Privacy is niet alleen een document
Elk modern SaaS-product heeft een privacybeleid. De meeste zeggen de juiste dingen.
Ze beschrijven welke gegevens worden verzameld, hoe die worden gebruikt, welke categorieën ontvangers ze ontvangen, hoe lang ze worden bewaard en hoe een klant zijn rechten kan uitoefenen.
Dat is noodzakelijk — maar niet genoeg.
Een privacybeleid vertelt je wat een leverancier belooft te doen. De architectuur van het product vertelt je wat ze zouden kunnen doen.
Als een beleid zegt "we verkopen je gegevens niet" maar de architectuur is gebouwd op advertentietechnologie-infrastructuur, dan draagt het beleid veel gewicht. Als een beleid zegt "we houden je gegevens veilig" maar het systeem wordt bijeengehouden door twintig externe diensten, dan doet het beleid beloften over delen van het systeem die de leverancier niet volledig kan beheersen.
Wij geloven dat privacy eerst zichtbaar moet zijn in de architectuur, en pas daarna beschreven moet worden in het beleid.
Wat "door architectuur" echt betekent
Privacy door architectuur is het idee dat de structuur van het systeem zelf moet beperken hoe gegevens kunnen worden verzameld, geraadpleegd, verwerkt en gedeeld.
Het is het verschil tussen "we kiezen ervoor X niet te doen" en "we hebben het platform zo gebouwd dat X onpraktisch is".
Het eerste is een cultuur. Het tweede is een beperking.
Culturen veranderen. Beperkingen zijn stabiel.
De beslissingen die dit vormgeven
Privacy door architectuur is geen enkele functie. Het is een reeks kleine beslissingen, jarenlang herhaald.
Ervoor kiezen componenten intern te beheren in plaats van gegevens via externe diensten te leiden. Ervoor kiezen de categorieën gegevens die we verzamelen te minimaliseren. Ervoor kiezen niet te integreren met advertentie- of gedragsvolgsystemen. Ervoor kiezen bedrijfsgegevens op te slaan in regio's die onze klanten verwachten. Ervoor kiezen werkruimtes gescheiden te houden. Ervoor kiezen klantinhoud niet te analyseren voor marketinginzichten.
Geen van die beslissingen is op zichzelf spectaculair. Het cumulatieve effect is wat het platform vormgeeft.
Wat we bewust niet verzamelen
Een nuttige oefening is het omgekeerde van de typische privacysamenvatting.
We verzamelen geen gedragsprofielen van je team voor advertentietargeting. We nemen geen sessieherhalingen op van het gebruik van werkruimtes. We plaatsen geen cross-site tracking van advertentienetwerken binnen het geauthenticeerde platform. We verzamelen geen gegevens waarvoor we geen rechtvaardiging hebben.
Elk extra datapunt dat een platform verzamelt, is een privacybeslissing. De meeste platforms kiezen voor meer. Wij kiezen voor minder.
Wat we bewust niet delen
Er is geen doorverkoop van klantinformatie. Er is geen delen met marketingpartners. Er is geen datapijplijn naar databrokers. Er is geen "geanonimiseerde" dataset die in licentie wordt gegeven aan derden.
Wanneer een leverancier zegt "we mogen geaggregeerde, geanonimiseerde gegevens delen met onze partners", is het de moeite waard te begrijpen wat die zin werkelijk toestaat. Wij wilden die niet schrijven.
Wat we bewust niet voor altijd bewaren
Bewaartermijnen voor back-ups bestaan, om redenen van operationele betrouwbaarheid en wettelijke verplichtingen. We documenteren onze bewaartermijnen in het Privacybeleid.
Maar buiten die expliciete bewaartermijnen verwijderen we wat we niet langer nodig hebben. We bewaren klantinformatie niet standaard voor onbepaalde tijd. We houden gegevens van beëindigde accounts niet beschikbaar voor het geval "je misschien terugkomt". We hamsteren geen informatie voor toekomstige productideeën.
Als we het niet hoefden te bewaren, verwijderen we het.
Waarom minimalisatie belangrijk is
Dataminimalisatie is een van de kernprincipes van de AVG. Het is ook goede techniek.
Elk extra stukje data dat een systeem opslaat, is iets dat beschermd, beveiligd, geback-upt, gerepliceerd, compliant gehouden en uiteindelijk verwijderd moet worden. Minder data betekent minder oppervlak om te verdedigen.
Voor onze klanten betekent het ook minder zorgen. De informatie die bestaat, is de informatie die jij daar plaatst — niet een lange schaduw van gedragsmetadata waarvoor iemand, ergens, uiteindelijk misschien een toepassing vindt.
Waarom isolatie belangrijk is
Elke KIMISUITE-werkruimte is logisch geïsoleerd van alle andere. Je bedrijfsgegevens worden niet vermengd met de inhoud van andere klanten. Handelingen tussen werkruimtes gebeuren niet standaard. Functionaliteit tussen werkruimtes is opt-in en expliciet.
Die isolatie is ingebouwd in hoe het platform werkt, niet alleen in het beleid.
Waarom architectuur marketing verslaat
Het is makkelijk voor elke leverancier om "privacy zit in ons DNA" op een marketingpagina te schrijven. Het kost niets.
Het is moeilijker om architectuurbeslissingen te nemen die het platform zelf beperken — beslissingen die telkens verdedigd moeten worden wanneer er een concurrerende eis opduikt.
Interne teams zullen om meer gedragsdata vragen. Salesteams zullen om rijkere klantprofielen vragen. Marketing zal sessieherhalingen willen. Een toekomstige investeerder zal voorstellen om "geanonimiseerde" datasets te gelde te maken.
Het antwoord op al die dingen is, door architectuur en door intentie, nee.
Slotgedachten
Een privacybeleid kan beschrijven wat een leverancier wil doen.
De architectuur van een platform bepaalt wat een leverancier kan doen.
Wij hebben ervoor gekozen die twee op elkaar af te stemmen — en ze op elkaar afgestemd te houden terwijl het platform groeit.
Als je bedrijf betekenisvolle informatie opslaat binnen een SaaS-platform, is die overeenstemming iets om zorgvuldig naar te kijken.
Lees verder in de Trust Series:
← Vorige: Wie heeft toegang tot je bedrijfsgegevens?
→ Volgende: Wat gebeurt er met je gegevens als je opzegt?
Start je 14-daagse gratis proefperiode · Bekijk KIMISUITE-prijzen