   |
|
|
DİKKATLİ İNCELEME ALTINDA GİZLİLİK Jo Ann S. Barefot / KPMG Barefoot Marrinan, Columbus, Ohio Kritik müşteri bilgileri akışını korumak için
etkin bir şekilde gizlilik politikaları gerekiyor – yasal gereklilik olmasa
bile. Bankacılık endüstrisi yeni ve çılgın bir gizlilik çatışması dünyasına zoraki saplanmakta. Bu sivri kayalıklarla dolu arazinin keşfedilip dize getirilmesi yıllar sürecek olmasına rağmen bankaların gizlilik riski için ciddi idari sistemler kurmasının gerekliliği aşikârdır. Neden? Müşteri gizliliği konuları bilgi teknolojisi kullanımında uzlaşmaya işaret ediyor ki bu da e-ticaret ve müşteri ilişkileri yönetimi gibi bankacılığın geleceği için çok önemli olan iki arenanın tam göbeğindedir. Çeşitli gelişmeler
durumun ciddiyetinin altını çiziyor. Kongre, bankaların gizlilik politikalarını
açığa çıkarmasını gerektiren ve müşterilere kendilerine ait bazı
verilerin “kullanılmamasını tercih etme hakkı” izni veren
bir kanun tasarısını görüşüyor. Bu arada, müşteri bilgilerini
satmayacağına dair söz vermiş olmasına rağmen satan Minnesota’daki U.S.
Bancorp’a karşı bu yaz açılan bir davadan çıkan kıvılcım ile açılmış
olan toplu davalar bir çok eyalette halen sürüyor. Avrupa Birliği
de ABD ile Avrupa vatandaşlarına ait verilerin yeterli gizlilik koruması
olmayan ülkelere - Avrupa Birliği’nin düşüncesine göre ABD’yi de
kapsayan - akışını engelleyen bir düzenleme üzerinde tartışıyor. Ve
gizlilik koruması konusunda sayısız faaliyetler yolda: federeal, eyalet ve
yerel devlet dairelerinde; mahkemede; endüstri forumlarında; ve Microsoft Corp.
ve IBM Corp. gibi büyük teknoloji firmalarınca uyarlanan pazar destekleme
politikalarında. Bu olaylar; üzerinde önemle durarak şunu belirtiyor ki gizlilik insanların
hassas bir noktasına dokunuyor. Bu ise dürüstlük ve özgürlük ve kişisel
çıkar konularındaki öz duygular ile birbirine dolanıyor. Ve kolay çözümler
yok. Konunun karmaşıklığı, bir sürü problemi çözülmüş gibi gösterecek
ve kopuk bir biçimde cevap vermeye meyledecek olan yasa koyucu ve düzenleyici
gurupları büyük sıkıntılara sokuyor. Bankalar için güç olan şu ki bankacılıktaki en heyecan verici
yeniliklerin altını oymadan müşteri gizliliği emniyetini tamamen sağlayamayacaklardır.
Bu yenilikler, hem müşterilere ve hem de bunları sağlayanlara büyük kârlar
taahhüt ederler. Ancak bunlara erişmek için, finansal hizmet kurumları ve
onların müşterileri bazı kritik ‘başka şeylerden vazgeçme’ kararları
almak zorundadırlar. Çıkarlar çok yüksek olduğunda, hiçbir şey şansa bırakılmaz,
bu yüzden bankalar gizlilik sorunu için hemen kapsamlı yaklaşımlar geliştirmeye
başlamalıdırlar. Gizlilik riskinin en az dört odak noktası vardır. Bir sıcak konu
internet üzerinden nakledilen bilgiyi ilgilendirir ki sadece hizmet sağlayıcılar,
insanların ilgi duydukları ve satın aldıkları şeylere ilişkin topladıkları
verileri kullanabildiklerinde bu bilgilerin değeri en yüksek seviyeye gelir.
Bir diğeri partnerlerin müşteri bilgilerine eriştikleri üçüncü-taraf ilişkileridir.
Üçüncü konu, sigortacılık verimini artıran ancak isteğe bağlı bir işlem
olan bilgisayar ortamına aktarılmış kredi değerlendirmesidir. Dördüncü
alan, bazılarının huzurunu kaçıran veri araştırması ve müşteri ilişkileri
yönetimidir çünkü, hassas müşteri bilgilerinin kapsamlı bir şekilde
toplanması ve kullanımını ilgilendirir. Bankaların gizlilik riskleri ile mücadele etmede şimdiden dikkate almaya
başlayabilecekleri bir çok çözüm adımı vardır. Kurumlar, gelecekte olasılıkla
daha sıkı bir şekilde uygulanacak olan FCRA (Fair Credit Reporting Act =Doğru
Kredi Raporlama Yasası) ile uyum içinde olduklarından emin olmalıdırlar. Müşterilerin
kendi kayıtlarını dahili kullanım ve harici paylaşım düzenlemelerinden
hariç tutmalarına izin verme ihtiyacı ile başa çıkmak için kendi
kendilerini hazırlamalıdırlar. Üçüncü taraflarla olan ilişkiler akılda
olan bilgi kullanımı sorunları ile yeniden gözden geçirilmelidir.
Uygulanabilirliğin olduğu yerde, yasal zorunluluk ve uyuşmazlıklara engel
olmak için istekli olarak gizlilik koruması adımları atılmalıdır. Ve
gizlilik bilinci bankacılık kültüründe kökleşmiş olmalıdır. Bataklık Tüketici hareketinin doğuşundan bu yana bankalar, sürekli artmakta olan
korumacı yasa ve tüzüklerle uğraşmak
zorunda kaldılar. Fakat gizlilik gibi hızlı bir şekilde asıl ilgi odağı
olan bir şeyle hiç karşılaşmadılar. Olumlu fırsatlar - bankalar ya da müşteriler
için fark gözetilmeksizin - böylesine cazip değilken tüketici sorununa ilişkin
riskler böylesine keskin olmadı. Çözümler elde etmek zor olacak. Gizlilik riskinin dikkati çeken iki alanı
internet ve müşteri verilerinin teknolojik kullanımıdır, her ikisi de
finansal hizmetlere ilişkin esaslı değişikliklere imkân tanır. Bankalar,
bankacılıktaki heyecan verici yeniliklerin altını oymaksızın müşteri
gizliliğini bütünüyle koruma altına alamayacaklar. Bu yenilikler muazzam müşteri
kârlılıkları ürünü verecek ancak gizlilikten vazgeçme talep edecektir. Bu yeni yaklaşımların müşteri ve işyeri değeri öylesine mecbur edici
olacaktır ki piyasa basitçe onlara doğru yönelecektir: rekabet bunu
isteyecektir. Bu piyasa güçleri acımasızca ileriye doğru hareket ederken müşteriler
gelişmiş finansal hizmetler ve indirilmiş fiyatlar gibi pozitif yan ürünler
isteyeceklerdir. Aynı zamanda da, gizliliğin kaybından şikâyetçi
olacaklardır. Bu şikâyetler ise siyasi görüşler, düzenlemeler ve davalar doğuracaktır.
Yönetimin “çözümleri” büyük sorunlar yaratacaktır çünkü genelde
temel sorunları anlayamadan yavaş ve kademeli bir şekilde hareket
edeceklerdir. Yüksek maliyetler, yüksek riskler, karışık ve itilaflı
fermanlar, değişken bir düzenleme ortamı ve başka bir çok tekin olmayan
sonuçlar üreteceklerdir. Gizlilik Prensipleri On-line Gizlilik Politikaları Geliştirmek İçin Temel Anahatlar Benimseme ve Yürütme
– On-line faaliyetler ve e-ticaret ile ilgili olan örgütlerin bireysel
bilginin gizliliğini koruyacak olan politikaları benimsemede ve yürütmede
bir sorumluluğu vardır. Duyuru ve Açıklama –
Bir örgütün gizlilik politikasının bulunması, okunması ve anlaşılması
kolay olmak zorundadır. Talep edilen ve/veya toplanan bireysel bilgi oturumlar
esnasında veya öncesinde uygun tarzda hazır olmalıdır. Tercih ve Rıza
– Bireylere, kişisel bilginin toplandığı koşullarla ilişkisi olmayan
kullanımlar için üçüncü taraflarla paylaşılabilip paylaşılamayacağına
dair bir tercih hakkı verilmelidir. En azından insanlar “kullanılmamasını
tercih etme” ye muktedir olabilmelidirler. Veri Güvenliği
– Bireysel bilgi yaratıldığında, saklandığında, kullanıldığında
veya parçalara ayrıldığında, güvenirliğini sağlama almak için özen gösterilmeli
ve kaybolmasına, kötü niyetle kullanımına veya değiştirilmesine engel
olmak için koruma altına alınmalıdır. Üçüncü taraflar bu sorumluluğu
paylaşmalıdırlar. Veri Kalitesi ve Erişim
– Kişisel verinin doğruluğu, bütünlüğü, uygunluğu ve birey tarafından
erişilebilir olmasını sağlama almak için makul adımlar atılmalıdır.
Hataları düzeltmek için basit ve kullanımı kolay olan usuller sağlanmalıdır. Kaynak: Online Privacy Alliance Gizlilik riskleri dört temel alanda bütünleşir: 1.İnternet:
En sıcak tartışma alanı elektronik ticaret ve on-line bankacılık olacaktır.
İnternet gizliliği riskleri, güvenlikten internete dayalı hizmetler sunan
firmaların verileri kasıtlı kullanmasına dair sorunlara kadar yayılan bir
yelpazede yer alır. İnternet firmaları şunun kesinlikle farkındalar: bu yeni doğmuş bir bebek olan pazar alanı, gelişmesine ve dev potansiyeline rağmen, eğer tüketiciler işlem emniyeti olmayan bir yer olduğu kanısına varırlarsa daha karyolasında iken boğazlanabilir. Profili yüksek birkaç müşteriyi incitme olayı ise e-ticareti yıllarca geriye götürecektir. Bu yaz içinde Amazon.com gizlilik riskinden ağzının payını aldı. Çığır
açan rolüne ilişkin parıldayan şöhretinden ve e-ticarete kazandırdığı
mutlu müşterileri artırdıktan aylar sonra, Amazon, kendini derlenen ve açığa
çıkan, kitap okuma alışkanlıklarına dair müşteri verilerine tecavüz
etmiş vaziyette buldu. Aralarında belirli firmaların çalışanlarının da
bulunduğu bazı birbirine yakın guruplar tarafından sıklıkla satın alınan
kitapların listesini alenen yayınladı. Ünlü bir firmanın çalışanlarına
en çok satan kitap kendi CEO’su hakkındaki eleştiriler iken, diğer ünlü
bir firmanın çalışanları seks kitaplarına çok ilgi duyuyor görünümündeydi.
Amazon tarafından listelerin bir muziplik sonucu yayınlanmış olduğu
garantisinin verilmesine rağmen bu açıklama eleştiride bulunanların endişelerini
gideremedi. Bunlardan bazıları kendilerine ait olan satın alma bilgilerinin
izlenip kullanılabileceğini hayal bile etmemişlerdi. Şüphesiz, on-line müşteri etkinlikleri hakkındaki bilgiyi amacı doğrultusunda
kullanmak isteyenler arasında Amzon.com yalnız değildir. Bankalar da dahil
olmak üzere böyle bir bilgi tüm firmalar tarafından kullanılabilecektir. Bu
kullanım, tüketiciler veya işyerleri farkı gözetilmeksizin internetin gücü
ile daha uygun duruma gelir. Tüketicilerin araştırmalarının ve satın
almalarının örneklerinin analiz edilmesi olanağı servis sağlayıcılara ürünleri
düzenlemek, belirli ürünlerle ilgilenenlere müşteri bulmak, ve her bir müşteri
için paketleme ve fiyatlandırma işlemlerini en iyi biçimde yapabilme olanağı
verir. Masrafsız ve kapsamlı olarak elektronik pazarlama, cazip ürünleri ve
bunlara ilişkin hizmetleri bunları gerçekten arzu eden kişilerle buluşturarak
alıcıları ve satıcıları bir araya getirir. Maliyetler öylesine düşüktür
ki müşteri olasılıkla eski usulde olduğundan daha iyi ve ucuz hizmetler ile
işi bitirir. Ancak bu yakınlaşma, eğer internet firmaları sadece insanların
neyle ilgilendikleri ve ne satın aldıklarına dair topladıkları verileri
kullanabilirlerse çalışır. 2.Üçüncü taraf ilişkileri:
Bankalar, müşterilerinin kendi on-line partnerlerine bağlanabilmesi
için web sayfalarının tasarımlarını yapmaya başladılar. Bazıları, müşterilerine
cazip ürünler sunabilmek için, bazıları da yine müşterilerine kendi
belirleyecekleri ürünlerin en iyi fiyatlarla nerelerde bulunabileceğini araştırmaları
için web sayfalarını düzenliyorlar. İnternet, bugün gerçekten de karmaşık
ittifakları biçimlendiren ve müşteri bilgilerini aralarınada paylaşan ve
birbirlerinin müşterilerine hizmet veren firmaların oluşturduğu bir “ağ”dır.Bu
düzenlemelerin çoğunda, müşterilerin başlangıç sayfasından onun üzerindeki
linklere geçiş yaparken hangi oluşumlarla alış-verişte bulunduğu müşteriler
için berrak olmayabilir. Müşteriler bir bankanın web sitesine geldiklerinde, eğer gizlilik sorunu
ortaya çıkarsa, hatta bankanın üçüncü taraf partneri bile bir kusur işlerse,
müşteriler ve avukatları kesinlikle bankayı sorumlu tutacaklardır.
Internet, böylesi sorunlara bir köprü olacaktır. Bununla birlikte, üçüncü taraf etkinliklerine karşı tehditlere maruz
kalma internet senaryoları ile sınırlı değildir. Günümüzde bankalar,
geniş bir yelpaze üzerinde veri paylaşımı yaparlar. Müşteri gizliliği
sorunları; dış kaynaklı hizmet düzenlemelerine, ortak yatırımlara, ortak
marka ve bağlı pazarlamaya, komisyoncu ve tüccar ilişkilerine, satış
listeleri ve müşteri verilerine, ve her çeşit satıcı düzenlemelerine ilşkindir. 3.Kredi değerlendirmesi:
Gizliliğin geliştiği diğer bir kaynak da bankaların; risk yönetimi,
pazarlama ve riske dayalı fiyatlandırma için kredi değerlendirmesi ve veri
modellemeye giderek artmakta olan bel bağlamalarıdır. Bu günlerde, kredi işlemlerinde
beşikten mezara böyle teknikler kullanılıyor. Pazar bölümleme ve müşteri
hedefleme, sigortacılık, sofistike risk yönetimi sistemleri ve ilişkiye
dayalı fiyatlandırma gibi işlerde bazı uygulamalar vardır. Bankalar,
sunulacak hizmetin seviyesini ve tipini belirlemede yardımcı olması için değerlendirme
ve modelleme tekniklerini kullanıyorlar. Gitgide artarak, bu değerlendirme
yenilikleri müşteriler ve olası müşterilere dair verilerin yoğun bir şekilde
toplanıp analiz edilmesini gerektiriyor. 4.Veri araştırması ve
CRM (Customer
Relationship Management = Müşteri İlişkileri Yönetimi) : Kredi değerlendirmesinin
yaygın kullanımından sonra gelen adım tümüyle olgunlaşmış “Müşteri
İlişkileri Yönetimi” dir. Bankalar; veri ambarlarını, müşterilere dair
tamamen farklı veri tabanlarına bağlı web-tabanlı dahili intranetleri ve
yeni aracı yazılımları kullanıyor, ilişkileri kavrıyor ve sonra da her
bir müşteriye bireysel olarak yaklaşıyorlar. Bu geleneksel, üretim-silosu
odağından müşteri-merkezli yönetime doğru yön değiştirmek zaman alacaktır,
ancak onun rekabetçi gücü onu kaçınılmaz kılmaktadır. Teknoloji, verilerin neredeyse sınırsız bir şekilde ve düşük
maliyetle toplanması ve analiz
edilmesine izin verirken, bankacılığın her yönden olası gelişmesinin
kilidini de açmaktadır. Bankalar, en iyi müşterilerinin ilgisini çekmek ve
onları tutabilmek için ürünlerini müşterilerin ihtiyaçlarına uygun hale
getirebileceklerdir. Ürün sunumlarını kesin doğrulukla onları istemiş
olanlara doğru yönlendirebilecekler; müşterilere hayli etkin kanallar arasından
(internet dahil) ulaşabilecekler; ve ürünleri her bir müşterinin istemiş
olduğu yolla onlara sunabileceklerdir. Daha ileri performans gelişmeleri; müşterileri eşsiz bir doğrulukla
risk-değerlendirmesi yapma; hangi müşterilerin daha kârlı olduğunu
anlayabilme; riske ve kârlılığa dayalı teklifleri fiyatlandırma yeteneğini
kapsar. Bilgi teknolojisi de bankaların, müşteri kaybı örnekleri ve müşteri
tutmayı geliştirme konularını daha iyi anlamalarına, ve gerçek zaman esasına
dayalı eğilimleri gözlemeye ve zamanında rota düzeltmeye yardımcı olacaktır. Bu, bütünüyle ‘en iyi ürünler en iyi fiyatlarla müşteriler için’
sonucunu verecektir. Bununla birlikte, bireysel müşterilerin çoğu bir bakıma
tersine etkileneceklerdir. Ve herkes şunu göreceklerdir ki, bankacılıktaki
devrim hem banka dahili kaynaklarından hem de veri ticareti yapanlar ve
internet partnerleri gibi harici kaynaklardan kişisel bilginin, yoğun bir şekilde
toplamasını ve kullanılmasını gerektirmektedir. Gizlilik tartışması kaçınılmazdır. Bugün bir çok banka tam olgunlaşmış CRM sistemlerini kullanmaktan uzaktırlar,
ancak çoğu daha iyi çapraz satışlar, ilişki yönetimi ve kâr analizi için
veri tabanlarına bağlanmada hızlı hareket ediyorlar. Çoğu, satıcılarla
ve partnerlerle şimdiden geniş ölçüde veri paylaşımı yapıyorlar - gerçekten
onu satmıyorlarsa. Gizlilik Risklerinin Yönetimi O zaman gizlilik, bankalara dünyalar kötüsü bir risk senaryosu sunuyor
– yüksek ölçüde hasara maruz kalma, ve buna nasıl karşı konulması
gerektiğine dair berrak olmayan kurallar. Ancak menajerlerin kurumlarını
korumaları ve riskleri yönetilebilir seviyelerde tutabilmeleri için atılacak
sayısız adımlar vardır. En temel adım, FCRA (Fair Credit Reporting Act) ile uyumlu olmayı sağlamaktır.
FCRA, bankaları kendi üyeleri arasında bazı bilgilerin paylaşılmasından,
müşterilerine bu şekilde planları olduğuna ve müşterilerin “kullanılmamasını
tercih etme” izni olduğuna dair açıklamada bulunmadıkları sürece,
yasaklamaktadır. Olasıdır ki bir çok banka araştırmacılar tarafından bu alanda yakından
dikkatlice incelenmemiştir ve bir çok kurum mevcut “kullanılmamasını
tercih etme” ihtiyacı ile nasıl iyi bir uyum içinde olduklarını
bilmiyordur bile. Bu yüzden, çabucak bir FCRA uyumluluğu değerlendirmesi ilk
öncelikli olmalıdır. Diğer bir adım, genişletilmiş bir “kullanılmamasını tercih etme”
fermanına hazırlanmaktır. Müşterilere verilerin “kullanılmamasını
tercih etme” izni veren FCRA gereksinimi olasılıkla sonraki büyük gizlilik
fermanının bir mini versiyonudur: müşterilere veri kullanımı ve paylaşımı
“kullanılmamasını tercih etme” izni verme gereksinimi. “kullanılmamasını tercih etme” hakkı mantıklı görünürken, çoğu
banka onu uygulamak için harekete geçmemiştir. Sistemler, bir “kullanılmamasını
tercih etme” izni olan müşteri üzerindeki belirli verilerin başka bir veri
tabanına kaymayacağını, örneğin, diğer müşteri kayıtlarının akmaya
devam etmesini temin ederken, garanti etmelidirler. Bunun banka dahilinde
