Data privacy: geen ’18, geen boete’

networking-1626665_960_720Het Internet of things (IoT) is bezig aan een enorme opmars. Tegelijkertijd groeit het wantrouwen van menig consument over de impact van deze slimme producten op de privacy. In deze wereld van big data vraag je je af of wetgeving onze privacy voldoende beschermt, welke voorwaarden worden gesteld aan de beveiliging van cloudnetwerken, en wat we in de toekomst mogen verwachten.

Eind september ontving ik op onze buurtapp de dringende boodschap van een buurvrouw om toch zo snel mogelijk de instelling van WhatsApp te wijzigen zodat contactgegevens niet in de toekomst door Facebook worden gebruikt om haar gerichte advertenties voor te schotelen. Wel een beetje naïef eerlijk gezegd, want in de cloud wordt al lang allerlei data met elkaar verbonden. U herkent zelf de voorbeelden.  Zo kreeg ik onlangs bij het verzenden van mail in Outlook 365 in de cloud, prompt een vriendschapsverzoek op Facebook van de collega die ik daar juist had gemaild. Thuis werd op het YouTube-kanaal reclame getoond van een specialist in elektrotechnische meetapparatuur. Hoe wist YouTube toch .…..  Met andere woorden:  slimme algoritmes in de cloud stellen bedrijven  in staat om relevante informatie uit ruwe data te genereren die we aan het internet hebben toevertrouwd.

Wet Bescherming Persoonsgegevens

Facebook, YouTube en LinkedIn gebruiken steeds betere segmentatiemodellen waarmee waarmee doelgroepen nog beter in kaart gebracht worden voor reclamedoeleinden. Dit is een belangrijke trend die al langer speelt. Dus laten we nu niet denken, zoals mijn buurvrouw, dat we deze ontwikkeling kunnen tegenhouden.  De vraag moet eerder zijn wat het maximaal toelaatbare is zonder dat onze privacy wordt geschonden.  Als basis kunnen we terugvallen op de universele verklaring van de rechten van de mens uit 1948 die privacy als universeel recht beschrijft. Maar in die tijd was nog geen sprake van big data-profilering waaruit af te leiden valt of iemand bijvoorbeeld  werkt of werkeloos is, op de zaak of thuis is, veel of weinig energie verbruikt, etc.  Biedt de overheid dan houvast? Helaas, de Wet Bescherming Persoonsgegevens (WBP) stelt slechts dat in het publieke domein informatie als bijvoorbeeld camerabeelden maar maximaal 4 weken mag bewaren, maar zegt niets over het private domein. En juist in het private domein komen nu allerlei intelligente producten in huis die data registreren en opslaan.

Algemene Verordening Gegevensbescherming

Gelukkig heeft de Europese Gemeenschap niet stilgezeten. Vanaf mei van dit jaar is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Hierin zitten o.a. de volgende elementen:

  • Er is duidelijke toestemming nodig van gebruikers voor gegevensverwerking.
  • Er dient duidelijke informatie te worden verstrekt over de verwerking van de gegevens.
  • Er mag slechts beperkt gebruik worden gemaakt van automatische gegevens verwerking (dataprofiling).
  • Consumenten moeten gemakkelijk toegang hebben tot de persoonsgegevens.
  • Consumenten hebben recht op het corrigeren en verwijderen van gegevens.
  • Consumenten hebben het recht op overdracht van zijn/haar gegevens naar een andere dienstverlener.

 
security-1202344_960_720

Een jaar na de inwerkingtreding, vanaf mei 2018, is deze verordening verplicht en kunnen bedrijven hierop worden aangesproken. Bij niet naleving kunnen boetes worden opgelegd  tot 20 mio € of maximaal 4% van de jaaromzet. Behalve reputatieschade dan dus ook een fikse boete. Wel iets om rekening mee te houden. Vanuit een IT-insteek is Privacy by Design een belangrijke ontwikkeling. Hier wordt privacy als uitgangspunt genomen bij het ontwerpen van informatiesystemen in plaats van een aspect wat achteraf moet worden toegevoegd.

Op het gebied van privacybescherming bestaat er dus een relatie tussen klant en leverancier. Data mag niet worden misbruikt door de leverancier, de leverancier zal zijn uiterste best doen dat deze gegevens goed worden beveiligd, zal de data niet aan 3e partijen beschikbaar stellen, en de gebruiker zal zich maximaal inzetten om te voorkomen dat zijn intelligente producten worden gehackt (denk o.a. aan passwordbeheer). Ook de tussenpartijen zoals een installateur die deze slimme producten installeert heeft de verantwoordelijkheid om zorgvuldig om te gaan met hun administratorrechten.

Wat kan ons als leveranciers en installateurs houvast geven om deze slimme producten conform de AVG toe te passen? Op dit moment is er een ISO /IEC standaard 27001 die beschrijft hoe leveranciers cloud-informatie moeten beveiligen. Daarnaast is er het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) die een sturende rol heeft bij het tegengaan van  cybercriminaliteit. Zij geven onder andere adviezen over het beveiligen van smart homes.

En nu?

In de toekomst zullen we er dus gezamenlijk voor moeten zorgen dat de consument ook binnen het private domein recht heeft op enige vorm van privacy, en dat we dit conform Europese verordeningen duidelijk afbakenen. Hiervoor zullen privacybevorderende technologieën worden ontwikkeld om big data gedeeltelijk te anonimiseren, waardoor niet alle gegevens zijn te herleiden tot individuen. En vervolgens zal de overheid deze technologie-push aangrijpen om wetgeving aan te scherpen van het publieke domein maar ook van het private domein. Tot die tijd zal de consument  zijn comfort, gemak en veiligheid moeten afwegen tegen privacy-inbreuk in zijn 1 op 1 relatie met de producent. En die afweging zal voor de jongere generatie heel anders uitpakken dan voor mijn buurvrouw van begin 60.

 


Over de auteur: Frans Spijkers

Frans Spijkers is als marketeer al meer dan 20 jaar actief in de bouw- en installatiebranche. Vanuit zijn rol als digital officer is hij specifiek betrokken bij verschillende digitaliseringsprojecten binnen Legrand Noord Europa, als ook daarbuiten. Hij is lid van het Bouwkennis Marketing Installatie Platform, vertegenwoordigt Legrand binnen de FEDET op het vlak van digitalisering en is bestuurslid van Ketenstandaard Bouw & Installatie.

Geef een reactie