-

Data Privacy Day: een vooruitblik op privacy in 2016!

Happy Data Privacy Day 2016! Jaren geleden, op 28 januari 1981 om precies te zijn, stelde de Raad van Europa haar leden in staat om vanaf die dag de ‘Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data’ te ondertekenen. Dit verdrag is een van de eerste aanzetten tot de huidige regelgeving rondom privacy in Europa.

Nog steeds wordt daarom jaarlijks 28 januari aangegrepen om aandacht te vragen voor privacy en de bescherming van persoonsgegevens. De vraag rijst of dat nodig is, gezien hoeveel privacy momenteel in het nieuws is zeker nu net op 1 januari de meldplicht datalekken ingegaan is en de tekst voor de aankomende Algemene Verordening Gegevensbescherming rond is. Maar wellicht is dit wel een goed moment om vooruit te blikken naar wat er dit jaar allemaal op het gebied van privacy zal gaan spelen.

  1. Gegevensuitwisseling met de VS in gevaar

Een strijd is gaande tussen Europa en de VS met betrekking tot de bescherming van persoonsgegevens. In 2016 wordt die ontketende strijd naar verwachting in alle hevigheid doorgezet, met als een van de mogelijke uitkomsten dat persoonsgegevens niet meer vanuit de EU naar de VS mogen worden gebracht. Wat is er allemaal aan de hand?

In oktober 2015 werd het Safe Harbor-programma – dat een juridische basis vormde voor het verzenden van data van Europa naar de VS – door het Europese Hof van Justitie ongeldig verklaard. Reden voor de ongeldigverklaring was volgens het Hof dat het privacybeschermingsniveau in de VS praktisch gezien zwaar onvoldoende is: het is aannemelijk dat allerlei onderdelen van de Amerikaanse overheid zich toegang verschaffen tot gegevens van Europese individuen zonder dat die individuen ook maar enige vorm van rechtsbescherming hebben.

De ongeldigverklaring van Safe Harbor leidde ertoe dat de onderhandelingen over ‘Safe Harbor 2.0’ opeens heel urgent werden: een verstevigde Safe Harbor-overeenkomst met daarin een veel hoger beschermingsniveau is dringend gewenst. De onderhandelingen zijn een prima ontwikkeling, ware het niet dat zij op gespannen voet staan met een lopende rechtszaak van het Amerikaanse Ministerie van Justitie tegen Microsoft. In het kader van een strafrechtelijk onderzoek dwingt Justitie Microsoft e-mails af te geven, welke op een server in Ierland staan. Microsoft beargumenteert dat Justitie eerst een verzoek moet neerleggen bij de Ierse autoriteiten. Het Ministerie van Justitie stelt echter dat zij het recht heeft om e-mails op te vragen in de VS, omdat Microsoft een Amerikaans bedrijf is. Het is volgens Justitie niet relevant dat de e-mails zijn opgeslagen in Ierland.

Indien de uitspraak in het voordeel van Justitie uitvalt – en dat is best aannemelijk, aangezien twee lagere rechters justitie al in het gelijk hebben gesteld – dan komt Safe Harbor 2.0 waarschijnlijk in gevaar. Een gunstige uitspraak voor Justitie zou namelijk volgens critici eens te meer bewijzen dat er een gapend gat ligt in de VS met betrekking tot het privacybeschermingsniveau. De uitkomst van deze zaak zal niet alleen de toekomst van Safe Harbor 2.0 bepalen, maar heeft ook effect op andere Amerikaanse bedrijven welke gevestigd zijn buiten de VS. Consumenten en organisaties zullen dan steeds bewust moeten zijn van het feit dat hun data, hoewel opgeslagen buiten de VS, alsnog door de Amerikaanse autoriteiten ingezien kan worden. Een massa-verschuiving van data zou wel eens een van de voornaamste uitwassen kunnen zijn van deze ontwikkeling.

  1. De blockchain

De blockchain is aan een opmars bezig! De verwachting voor 2016 is dat blockchain in toenemende mate gebruikt zal worden om overeenkomsten te verifiëren, waardoor een inzichtelijker en betrouwbaardere manier van het opslaan en authentiseren van transacties mogelijk is.