titizlikle yürütülmesi zordur, üçüncü taraf partnerler ve satıcılardan
bahsetmeye gerek yoktur. Ve henüz cevabı olmayan bir sürü uygulama sorusu
vardır. Eğer bir müşteri hesap açarken “kullanılmamasını tercih etme”
hakkını kullanmazsa, ancak ikinci bir hesapta bazı bilgilerin paylaşımı
olduktan sonra bu hakkını kullanırsa, ne olur? Eğer müşteriler verilerin
birazının kullanılmaları için haklarını kullanıp diğerleri için
kullanmazsa, veya bazı veri tipleri için kullanır diğerleri için
kullanmazsa ne olur? Kurallar, veri tiplerine ve işyeri düzenlemeleri
tiplerine dair tariflerden doğacak olan bu sınırsız sayıdaki sorunlarla nasıl
baş edecektir? Yasalarla veya yasalar olmaksızın, bankaların bilgi teknolojisi
departmanları veri paylaşımı düzenlemeleri tayfı içinden akan müşteri
bilgilerini değiştirip bloke etme güçlerini değerlendirmelidirler. Bu arada, yasal uyum ve denetleme personeli üçüncü taraf riskine hitap
etmelidir. Bankalar, satıcıların ve partnerlerin banka ilişkileri ile elde
ettikleri müşteri verilerini koruduklarından emin olmalıdırlar.
Partnerlerin kendi başka partnerleri ile onların satılması, kötü amaçla
kullanılması, veya korumasız bırakılması anlamında veri paylaşımı
yapmaları engellenmelidir. Ve sözleşmeler, ne yazık ki yeterli değiller.
Bankalar, partnerlerinin söz vermiş oldukları korumalara dair uygulamalarını
gözlemlemelidirler. Gizlilikte başarısız olunursa ve bir banka fotoğrafın
herhangi bir yerindeyse, bu banka, kendini birbirini takip eden davaların içinde
bulmaya ve reklam edilmeye hazır olmalıdır. Yıpratıcı biçimdeki reklam olma ve dış müdahale ihtimali
artmaktayken, inisiyatifi ele alıp gönüllü olarak sorunlara hitap edecek bazı
adımlar atmak da iyi bir fikirdir. Riskler yüksek ve kurallar her yöne çekilebilir
veya alakasız olduğunda, bankaların savunmada kalmayı hedefleyen bir risk yönetimi
stratejisine gereksinimleri vardır. Müşteriler giderek artan bir şekilde böyle politikalar istiyorlar. İnternetin
başlıca oyuncuları bunları partnerlerinden ve müşterilerinden talep
ediyorlar. Endüstri grupları ve devlet daireleri bunları güçlü bir şekilde
destekliyor, en azından kısmen de olsa daha acımasız kuralların yerine.
Yasal olarak gerek duyulmasa da, koruma politikalarının etkin bir şekilde
gerekli olacağı bir noktaya yaklaşıyoruz. Gönüllü olarak gizlilik politikaları uygulayacak bankaların gerçekçi
olduklarını kontrol etmeye gereksinimleri vardır: gerçekten de dediklerini
yapabilirler mi? Pazarlamacıların ve uyumluluk sağlayacak kişilerin ön uçtaki
tüketicilere ne söylemek istedikleri ile arka tarafta sistemin gerçekten ne
yaptığı arasındaki potansiyel kopukluk risklerle yüklüdür. Son olarak, bankaların gizlilik-bilinci kültürünü yapılandırmaya
gereksinimleri vardır. Gizliliğin etrafındaki
haritası çıkarılmamış riskler bir uyumluluk görevi olarak yönetilemez.
Bankalar müşterileri kazanacak ve onların güvenini koruyacak gizliliği
onlara sunmak zorunda kalacaklardır.
|
