Data en digitale gegevens
Data en digitale gegevens nemen een steeds grotere vlucht, en spelen daardoor een steeds belangrijkere rol on ons leven. Denk alleen al aan The Internet of Things. De voorspellingen zijn dat er in 2020 rond de 50 miljard (!) slimme apparaten aan het internet hangen. En al die apparaten produceren ook nog eens een veelvoud aan data.
Dus wordt de rol van Privacy & Security ook steeds belangrijker. Het is tegenwoordig dagelijks nieuws. Denk aan geniepige cyberaanvallen als Wannacry en Petya, waarbij op grote schaal software en data zijn gegijzeld. Maar ook aan knullige beveiligingsincidenten omdat iemand een stickje met gevoelige data in de trein heeft laten liggen, of omdat een bepaalde instantie haar eigen naam met de toevoeging ‘01’ als wachtwoord blijkt te hanteren voor bedrijfskritische systemen.
Onderschat de privacywetgeving niet
Privacy & Security zijn wettelijk gereguleerd. Of je het nu leuk vindt of niet. Nu moeten we het nog doen met de Wet Bescherming Persoonsgegevens, maar per 25 mei 2018 geldt de Europese Algemene Verordening Gegevensbescherming (AVG). En als Nederlandse waakhond ziet de Autoriteit Persoonsgegevens (AP) toe op de naleving van de privacywetgeving.
Onderschat de privacywetgeving of de slagkracht van de AP niet. Er zijn heel wat partijen die dat eerder wel hebben gedaan, die daar bepaald niet altijd blij van geworden zijn. Ik haal er een paar voorbeelden uit die draaien om: (i) wanneer zijn gegevens persoonsgegevens, (ii) toestemming om gegevens te gebruiken, en (iii) de meldplicht datalekken.
Wanneer zijn gegevens persoonsgegevens?
Op de vraag of data überhaupt ‘persoonsgegevens’ zijn in de zin van de privacywet, heeft Equens (één van de grootste pinbetalingsverwerkers van Europa) zich volledig vergaloppeerd. Equens had het – in mijn ogen: briljante – plan opgevat om geaggregeerd pingedrag van consumenten aan retailers te verkopen. Omdat de gegevens tot op postcode-niveau werden geaggregeerd, was er geen sprake van persoonsgegevens, zo luidde de redenering. Maar daar sloeg Equens de plank toch echt volledig mis. Als gegevens indirect herleidbaar zijn tot persoonsgegevens, geldt de privacywetgeving namelijk gewoon. Daarom zijn telefoonnummers, IP-adressen, MAC-adressen en locatiegegevens allemaal ‘persoonsgegevens’ in de zin van de wet. Onthoud dit dus asjeblieft: ook al weet je zelf niet precies wie iemand is op basis van je eigen data, het kunnen wel degelijk persoonsgegevens zijn in de zin van de wet.
Waarom verwerk je data?
Dan de zogenaamde “grondslag” van de gegevensverwerking. In lekentaal: waarom verwerk je data eigenlijk? Dat is niet schoolmeesterig bedoeld, maar bedank dat dat niet altijd zomaar mogelijk is. De wet somt de grondslagen limitatief op. Een belangrijke grondslag is ‘toestemming’. Deze dient ‘expliciet en ondubbelzinnig’ gegeven te worden. Hier zijn Facebook en WhatsApp recent hard op aangepakt. WhatsApp omdat zij gegevens van haar gebruikers aan moederbedrijf Facebook verstrekte – terwijl Facebook bij de overname van WhatsApp nota bene plechtig had beloofd dit nooit te zullen doen. En Facebook is zelf aangepakt op haar gebruik van gegevens van Facebookers voor gerichte advertenties. In beide gevallen heeft de AP geoordeeld dat de gevraagde toestemming niet deugt. Dus mijn advies is: stop die toestemming niet te ver weg of hou ‘m niet te vaag. In het verlengde hiervan speelt overigens nog de zogenaamde ‘scopecreep’: dit betekent dat gegevens later gebruikt worden voor doeleinden waarvoor ze oorspronkelijk eigenlijk niet vergaard zijn. Dat zie je veel bij big data. Ook hier opletten dus.
Meldplicht datalekken
Een derde aandachtspunt is de meldplicht datalekken. Die komt kort gezegd hierop neer: is er sprake van een beveiligingsincident waarbij je niet kunt uitsluiten dat persoonsgevens onrechtmatig gebruikt kunnen worden, dan moet je dit bij de AP melden. Ga je qua beveiliging de mist in, of je meldt een datalek niet dat je wel had moeten melden, dan kan de AP boetes tot wel EUR 820.000 opleggen. “Serious shit” dus. Gelukkig leven we in het cloud-tijdperk, en komt het in de praktijk veelal neer op het maken van goeie afspraken met je cloudprovider. En die heeft natuurlijk ook een commercieel belang bij het goed beveiligen van data.
Privacy & Security als unique selling point
Betekent dit alles dat er bijna niets kan of mag zodra Privacy & Security om de hoek komen kijken? Nee, zeker niet. Ik ben zelf een groot fan van digitale ontwikkelingen en innovaties. Maar denk niet te lichtzinnig over Privacy & Security. Belangrijkste tip: wees transparant en informeer gebruikers over wat je met hun data doet. Dat is waar de AP ook nadrukkelijk naar kijkt. En jokkebrokken tegen de AP wordt hard afgestraft, ook in de media. Daar kan Fit for Free je alles over vertellen. Ook in privacyland geldt: eerlijkheid duurt het langst. En ik ben ervan overtuigd dat je hier ook commercieel gezien uiteindelijk ver mee kunt komen. Heel ver. Zie Privacy & Security daarom vooral als een kans en een ‘unique selling point’, in plaats van als een noodzakelijk kwaad. Vandaar: leve Privacy & Security!
Blog tevens gepubliceerd op SIDNFonds.nl