Management

Privacy
Wees maar niet gerust op privacy

Privacy? Wees er maar niet gerust op

Wat is de impact van de Algemene Verordening Gegevensbescherming (AVG) ofwel de General Data Protection Regulation (GDPR)?

© CCO / Pixabay Michael Gaida
6 december 2017

Wat is de impact van de Algemene Verordening Gegevensbescherming (AVG) ofwel de General Data Protection Regulation (GDPR)?

Ondanks goede intenties van overheid en bedrijfsleven zijn datalekken, identiteitsfraude en ander gegevensmisbruik aan de orde van de dag. Krijgen mensen ooit weer grip op privacy?

In het digitale tijdperk is privacy dood, hoor je sommigen wel eens zeggen. We ‘betalen’ gratis onlinediensten met informatie over onze interesses en leefomgeving en delen persoonlijke gegevens klakkeloos met overheden, banken en instellingen. De hoop is dat zij er netjes mee omgaan, maar gerust zijn we niet. Datalekken, identiteitsfraude en ander digitaal misbruik zijn aan de orde van de dag.

Het thema privacy roept veel vragen op, zowel bij particulieren als bij organisaties en overheden. Hoe zorgen we dat databeveiliging beter wordt? Wie heeft het eigendom van digitale persoonlijke gegevens die je deelt? Hoe gaan organisaties om met deze gevoelige informatie? Hoe helpt overheidsbeleid daarbij? Wat is bijvoorbeeld de impact van de Algemene Verordening Gegevensbescherming (AVG) ofwel de General Data Protection Regulation (GDPR)?

Datalekken

Met grote regelmaat verschijnen berichten over digitale privacyschendingen en cybercrime. Grote klappers als de zogeheten Baby-dump-hack (gegevens van ruim 500 Nederlanders) en de hack bij het Groene Hart Ziekenhuis (medische gegevens van een half miljoen mensen) worden afgewisseld met nog veel grotere datalekken, zoals die van Yahoo (gegevens van 3 miljard gebruikers) en Equifax (gegevens van 143 miljoen Amerikanen). Het gebeurt zo vaak, dat we er bijna niet meer van opkijken.

De meeste datalekken blijven echter onopgemerkt bij het grote publiek. Het betreft vaak vertrouwelijke data op een gestolen laptop, een verloren usb-stick of in een mailtje dat per ongeluk naar het verkeerde adres is verzonden.

Verantwoordelijkheid

Datalekken zijn vaak het gevolg van fouten van eigen personeel dat onvoldoende zicht heeft op de eigen verantwoordelijkheid met betrekking tot digitale veiligheid. Meer bewustwording van de gevaren en van de IT security zou kunnen helpen.

Het blijkt dat twee op de drie medewerkers van grote organisaties de dupe van een aanval met interne oorzaak zijn. Werknemers, freelancers of zakelijke relaties met toegang tot de interne ICT-infrastructuur, die bijvoorbeeld vertrouwelijke documenten naar externe contacten of privé e-mailadressen sturen. Verlies van laptops en mobiele opslagmedia zoals geheugensticks, en het onbedoeld lekken van inloggegevens door phishing of malware behoren hier ook toe.

GDPR

Om organisaties te dwingen bewuster met persoonsgegevens om te gaan en de risico’s van dataverlies te beperken, stelde de Europese Unie in 2016 de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze privacyregelgeving, meestal aangeduid met zijn Engelstalige afkorting GDPR, wordt op 25 mei 2018 van kracht.

Benauwd voor enorme boetes, bereiden organisaties zich koortsachtig voor op de GDPR. De meesten moeten een privacy impact assessment (PIA) uitvoeren en een privacy officer aanstellen. Ze werken aan naleving, governance en bewustwording in alle lagen van de organisatie en zetten hun privacybeleid, -procedures en -processen op papier. Ook moeten ze de locatie, vorm en inhoud van de opgeslagen data identificeren. Wat zijn het voor gegevens, wie mag ze bewerken en hoe kun je ze op verzoek van de consument verwijderen? Gegevensversleuteling (encryptie) is voor veel organisatie een eerste noodzakelijke stap voor compliance. Je voorkomt ermee dat onbevoegden gelekte data daadwerkelijk kunnen gebruiken of openbaar maken.

Sleepwet

Hoewel de Nederlandse overheid met de GDPR hamert op de verantwoordelijkheid van organisaties die persoonsgegevens opslaan en bewerken, wil zij ook gebruikmaken van data die vrijelijk over het internet bewegen. Herziening van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook bekend als de tap- of sleepwet, moet dit mogelijk maken. De omstreden wetswijziging geeft opsporingsdiensten de bevoegdheid om internetverkeer te onderscheppen, ook alle data van niet-verdachten.

Er is veel weerstand tegen deze wijze van informatievergaring. Bovendien hebben de opsporingsdiensten nog niets geregeld met internetaanbieders voor de technische realisatie.

Privacy Shield

Aangezien veel Europeanen persoonlijke gegevens delen met Amerikaanse leveranciers, zijn ook goede privacy-afspraken met Washington noodzakelijk. Sinds juli 2016 is daarvoor het zogeheten Privacy Shield opgetuigd. Dat is de opvolger van de Safe Harbor-afspraak, die een jaar eerder door het Europese Hof nietig werd verklaard.

Bij de nieuwe regeling kent de Amerikaanse overheid certificaten toe aan bedrijven die Europese consumenten een basisniveau van privacy bieden en deze mensen in staat stellen een klacht in te dienen bij vermoedens van privacyschending. Ook is vastgelegd dat Amerikaanse opsporingsdiensten bij ondernemingen in de VS niet zomaar de gegevens van Europese klanten kunnen opvragen. Ruim 2500 bedrijven, waaronder Facebook, Google, Microsoft en Salesforce, maar niet Apple, passen het ‘schild’ toe. Volgens de Europese Commissie functioneert de transatlantische afspraak goed, hoewel de uitvoering beter kan.

Controle over data

Iemand die zich regelmatig kritisch uitlaat over het gebrek aan online privacy, is Sir Tim Berners-Lee, grondlegger van het world wide web. Het verlies van de controle over persoonlijke gegevens is zorgelijk, vindt hij. Mensen weten volgens hem niet wat bedrijven over hen verzamelen en wat ze daarmee doen. Ze kunnen niet zelf bepalen met wie ze welke gegevens wel of juist niet willen delen. Om burgers meer controle te geven, pleit Berners-Lee voor een soort digitale kluizen ('data pods') waarin mensen zelf bepalen welke persoonsgegevens beschikbaar zijn en wie welke data kan inzien.

Het is duidelijk dat over privacy het laatste woord voorlopig nog niet is gezegd. Met de razendsnelle ontwikkeling van technologie die gebruikmaakt van data, of het nu gaat om artificial intelligence, het internet of things of mobile banking, zal privacy waarschijnlijk altijd een belangrijk discussiepunt blijven.

Lees meer over
Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.