De blockchain kan gezien worden als een keten van blokjes met data, waaraan alleen nieuwe blokjes kunnen worden toegevoegd. Dit is een groot voordeel omdat wanneer er een fout in staat deze slechts kan worden verbeterd door in een latere block een correctie uit te voeren. Alle transacties blijven hierdoor zichtbaar, waardoor fraude erg lastig is. Daarnaast is er geen centrale instantie die de inhoud van de blockchain kan aanpassen, omdat elke gebruiker van de blockchain er een volledig exemplaar van heeft op zijn computer. Door de hoge mate van betrouwbaarheid zou de blockchain voor meer toepassingen ingezet kunnen worden, zoals inschrijving van contracten.

Omdat gegevens in de blockchain alleen toegevoegd en niet verwijderd kunnen worden, dient nog wel nagedacht te worden hoe het zit met privacy in de blockchain. Kan er sprake zijn van afdoende privacybescherming indien alle gegevens in de blockchain voor altijd bewaard worden en indien alle transacties voor iedereen zijn in te zien? Dit lijkt op gespannen voet te staan met het ‘right to be forgotten’ van individuen en met hun recht op controle over hun eigen persoonsgegevens.

Blockchain technologie biedt veel mogelijkheden, maar in 2016 zal ook de integratie van privacy in de blockchain plaats moeten vinden, om te zorgen dat het een echt wereldwijd succes wordt. Eerste aanzetten daartoe zijn al gegeven en zullen verder moeten worden uitgewerkt.

  1. Persoonsgegevens als valuta

Op zich is het niets nieuws: je krijgt een dienst gratis of met korting aangeboden en in ruil daarvoor geef je een organisatie toegang tot je persoonsgegevens. Noem het maar de ‘monetisatie’ van persoonsgegevens. Dit werkt al jaren voor allerlei internetdiensten zoals e-mail en sociale netwerken, maar ook voor korting op boodschappen. Wat wel een nieuwe trend lijkt is dat individuen meer controle krijgen over dit verdienmodel.

Neem nu het volgende voorbeeld: op de CES 2016 introduceerde Neura haar nieuwe app met een wel heel opvallend business model. De app verzamelt data van gebruikte apps, locatiegegevens en interacties met andere smart devices. Op basis van deze data genereert de app meldingen waarvan Neura denkt dat het de gebruiker zal helpen gedurende zijn of haar dagelijkse activiteiten. Het business model wijkt volgens Neura af van de tech-giganten, welke ook zoveel mogelijk data verzamelen om de gebruiker te helpen. De tech-giganten verzamelen data met behulp van ‘gratis’ diensten die vervolgens met andere bedrijven gedeeld worden, met als doel het gericht kunnen aanbieden van advertenties.

Het model van Neura werkt wezenlijk anders: de app creëert een digitale identiteit met daarin inbegrepen een kennisoverzicht van iemands dagelijkse behoeften. Vervolgens biedt de app de mogelijkheid om je digitale identiteit aan bedrijven te verkopen. Kortgezegd faciliteert Neura de transactie en – zoals ze het zelf zeggen –  is ‘hun valuta jouw digitale identiteit’.

Kritiek op het inruilen van persoonsgegevens voor (aanzienlijke) kortingen of gratis producten, is over het algemeen dat privacy straks alleen voor de ‘rijken’ zal zijn. De vraag is of Neura ook vatbaar is voor deze kritiek, of dat monetisatie van persoonsgegevens toch mogelijk is. Uiteindelijk zal deze vraag door de gebruiker moeten worden beantwoord. Het delen van informatie voor korting of geld is namelijk niet verboden, mits de gebruiker goed wordt geïnformeerd over wat er met zijn data gebeurt. Een interessante ontwikkeling om komend jaar te volgen.

  1. Personeelscrisis of uitdaging?

Op 17 december 2015 is na lange onderhandelingen de uiteindelijke versie van de Algemene Verordening Gegevensbescherming (AVG) gepubliceerd. Van uiteenlopende interpretaties van de huidige richtlijn in lidstaten gaan we binnenkort naar één set privacyregels, geldend voor de gehele EU. De verwachting is de AVG over ongeveer twee jaar van kracht zal zijn.

Mede als gevolg van deze verordening is de verwachting dat in 2016 er een enorme toename zal zijn in de vraag naar personeel met kennis op het gebied van privacy. Organisaties willen immers AVG-proof zijn, mede ingegeven door het feit dat ze flink beboet kunnen worden als ze zich niet aan de regels houden. Zij zullen daarom veel serieuzer met het privacyvraagstuk om moeten gaan en daarom privacy professionals gaan aantrekken.

Voor grote bedrijven en overheidsinstanties wordt het bovendien verplicht om een functionaris voor de gegevensbescherming aan te stellen. Deze functionaris moet er op toezien dat verplichtingen uit de AVG goed nageleefd zullen worden. Hierdoor kunnen we een bovengemiddelde toename in het aantal vacatures voor een dergelijke functionaris verwachten in 2016.

Ook voor de Autoriteit Persoonsgegevens wordt het waarschijnlijk flink aanpoten. Vooruitlopend op de nieuwe AVG, is per 1 januari de meldplicht datalekken inwerking getreden. Dit brengt ook weer een extra takenpakket met zich mee voor de toezichthouder, welke actief zal moeten gaan handhaven. Als gevolg hiervan dienen de eerste signalen over personeelsgebrek bij de toezichthouder zich al aan.

Happy Privacy Day 2016!

De onderwerpen hierboven geven het stijgende belang van privacy goed aan. Het gaat wezenlijke invloed hebben op onze werkgelegenheid, op de manier waarop we zaken gaan doen, met wie én waar we zaken gaan doen. Privacy wordt meer en meer een onderwerp dat ons allen raakt: consumenten, werknemers, bedrijven, werkgevers, publieke organen. Van organisaties, privaat en publiek, zal gevraagd worden privacy als uitgangspunt te nemen bij het (her-)inrichten van processen en systemen en bij het bedenken van nieuwe producten: Privacy-by-Design wordt belangrijk om aan alle eisen te voldoen.

Dit hoeft ook in 2016 niet te betekenen dat organisaties zich verliezen in allerlei papierwerk en lastige regeltjes. Draai het om! Het op positieve wijze benaderen van de privacy van klanten, burgers en werknemers kan juist werken als onderscheidend vermogen. Juist die organisaties die dat goed doorhebben, gaan een goed privacy jaar tegemoet!

*) Dit artikel is tot stand gekomen met medewerking van Alexander Garrelfs, Rodney Mhungu, Alex Tolsma, Tim Walree en Wiebe Zwaan van Deloitte.

Deel dit bericht

3 Reacties

Vincent

Wat staat hier nu?

“Het Ministerie van Justitie stelt echter dat zij het recht heeft om e-mails op te vragen in de VS, omdat Microsoft een Amerikaans bedrijf is. Het is volgens Justitie niet relevant dat de e-mails zijn opgeslagen in Ierland.

Indien de uitspraak in het voordeel van Justitie uitvalt – en dat is best aannemelijk, aangezien twee lagere rechters Microsoft al in het gelijk hebben gesteld – dan komt Safe Harbor 2.0 waarschijnlijk in gevaar.”

Egbert van Keulen

@vincent. Scherp dank je wel. Er stond een foutje in de tekst. Heb onderste zin inmiddels aangepast naar:

‘Indien de uitspraak in het voordeel van Justitie uitvalt – en dat is best aannemelijk, aangezien twee lagere rechters justitie al in het gelijk hebben gesteld – dan komt Safe Harbor 2.0 waarschijnlijk in gevaar.’

Egbert

Ron Allard

Interessant artikel, Jan-Jan. Je concludeert dat bedrijven zich positief kunnen onderscheiden door goed om te gaan met de privacy regels. Dat is ongetwijfeld waar, maar ik vraag me wel af of dat business wise interessant genoeg is voor die bedrijven. Vooralsnog krijg ik de indruk dat de inspanningen om aan de nieuwe privacy regelgeving te voldoen zwaarder wegen dat het voordeel van het positievere imago. M.a.w. bedrijven zullen doen wat nodig is om sancties te voorkomen, dat is het doel. Privacy bescherming op zichzelf is (nog) geen business enabler.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond