Datagedreven besluitvorming bij Adyen

Als betalingsverwerker werkt Adyen al sinds haar ontstaan met gevoelige data. Daardoor is Adyen altijd voorzichtig omgegaan met data, op een veilige manier, legt Melody Barlage, Product Manager Business Intelligence bij Adyen, uit. Hetzelfde geldt voor de, misschien minder gevoelige data, die ze later aan hun database hebben toegevoegd. Tijdens de DDMA Digital Analytics Summit vertelt Melody over hoe Adyen omgaat met de data die ze verwerken. In dit interview, afgenomen voor een aflevering van de Life After GDPR-podcast (door Rick Dronkers), gaf ze ons alvast een klein voorproefje.

Over Melody: Melody is Product Manager Business Intelligence bij Adyen. Samen met haar team overziet en faciliteert zij alle data analisten binnen de organisatie. Melody spreekt op de DDMA Digital Analytics Summit 2022 op 13 oktober.

Via Webanalisten.nl kun je nu kaarten kopen voor dit congres met 20% korting!

Verschillende lagen van beveiliging

Op dit moment heeft een groot deel van de wereld een betaling gedaan via Adyen. De betalingsverwerker heeft dan ook veel gevoelige gegevens in huis, horen we critici vaak zeggen. Het is echter goed om te weten dat al die gegevens niet van Adyen zijn, maar van de klanten die ze bedienen, stelt Melody: ‘Wij zijn er alleen om de data te verwerken en veilig te bewaren. We gebruiken ze intern uitsluitend om onze processen te verbeteren en om te rapporteren aan regelgevende instanties, maar dat is het dan ook. Omdat we enorme hoeveelheden gevoelige gegevens verwerken, doen we natuurlijk alles wat in ons vermogen ligt om datalekken te voorkomen. Mocht dit in de toekomst toch gebeuren, dan zijn die gegevens altijd getokenized of gehashed.’;

‘Voor de rest werken we altijd met gehashte betalingsreferenties. Ook worden veel gegevens samengevoegd. Niet alleen vanwege privacyoverwegingen, maar ook vanwege de enorme hoeveelheid gegevens die we verwerken. Wanneer gegevens in Looker – onze datamodellering- en datavisualisatietool – terechtkomen, voegen we nog een extra beveiligingslaag toe, allemaal om ervoor te zorgen dat niemand binnen Adyen toegang kan krijgen tot gegevens waartoe ze geen toegang zouden moeten hebben. Tot slot wordt iedereen binnen Adyen beschouwd als een security officer. Iedereen moet zich altijd afvragen of de data die ze hebben wel echt nodig is voor wat ze doen en wat ze beogen te doen.’

Die mindset is er al vanaf het begin van Adyen, zegt Melody: ‘Zoals je je kunt voorstellen, zijn gegevens over online marketing, Google Analytics of de tracking op onze website voor ons niet zo belangrijk als voor e-commercebedrijven. Vanaf het begin zijn wij al bezig met meer gevoelige gegevens. De type gegevens die we daarna hebben toegevoegd, hebben we altijd op dezelfde wijze behandeld – ook al zijn ze minder belangrijk voor ons. Wij beschouwen uiteindelijk alle gegevens als waardevol, ook al zijn niet altijd even gevoelig.’

Fraude en regelgeving

Wereldwijd zijn er verschillen in wat is toegestaan qua verwerking van data, bijvoorbeeld tussen de VS en de EU. En omdat Adyen over de hele wereld actief is, nemen ze lokale regelgeving heel serieus; ze hebben kantoren over de hele wereld, ieder beschikkend over lokale expertise. Dat heeft uiteraard gevolgen voor de lokale dienstverlening van Adyen. Melody: “We hebben producten die je in sommige delen van de wereld voor commerciële doeleinden zou kunnen gebruiken, maar in andere delen niet vanwege de regelgeving. Regels voor toestemming kunnen bijvoorbeeld heel verschillend zijn. Maar in sommige gevallen is toestemming niet altijd nodig. Dit is duidelijk het geval wanneer het gaat om chargeback-gegevens afkomstig van frauduleuze transacties. Er is veel meer mogelijk met deze gevallen dan om commerciële redenen. Wij zijn zelfs verplicht om dit soort verdachte transacties te melden bij de Financial Intelligence Unit (FIU).’

Om die reden zijn er bij Adyen veel maatregelen om verdachte, financiële activiteiten te ontdekken. Melody: ‘Als er sprake is van een verdachte transactie, dan markeren we die en – indien nodig – geven we die door aan de autoriteiten. Maar dat doen we niet alleen op basis van transacties. Soms worden transacties pas verdacht in hun context. Bij Chanel is een transactie van 50K vrij normaal. Als dit echter 20 keer achter elkaar gebeurt is dit wel verdacht.’

On-premise software als USP

Looker is de datamodellering- en datavisualisatietool van Adyen. Adyen heeft momenteel zo’n 200 ontwikkelaars die in ieder geval gedeeltelijk bezig zijn met het maken van modellen en datavisualisatie in Looker, legt Melody uit: ‘Een deel van de reden dat we voor Looker hebben gekozen is dat we proberen zoveel mogelijk on-premise en open source te draaien. Daarnaast kun je met Looker op een goede manier toestemming beheren. Je kunt er dus elke datavisualisatie mee draaien én dus instellen wie die welke visualisaties mag zien.’

De belangrijkste reden voor de keuze van on-premise software is niet willekeurig. Natuurlijk, het bevordert de performance, maar er is ook voor gekozen vanwege privacy- en veiligheidsredenen. De keuze ligt in lijn met alle andere on-premise activiteiten van Adyen, legt Melody uit: ‘Voordat merchants met clouddiensten gingen werken, was onze on-premise manier van werken eigenlijk een van onze unique selling points. We konden onze klanten vertellen dat we al die we verwerkten gegevens in huis hielden. Tegenwoordig maken merchants gretig gebruik van clouddiensten, dus we zullen moeten afwachten hoe deze aanpak zich in de toekomst gaat ontwikkelen.’

Tools, processen en richtlijnen zijn context-gedreven

Bij Adyen werken ze met enorme hoeveelheden data. Uiteraard hebben ze een passende tech-stack gebouwd om met deze data om te gaan, legt Melody uit: “Tot op zekere hoogte zijn we gebonden aan bepaalde tools, zoals het Hadoop Spark framework. Dat is geweldig voor het opslaan van enorme hoeveelheden gegevens. We werken ook met Trino.io, een soort query-on-everything engine, die onze nieuwe connector gaat worden tussen Spark en Looker. We maken ook steeds meer gebruik van Druid, een soort database, die inflexibel, maar supersnel query’s mogelijk maakt. Toch moet je in gedachten houden dat onze stack-opbouw allemaal gebaseerd op context. Je tech set-up moet je echt laten afhangen je eigen bedrijf. Uiteindelijk komt alles erop neer dat je ervoor moet zorgen dat iedereen de juiste data kan vinden die ze nodig hebben om hun werk te doen en dat die data van goede kwaliteit is. Met momenteel 2500 medewerkers zitten we nog steeds in het proces om dit te professionaliseren door steeds meer regels op te leggen.’

Adyen’s 20X mindset

De ontwikkelaars van Adyen weten dat het werk dat ze doen zeer gevoelig is. Ze willen immers niet dat transacties mislukken, merkt Melody op. ‘Dit is de reden waarom onze ontwikkelaars het normaal vinden om onze richtlijnen strikt te volgen, om ervoor te zorgen dat producten duurzaam zijn.’

Sommigen zouden erop kunnen wijzen dat het moeilijk is om toekomstige doelen na te streven als je zo voorzichtig bent in je bedrijfspraktijk als Adyen. Toch mikken ze volgens Melody hoog: ‘In ons team wil ik een 20X mindset bereiken, waarbij we ons continu afvragen hoe we willen werken als we 20 keer meer ontwikkelaars hebben, of 20 keer meer klanten, et cetera. Hoe zorgen we ervoor dat we een gebruiksvriendelijke omgeving hebben voor iedereen in de organisatie met alles 20 keer meer dan we nu hebben?

De aanwezigheid van deze mentaliteit varieert van team tot team. We beheren het door teams zoals de mijne te hebben, met centraal overzicht. Maar belangrijker is dat futuristisch echt in ons bedrijf verankerd zit, en dat dit gestimuleerd wordt. Als iemand iets belangrijks vindt, kan diegene dat op zich nemen en gaan doen, ongeacht waar en in welke functie deze persoon actief is. Als je een goed verhaal hebt, mag je het gaan uitvoeren.’

Technologie laten werken is makkelijk, mensen laten samenwerken is de uitdaging

Er wordt weleens geroepen dat het implementeren en laten werken van technologie makkelijk is. Ja, het vergt veel werk, maar uiteindelijk lukt het organisaties doorgaans altijd. Het zijn de mensen en hoe ze samenwerken die vaak de echte uitdaging vormen. Veel organisaties worstelen hiermee, stelt Melody: ‘Vooral in grote ondernemingen, waar discussies over het centraliseren of decentraliseren van teams regelmatig aan de orde komen, is dit het geval. Ook bij Adyen hadden we op een gegeven moment zoveel datamensen dat we besloten om ze te decentraliseren.

Maar zoals ik al eerder zei, het komt er ook op aan wat werkt voor je organisatie. Het heeft zeker te maken met het aantal mensen, maar ook met het soort data waar je mee werkt. Wat ook belangrijk is: je moet je aanpassen en leren. Het voordeel voor ons is, omdat we vrij flexibel zijn, dat we niet zo bang zijn om dingen helemaal om te gooien.’

Op 13 oktober spreekt Melody op de DDMA Digital Analytics Summit in Amsterdam. Ze zal een voorproefje geven van hoe Adyen data gebruikt. Ze zal een aantal praktijkvoorbeelden geven en ingaan op hoe ze die hebben georganiseerd en hoe ze die hebben laten werken. Ze belicht Adyen’s dataverwerkingen ook vanuit een technisch perspectief, vooral omdat hun big data platform erg indrukwekkend is. Tickets met 20% korting zijn verkrijgbaar via deze webanalisten.nl link.