmenging in de Cloud Act.


Enquêtes en de Cloud Act: wat is het probleem?

Er zijn twee problemen met betrekking tot de Cloud Act waarmee marktonderzoeksbureaus te maken krijgen als het gaat om enquêtes. Wij maken een onderscheid tussen enquêtes die worden uitgevoerd op basis van panels en enquêtes die worden uitgevoerd via een specifiek klantenbestand. In beide gevallen is er een reëel risico voor de opdrachtgevers van de enquêtes met bovendien een risico op het vlak van reputatie (en ook juridisch) voor het bedrijf dat de enquête heeft uitgevoerd.

Panelenquêtes

Eigen panelonderzoek (voornamelijk gebruikt voor B2C-marktonderzoek) vormt geen groot probleem met betrekking tot de Cloud Act. De gegevens van de respondenten blijven eigendom van het panel en worden niet meegedeeld aan de klant. Het risico blijft dus beperkt tot het marktonderzoeksinstituut.

Dit is niet het geval voor enquêtes bij de eindklanten van uw opdrachtgever.

Enquêtes via een klantendatabase

Enquêtes op basis van een klantendatabase zijn waarschijnlijk het meest riskant. De klantendatabase heeft een hoge bedrijfswaarde. Ten koste van alles moet worden voorkomen dat het via de Cloud Act in buitenlandse handen terecht kan komen.

Marktonderzoeksbureaus worden met dit risico geconfronteerd zodra zij een kwantitatief onderzoek uitvoeren onder de klanten van hun opdrachtgever:

Telkens moeten gegevens worden geregistreerd, die onvermijdelijk persoonsgegevens bevatten. Als u deze opslaat op de servers van een Amerikaans bedrijf (AWS, Google, Microsoft), loopt u het risico dat deze gegevens, die aan uw sponsor toebehoren, door de Amerikaanse autoriteiten in beslag worden genomen op grond van de Cloud Act.

 


Onze oplossing om problemen met de Cloud Act te voorkomen

Er is geen perfecte oplossing voor de Cloud Act en de GDPR. De juridische materie is nogal “beweeglijk” en er kunnen hier en daar verschillende interpretaties worden gegeven.


Er is één vaste regel: sla de gegevens van uw klanten niet op AWS-, Google- of Microsoft-servers op.


Cloud Act: vermijd AWS, Google en Microsoft

Er is echter één dwingende regel: sla de gegevens van uw klanten niet op AWS-, Google- of Microsoft-servers op. Wilt u problemen met de Cloud Act vermijden, kies dan voor een Europees hostingbedrijf.

Als u de gegevens opslaat op de plaats waar u wilt, moet u de controle nemen over de softwareoplossing die de gegevens verzamelt. In het geval van enquêtes is dit vrij ingewikkeld, aangezien bijna alle oplossingen in de cloud zitten en dus worden gehost door AWS, Google of Microsoft.

Kies een lokale host

De eerste stap om 99% van de risico’s van de Cloud Act te beperken, is uw gegevens onder te brengen bij een nationaal hostingbedrijf. We hebben het niet over een server op nationaal grondgebied, maar over een bedrijf onder Europees recht met zijn servers in uw land.

Gezien het juridisch advies van Green Traurig voor de Nederlandse regering zou in een perfecte wereld moeten worden gekozen voor een nationaal bedrijf zonder banden met de VS. Dit betekent dat deze host geen dochteronderneming in de VS mag hebben en daar geen zaken mag doen. Laten we eerlijk zijn, dit is bijna onmogelijk. Maar als u de risico’s 100% wilt beperken, zult u toch dat moeten doen. Laten we tot slot toevoegen dat deze wettelijke beperkingen boven op de technische beperkingen komen. U moet een host vinden die voldoende betrouwbaar is.


Alle enquêtereacties worden opgeslagen op een server buiten het Gafam-ecosysteem en zijn niet verbonden met de VS.


Enquêteoplossing geïnstalleerd op uw eigen servers

Dit is de oplossing die wij hebben ingevoerd om ervoor te zorgen dat onze online enquêtes voldoen aan de GDPR en tegelijkertijd de risico’s van de Cloud Act vermijden. Eerst hebben wij een enquêtesoftware geïnstalleerd op onze eigen servers in Frankrijk. Ze worden gehost door een SecNumCloud (Franse site) gecertificeerd Frans bedrijf. Alle antwoorden op de enquête worden daarom geregistreerd op een server buiten het ecosysteem van Gafam en zonder enige link met de Verenigde Staten. Tot zover de Cloud Act.

Hoe wij voldoen aan de GDPR beschreven wij eerder hier. Het werkt nog altijd en verloopt erg eenvoudig. Zodra uw enquête gebaseerd is op de database van uw sponsor, is het uw sponsor die de uitnodigingen verstuurt om de enquête in te vullen. Zo wordt de klantendatabase nooit aan u doorgegeven. Er vindt dus geen overdracht van gegevens aan derden plaats zonder toestemming. De uitnodiging om te reageren moet het bedrijf identificeren dat de enquête uitvoert en de respondent duidelijk maken dat hij door deel te nemen toestemming geeft voor de verwerking van zijn gegevens.



Posted in Strategie.

Plaats uw mening

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *