BIV classificatie

Vertrouwelijkheid, integriteit en beschikbaarheid, ook wel de BIV classificatie genoemd, is een model dat is ontworpen om het beleid voor informatiebeveiliging binnen een organisatie te sturen. Hoewel elementen van de classificatie drie van de meest fundamentele en cruciale cyberbeveiligingsbehoeften zijn, gaan er stemmen op om een upgrade uit te voeren om effectief te blijven.

In deze context wordt vertrouwelijkheid dan uitgebreid met een reeks regels die de toegang tot informatie beperken, integriteit is de verzekering dat de informatie betrouwbaar en nauwkeurig is, en beschikbaarheid is een garantie voor betrouwbare toegang tot de informatie door bevoegde personen.

Vertrouwelijkheid, integriteit, beschikbaarheid

Het volgende is een uitsplitsing van de drie belangrijkste concepten die de BIV classificatie vormen:

Beschikbaarheid betekent dat informatie consistent en gemakkelijk toegankelijk moet zijn voor gebruiker, eigenaar of bevoegde partijen. Het gaat om het goed onderhouden van hardware en technische infrastructuur en systemen die de informatie vasthouden en weergeven.

Integriteit omvat het handhaven van de consistentie, nauwkeurigheid en betrouwbaarheid van gegevens gedurende de gehele datacyclus. Gegevens mogen tijdens het transport niet worden gewijzigd en er moeten maatregelen worden genomen om ervoor te zorgen dat gegevens niet door onbevoegden kunnen worden gewijzigd (bijvoorbeeld bij schending van de vertrouwelijkheid).

Vertrouwelijkheid is ongeveer gelijk aan privacy. Vertrouwelijkheidsmaatregelen zijn ontworpen om te voorkomen dat gevoelige informatie ongeautoriseerde toegangspogingen tot gevolg heeft. Het is gebruikelijk dat gegevens worden gecategoriseerd op basis van de hoeveelheid en het type schade dat zou kunnen worden aangericht als het in verkeerde handen zou vallen. Op basis van die categorieën kunnen dan min of meer stringente maatregelen worden genomen.

Vertrouwelijkheid, integriteit en beschikbaarheid worden samen beschouwd als de drie belangrijkste begrippen binnen informatiebeveiliging.

Het samen beschouwen van deze drie principes in het kader van de “classificatie” kan helpen bij de ontwikkeling van beveiligingsbeleid voor organisaties. Bij het evalueren van behoeften en gebruiksscenario’s voor potentiële nieuwe producten en technologieën, helpt organisaties om gerichte vragen te stellen over hoe waarde wordt geleverd op deze drie gebieden.

Door de drie concepten van de  BIV-classificatie samen te beschouwen als een onderling verbonden systeem, in plaats van als onafhankelijke concepten, kunnen organisaties de relaties tussen de drie begrijpen.

Deze kenmerken zijn essentieel: het is een instellingsbrede kwestie. Bedrijven zijn verantwoordelijk. het wordt gezien als een institutionele vereiste (kosten van zakendoen) en het is gebaseerd op risico’s.

Beheer van informatiebeveiliging is het maken van back-ups, het bewaken van cloud computing-services en het controleren van firewalls; het is het grootste deel van het dagelijkse werk van uw it-afdeling. governance is de reeks brede principes en waarden die de manier waarop een organisatie wordt bestuurt, begeleid. het gaat om de visie, missie en waarden. Gegevens overheidsbeleid. een beleid voor gegevensbeheer is een document dat formeel beschrijft hoe gegevens van de organisatie zullen worden beheerd en gecontroleerd.

Data governance is het strategische programma dat de rollen, regels, processen en best practices definieert die een organisatie zal volgen om de veiligheid, kwaliteit en correct gebruik van haar data te waarborgen. data governance biedt een blauwdruk van controles om het effectieve beheer van gegevens op ondernemingsniveau te waarborgen. de input voor data governance is standaard.

Gegevensbeheer is de reeks processen en procedures die organisaties gebruiken om hun gegevens te beheren, gebruiken en beschermen. in deze context kunnen gegevens verwijzen naar een subset van de digitale of hardcopy-activa van een bedrijf. het definiëren van wat gegevens voor een organisatie betekenen, is een van de belangrijkste best practices voor gegevensbeheer. Data governance richt zich op technische data-infrastructuur, terwijl information governance zich richt op bedrijfsprocessen rondom data en fysieke informatie. veelgebruikte tools voor gegevensbeheer zijn toepassingen, databases, streamverwerking, mdm, beveiliging en noodherstel. veelvoorkomende rollen op het gebied van informatiebeheer omvatten bedrijfsrisico’s.

Data delen

De Data Sharing Coalition is een open en groeiend, internationaal initiatief waarin een grote verscheidenheid aan organisaties samenwerken om de waarde van cross-sectoraal data delen te ontsluiten.

Met als missie om privacybestendige data-analyse eenvoudig en schaalbaar te maken. Ze stellen bedrijven, organisaties en overheden om datagedreven inzichten te verkrijgen uit gedeelde datasets – zonder daadwerkelijk gevoelige data te delen – terwijl ze de volledige controle behouden over wat ze met wie delen, onder welke voorwaarden. Hoe? Door de cryptografische kracht van veilige multi-party computation (MPC) in combinatie met unieke gedecentraliseerde databeheer.

MPC is een overkoepelende term voor cryptografische technologie die berekeningen op gegevens mogelijk maakt terwijl de gegevens versleuteld blijven. Voorbeelden van de technologieën die we gebruiken zijn geheim delen, private set intersectie en homomorfe versleuteling. Elke technologie heeft zijn sterke en zwakke punten, dus bieden ze een platform waarmee gebruikers het juiste protocol voor hun gebruik kunnen selecteren. Anders zou het mogelijk te veel informatie over individuen binnen die subset kunnen delen. Alle bewerkingen en wijzigingen aan deze governance-instellingen worden vastgelegd in een onveranderlijke audit trail, zodat organisaties achteraf kunnen aantonen dat ze hieraan voldoen.

Momenteel wordt privacy vaak gezien als een obstakel voor het verkrijgen van de gegevens die nodig zijn om ons zorgsysteem, ons sociale systeem, enz. te verbeteren. Zo geloven we dat privacy en samenwerking op het gebied van gegevens niet hand in hand kunnen gaan.

Het delen van data is van enorm belang.

Tech-gerelateerde trends laten zien, dat privacy-by-design encryptietechnologieën, zoals homomorfe encryptie, geheim delen en private set-kruising, snel operationeel worden.

Versleuteld delen maakt het mogelijk om informatie in drie (of meer) blokken te knippen. Informatie in elk blok blijft een geheim, maar je kunt er wel analyses op uitvoeren in de drie blokken, alsof ze één zijn. Dit helpt om modellen te trainen zonder de onderliggende data op te delen.

De toekomst van het delen van gegevens is een toekomst waarin elke organisatie betrokken bij een enorm netwerk van vele strategische en operationele gegevenssamenwerkingen, maar waar de hoeveelheid gevoelige gegevens die daadwerkelijk binnen die samenwerkingen wordt gedeeld, wordt beperkt tot een absoluut minimum. Privacybehoudende technologieën, zoals MPC maar ook Federated Learning en Synthetic Data, zullen gemeengoed worden.

Bij het maken van een Data Protection Impact Assessment (DPIA) hoeft men niet uit te leggen dat er privacybeschermingstechnologieën worden gebruikt, zoals dat nu het geval is. Nu deze technologieën beschikbaar zijn, lijkt dat moment dichterbij te komen.

Om deze toekomst te realiseren, moet er bewustzijn worden gecreëerd over het potentieel en de praktische toepasbaarheid van deze technologieën, terwijl er tegelijkertijd het aanbod elke dag verbeteren om te voldoen aan de behoeften bij gegevens samenwerkingen.

Wet Data Governance uitgelegd.

De Wet Data Governance biedt een kader om het vertrouwen in het vrijwillig delen van gegevens ten behoeve van bedrijven en burgers te vergroten.

Hergebruik van bepaalde categorieën gegevens. Het economische en maatschappelijke potentieel van data is enorm: het kan nieuwe producten en diensten mogelijk maken op basis van nieuwe technologieën, de productie efficiënter maken en instrumenten bieden om maatschappelijke uitdagingen aan te gaan.

Dit potentieel wordt echter niet gerealiseerd. Het delen van gegevens in de EU blijft beperkt vanwege een aantal obstakels (waaronder weinig vertrouwen in het delen van gegevens, problemen in verband met het hergebruik van overheidsgegevens en gegevensverzameling voor het algemeen belang, evenals technische obstakels).

Om dit enorme potentieel echt te benutten, moeten er meer gegevens beschikbaar worden gesteld, met vertrouwen worden gedeeld en technisch eenvoudig te hergebruiken.

De Data Governance Act (DGA) is een sectoroverschrijdend instrument dat tot doel heeft meer gegevens beschikbaar te maken door het hergebruik van openbare/bewaarde, beschermde gegevens te reguleren, door het delen van gegevens te stimuleren door regulering van nieuwe gegevenstussenpersonen en door het delen van van gegevens voor altruïstische doeleinden. Zowel persoonsgegevens als niet-persoonsgebonden gegevens vallen onder het toepassingsgebied van de DGA en waar het om persoonsgegevens gaat, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Naast de AVG zullen ingebouwde waarborgen het vertrouwen in het delen en hergebruiken van gegevens vergroten, een voorwaarde om meer gegevens op de markt beschikbaar te maken.

Wat zijn de belangrijkste doelen?

De Open Data Richtlijn regelt het hergebruik van openbare/beschikbare informatie in het bezit van de publieke sector. De publieke sector beschikt echter ook over grote hoeveelheden beschermde gegevens (bijv. persoonsgegevens en commercieel vertrouwelijke gegevens) die niet kunnen worden hergebruikt als open gegevens, maar die wel kunnen worden hergebruikt op grond van specifieke EU- of nationale wetgeving. Uit dergelijke gegevens kan een schat aan kennis worden gehaald zonder afbreuk te doen aan het beschermde karakter ervan, en de DGA voorziet in regels en waarborgen om dergelijk hergebruik mogelijk te maken wanneer dit op grond van andere wetgeving mogelijk is.

Hoe werkt het in de praktijk?

Technische vereisten voor de publieke sector: de lidstaten zullen technisch moeten worden uitgerust om ervoor te zorgen dat de privacy en vertrouwelijkheid van gegevens volledig worden gerespecteerd in situaties van hergebruik. Dit kan een scala aan tools omvatten, van technische oplossingen, zoals anonimisering, pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen (bijv. datarooms) onder toezicht van de publieke sector, tot contractuele middelen zoals vertrouwelijkheidsovereenkomsten die zijn gesloten tussen het openbare lichaam en de hergebruiker.

Als een openbaar lichaam geen toegang kan verlenen tot bepaalde gegevens voor hergebruik, moet het de potentiële hergebruiker helpen bij het vragen van de toestemming van de persoon om zijn persoonsgegevens te hergebruiken) of de toestemming van de gegevenshouder wiens rechten of belangen kunnen door het hergebruik worden geschaad. Bovendien mag vertrouwelijke informatie (bijv. handelsgeheimen) alleen worden vrijgegeven voor hergebruik met een dergelijke toestemming of toestemming.

Om nog meer openbare gegevens beschikbaar te hebben voor hergebruik, beperkt de DGA het vertrouwen op exclusieve overeenkomsten voor hergebruik van gegevens (waarbij een overheidsinstantie een dergelijk exclusief recht aan één bedrijf verleent) tot specifieke gevallen van openbaar belang.

Redelijke vergoedingen: openbare lichamen mogen vergoedingen in rekening brengen voor het toestaan ​​van hergebruik, zolang deze vergoedingen de noodzakelijke gemaakte kosten niet overschrijden. Bovendien moeten overheidsinstanties het hergebruik voor wetenschappelijk onderzoek en andere niet-commerciële doeleinden, alsook door kmo’s en startende ondernemingen stimuleren door heffingen te verminderen of zelfs uit te sluiten.

Een overheidsinstantie heeft maximaal 2 maanden de tijd om een ​​beslissing te nemen over een hergebruikverzoek.

De lidstaten kunnen kiezen welke bevoegde instanties de openbare lichamen ondersteunen die toegang verlenen tot het hergebruik, bijvoorbeeld door deze een veilige verwerkingsomgeving te bieden en door hen te adviseren over de beste manier om gegevens te structureren en op te slaan om ze gemakkelijk toegankelijk te maken.

Om potentiële hergebruikers te helpen relevante informatie te vinden over welke gegevens door welke overheidsinstanties worden bewaard, zullen de lidstaten worden verplicht één enkel informatiepunt op te richten. De Commissie zal een Europees centraal toegangspunt creëren (met een doorzoekbaar register van de door nationale informatiepunten samengestelde informatie) om het hergebruik van gegevens in de interne markt en daarbuiten verder te vergemakkelijken.

Inbreuk

Inbreuk in verband met persoonsgegevens
Sedert 12 december 2018 hebben alle Europese instellingen en organen krachtens Verordening (EU) 1725/2018 de plicht om bepaalde soorten inbreuken in verband met persoonsgegevens aan de EDPS te melden. Elke EU-instelling moet dit, indien mogelijk, doen binnen 72 uur nadat ze op de hoogte is gesteld van de inbreuk. Als de inbreuk waarschijnlijk een hoog risico met zich meebrengt dat de rechten en vrijheden van individuen worden geschaad, moet de EU-instelling de betrokken individuen ook onverwijld informeren.

EU-instellingen moeten ervoor zorgen dat ze over preventie- en opsporingsmechanismen voor inbreuken in verband met persoonsgegevens beschikken, evenals over onderzoeks- en interne rapportageprocedures. Ze moeten er ook voor zorgen dat wanneer ze een inbreuk in verband met persoonsgegevens vaststellen, ze effectief kunnen reageren om de negatieve effecten van de inbreuk op de personen van wie de gegevens zijn gecompromitteerd, te verzachten. Ze moeten ook een register bijhouden van alle inbreuken op persoonsgegevens, inclusief alle details over de inbreuk, ongeacht een eventuele meldingsplicht aan de EDPS.

Hoe moeten EU-instellingen en -organen reageren op een inbreuk in verband met persoonsgegevens?

De EDPS heeft richtsnoeren gepubliceerd voor de melding van inbreuken in verband met persoonsgegevens voor de EU-instellingen en -organen. Deze geven praktisch advies over hoe u aan de verordening kunt voldoen. De richtlijnen schetsen de aanpak die u moet volgen om adequaat te reageren op een inbreuk in verband met persoonsgegevens. Wij adviseren u deze richtlijnen goed door te lezen voordat u een inbreuk in verband met persoonsgegevens meldt.

Een inbreuk in verband met persoonsgegevens melden aan de EDPS

U kunt een inbreuk in verband met persoonsgegevens melden door het online formulier in te vullen of door het formulier te downloaden en naar het volgende e-mailadres te sturen: DATA-BREACH-NOTIFICATION@edps.europa.eu.

Alle communicatie moet versleuteld zijn. Daarom moeten alle bijlagen bij het verzenden van een e-mail over een inbreuk in verband met persoonsgegevens naar het e-mailadres voor de melding van gegevensinbreuken van de EDPS worden gecodeerd (zip) en moet het wachtwoord op alternatieve manieren met de EDPS worden gedeeld (per sms of telefoongesprek). Vermeld in uw e-mail een apart telefoonnummer waarmee we contact met u kunnen opnemen voor het wachtwoord.

Als u een inbreuk in verband met persoonsgegevens wilt melden kan dat via een online webformulier.

Als de eerste melding om welke reden dan ook onvolledig was, kan men verdere informatie te verstrekken zodra deze beschikbaar is. Maar in het dat geval het zich om een nieuw kennisgevingsformulier handeld wel onder vermelding van het door de EDPS verstrekte zaakreferentienummer.

De bijgewerkte meldingen naar de eerder genoemde mailbox versturen, neem dan de volgende informatie op in de onderwerpregel van de e-mail: [Bijgewerkte melding van inbreuk] [Naam EU-instelling/-instantie] [Zaakreferentienummer]

Kennisgeving gegevensbescherming

Er zijn specifieke regels van toepassing op het beheer van datalekken met betrekking tot operationele persoonsgegevens bij Europol in overeenstemming met de artikelen 34 en 35 van Verordening 2016/794.

EDPS-ENISA-conferentie: op weg naar toegang tot het risico van inbreuken op persoonsgegevens

De Europese Toezichthouder voor gegevensbescherming en ENISA heeft in het verleden conferenties georganiseerd in Brussel over het melden van inbreuken op persoonsgegevens.

Deze conferentie had tot doel het aspect van de beoordeling van het risico van inbreuken op persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG) – (EU) 2016/679 en de Verordening (EU) 1725/2018 voor de verwerking van persoonsgegevens door EU-instellingen en lichamen.

Vanaf morgen zijn er weer verschillende sessies op de conferentie van de Europesche Toezichthouder.

Op 16 en 17 juni 2022 zal de EDPS een conferentie organiseren in Brussel waar wereldwijde belanghebbenden uit de digitale regelgevingswereld samenkomen om na te denken over en te discussiëren over de huidige benaderingen van handhavingsmodellen.

Gegevensgebieden.

Gegevensgebieden

Welke zijn er?

Over het algemeen verwijst de term ‘dataruimte’ naar een soort gegevensrelatie tussen vertrouwde partners die zich houden aan dezelfde hoge normen en richtlijnen als het gaat om gegevensopslag en -deling. Een cruciaal aspect van het begrip dataruimte is echter dat gegevens niet centraal worden opgeslagen, maar veeleer bij de bron en dus alleen worden overgedragen (via semantische interoperabiliteit) als dat nodig is. De gegevens in de dataruimten in de Gaia-X-context worden uitsluitend bewaard door de leden van de Vereniging.

Een dataruimte is de som van alle deelnemers – dat kunnen dataproviders, gebruikers en intermediairs zijn. Dataruimten kunnen genest en overlappend zijn, zodat een dataprovider bijvoorbeeld aan meerdere dataruimten tegelijk kan deelnemen.

Datasoevereiniteit en vertrouwen zijn essentieel om dataruimten te laten werken en relaties tussen deelnemers te ondersteunen. Om dit te garanderen, heeft de International Data Spaces Association (IDSA), een van de oprichters van de Gaia-X Association, een referentiearchitectuurmodel voor deelnemers voorgesteld. Elke dataruimte levert specifieke data op en vormt daarmee een stevige basis voor elk ecosysteem. De software die nodig is om dataruimten te implementeren, draait op cloud/edge cloudinfrastructuren.

Welke dataruimten zijn er?

Industrie 4.0/Kleine tot middelgrote ondernemingen

Meer dan 50 deelnemers hebben zich aangesloten bij de Industry 4.0/SME-dataruimte, die gestaag groeit. Deze dataruimte omvat momenteel zes use-cases die voortkomen uit productiescenario’s, waaronder collaboratieve productie- en supply chain-processen, machines met virtuele avatars en interfaces tussen twee afzonderlijke industrieën, zoals supply chains, transport en gezondheid.

Gezondheid

The Health Data Space werkt aan de opbouw van een consortium van overheidsinstanties en particuliere bedrijven om het gebruik van digitale technologieën en cloudoplossingen te promoten die de gezondheidssector zullen transformeren. Het beveiligde Gaia-X-ecosysteem zal enkele van de problemen aanpakken die door de Covid-19-pandemie naar voren zijn gebracht, waaronder de afwezigheid van interoperabiliteit tussen systemen en de prevalentie van silo’s met gezondheidsgegevens.

Onderwijs en vaardigheden

De Education and Skills-dataruimte (DaSES) zal een dataruimte creëren ten behoeve van de onderwijsgemeenschap. Uitgaande van een Frans initiatief in 2021, waarbij publieke en private belanghebbenden werden bijeengebracht, heeft DaSES verschillende werkgroepen opgericht en nodigt het nu ook andere landen uit om een ​​Europese routekaart op te stellen om een ​​open en interoperabel digitaal ecosysteem van transparante en ‘vertrouwde’ gegevens te promoten , voor kwaliteitsonderwijs en levenslang leren.

Energie

Een vertrouwde dataruimte die energiediensten ondersteunt en samenwerking tussen alle belanghebbenden bevordert, is een hoeksteen van het koolstofarm maken van de energiesector.

Tegenwoordig heeft een brede vertegenwoordiging van Europese energiebedrijven en academische en technologische partners zich bij Gaia-X aangesloten om de Europese energiedataruimte te bouwen.

Op een transparante en veilige manier pakt de energiedataruimte de volgende uitdagingen aan, dankzij de mogelijkheden voor het delen van gegevens:

Versnel de implementatie van koolstofarme energieoplossingen

Bevorderen van energie-efficiëntie en sectorkoppeling (integratie van stroom, gassen, waterstof in gebouwen/verwarmingssystemen, mobiliteit en industrie…)

Meer flexibiliteit mogelijk maken om hernieuwbare energie te integreren in het Europese elektrische systeem

Versnel de digitalisering van het energiesysteem

Handhaving van de technologische soevereiniteit en het mondiale concurrentievermogen van de Europese Unie in de energiesector.

We ontwikkelen gebruiksscenario’s voor acht belangrijke energiethema’s: hernieuwbare energiebronnen, waterstof, kernenergie, energie-efficiëntie, elektrische voertuigen, lokale energiegemeenschappen, netwerken en naleving en traceerbaarheid.

We nodigen alle Europese bedrijven, inclusief start-ups, leveranciers en energieproducenten uit de energiesector uit om zich bij ons aan te sluiten!

Mobiliteit

De Mobility Data Space zal de gebruikerservaring van mobiliteit verbeteren en tegelijkertijd nieuwe zakelijke kansen creëren voor haar leden. Bij het aanpakken van de uitdaging die reisgegevens op veel verschillende plaatsen en door een breed scala aan actoren zoals luchtvaartmaatschappijen en hotels hebben, is de belangrijkste vraag hoe gegevenssoevereiniteit kan worden gewaarborgd, privacy kan worden gegarandeerd en handel kan worden gestimuleerd, terwijl deze sector zich in een staat van van flux.

Financiën en verzekeringen

De Finance and Insurance-dataruimte is opgericht door de Franse en Duitse banken, Europese cloudserviceproviders, openbare instellingen en verzekeringsmaatschappijen, en breidt zich nu uit naar Italië, Luxemburg, België, Finland, Oostenrijk en Polen. Ook andere landen zijn welkom om mee te doen.

Ruimte

Eind november 2020 is een dataruimte opgericht gericht op Ruimtevaart. Gezien de mate waarin ons dagelijks leven afhankelijk is van ruimtegegevens, is het van cruciaal belang dat deze gegevens veilig en efficiënt kunnen worden verwerkt, waardoor de Europese gegevenssoevereiniteit wordt gewaarborgd.

Anonimisering 

Anonimisering van de AVG versus de-identificatie van CCPA

De anonimisering van de Europese Algemene Verordening Gegevensbescherming (AVG) en de de-identificatievereisten van de California Consumer Protection Act (CCPA) zijn beide manieren om de privacy van betrokkenen te beschermen.

De-identificatie is een proces dat in de VS kan worden gebruikt om te voldoen aan de CCPA. Daarentegen wordt AVG-anonimiseren gebruikt als alternatief voor CCPA-de-identificatie in Europa om te voldoen aan de AVG-regelgeving.

De twee processen zijn vergelijkbaar, maar hebben enkele cruciale verschillen in het beschermen van persoonlijke informatie tegen openbaarmaking door de toegang tot en het gebruik van geïdentificeerde of identificeerbare informatie te beperken.

De CCPA definieert “geanonimiseerde informatie” als:

“Gegevens die redelijkerwijs niet kunnen worden geïdentificeerd, betrekking hebben op, beschrijven, in verband kunnen worden gebracht met of direct of indirect kunnen worden gekoppeld aan een bepaalde consument.”

Dit betekent dat de persoonlijke identifiers zijn verwijderd met de bedoeling dat ze niet meer aan een specifieke persoon worden gekoppeld. Als een bedrijf geanonimiseerde informatie gebruikt, moet het vier organisatorische en operationele stappen nemen om ervoor te zorgen dat gegevens niet opnieuw worden geïdentificeerd of verspreid.

Aan de andere kant is het anonimiseringsconcept van de AVG strenger dan de de-identificatievereiste van de CCPA, aangezien de AVG eist dat de identificeerbare informatie van een persoon “onomkeerbaar wordt verhinderd” om te worden gebruikt.

Tegelijkertijd verplicht de CCPA bedrijven alleen om identificatiegegevens “redelijkerwijs” te verwijderen.

Een ander duidelijk verschil is dat onder de CCPA geaggregeerde gegevens ook niet “redelijkerwijs” kunnen worden gekoppeld aan een individu of kleine groep, terwijl de AVG “pseudonimisering” vereist, wat resulteert in een langere lijst met informatie die bedrijven onomkeerbaar moeten voorkomen dat ze in verband worden gebracht met specifieke individuen.

De volgende soorten informatie worden allemaal beschouwd als directe identifiers onder de AVG:

Naam

Adres

Postcode

Telefoon nummer

Foto of afbeelding

Andere unieke persoonlijke kenmerken

Bedrijven en derden kunnen indirecte identifiers onder de AVG gebruiken samen met andere informatiebronnen om een ​​persoon te identificeren. Ze kunnen zijn (maar zijn niet beperkt tot) dingen als:

Werkplaats

Functietitel

Salaris

Werkgeschiedenis

Diensten en goederen gekocht door het individu

Medische diagnoses

Geolocatie

Apparaat ID

Zodra de informatie volledig geanonimiseerd is, valt deze niet meer onder de eisen van de AVG. Het wordt dus data die veel gemakkelijker te gebruiken is voor bedrijven.

Gegevens uitwisselen

Gegevensuitwisseling is een techniek die wordt gebruikt om gevoelige gegevens, zoals namen en burgerservicenummers, om te wisselen met pseudoniemen of gerandomiseerde waarden. Het zijn de centrale componenten van anonimiseringstechnieken die helpen beschermen tegen onbedoelde openbaarmaking zonder in te boeten aan nauwkeurigheid.

Gegevensswaps kunnen ook voor andere doeleinden worden gebruikt, waaronder fraudedetectie, preventie van risicobeheer, nalevingshandhaving en meer.

Bijvoorbeeld: Als uw bedrijf twee databases heeft; een met informatie over klanten die onlangs een creditcard hebben aangevraagd en een andere met informatie over alle werknemers in de organisatie (inclusief salarisgegevens), misschien wilt u gegevensuitwisseling gebruiken bij toegang tot beide sets gegevens, zodat er geen kans is dat een werknemer per ongeluk trekt hun eigen personeelsdossiers opmaken als ze klantprofielen bekijken.

Gegevensverstoring

Gegevensverstoring is het proces waarbij ruis of andere gegevens aan een gegevensset worden toegevoegd, zodat deze niet uniek kan worden geïdentificeerd.

Op deze manier zou er, zelfs als uw bedrijf werd gehackt en een indringer alle informatie zou krijgen die u opslaat over klanten (namen, adressen, inkomensniveaus) evenals de salarissen en telefoonnummers van werknemers, nog steeds geen gemakkelijke manier voor hen zijn. om erachter te komen wie iemand is.

Synthetische gegevens

Synthetische gegevens worden gemaakt op basis van een reeks verschillende variabelen, zoals leeftijd, inkomensniveaus, geslacht en andere kenmerken. Dit kan worden gecombineerd met de gegevens uit de echte wereld over uw klanten om combinaties te maken die in werkelijkheid niet bestaan.

4 jaar

Het is vier jaar geleden dat in de EU de Algemene Verordening Gegevensbescherming (“AVG”) van kracht werd. Sindsdien heeft de AVG een domino-effect gehad, aangezien veel landen in de wereld de AVG als model hebben gebruikt om hun eigen regels voor de omgang met persoonsgegevens vorm te geven. Gezien alle veranderingen in de wetgeving inzake gegevensbescherming over de hele wereld, staan ​​juridische en compliance-afdelingen van organisaties onder druk om gelijke tred te houden met dergelijke ontwikkelingen, aangezien ze hun compliance-programma’s voortdurend aanpassen in reactie op aanpassingen.

Er zijn op dit moment ten minste 20 landen (exclusief EU-lidstaten) die wetten aangenomen hebben die aanzienlijk in de buurt komen van de AVG. Deze landen bevinden zich op elk continent van de wereld, niet alleen in Europa. Dit komt bovenop de 14 landen die een beschermingsniveau voor persoonsgegevens bieden dat gelijkwaardig is aan het beschermingsniveau in de EU.

71% van de landen in de wereld heeft nu een of andere vorm van wetgeving op het gebied van gegevensbescherming, 9% is bezig met het aannemen van wetgeving op het gebied van gegevensbescherming en slechts 15% heeft nog geen wetgeving op het gebied van gegevensbescherming (UNCTAD).

Van eén ding kunnen we zeker zijn, in de meeste landen die wetgeving op het gebied van gegevensbescherming hebben aangenomen, is het recht opgenomen voor individuen om geïnformeerd te worden over de manier waarop hun persoonsgegevens worden verwerkt. Het recht op inzage, rectificatie en uitwissing komt vrij regelmatig voor in wetgeving over de hele wereld.

Met een meldingsvereiste voor gegevensinbreuken Veel landen hebben verplichte vereisten ingevoerd om meldingen te doen na een inbreuk op de beveiliging waarbij persoonsgegevens betrokken zijn, ofwel binnen 72 uur na een dergelijke inbreuk (ten minste 22 landen in Europa met uitzondering van de EER en het VK, Latijns-Amerika, APAC en Afrika) en sommige vereisen meldingen van datalekken binnen 5 of 15 dagen.

Eigendom

Op verzoek van de minister voor Rechtsbescherming heeft een deskundigenpanel zich gebogen over de vraag hoe de burger of de consument, meer zeggenschap kan worden gegeven over het gebruik van zijn persoonsgegevens, en of die zeggenschap vanuit een privaatrechtelijk eigendomsregime nog beter zou kunnen worden geborgd. Daarbij is het panel ook gevraagd of zij andere suggesties had om de grip van de burger op het gebruik van zijn persoonsgegevens te vergroten.

Namelijk, dat in de verhouding tussen overheid en burger de zeggenschap over persoonsgegevens administratiefrechtelijk geregeld is en ook zo geregeld moet blijven. Er is in dezen geen rol voor het eigendomsrecht.

De experts hebben handvaten voor verdere verbetering voor regie op gegevens. Zo wordt momenteel ingezet op het beter zichtbaar maken voor burgers van het hergebruik van hun persoonsgegevens voor overheidstaken.

Een wettelijke verankering van het digitaal delen van persoonsgegevens uit overheidsregistraties door en onder regie van de burger. Borging van meer digitale zeggenschap van burgers over hun persoonsgegevens.

En enkele aanvullende suggesties voor manieren waarop zeggenschap over persoonlijke gegevens mogelijk nog sterker kan worden verankerd, bijvoorbeeld door het stimuleren en verbeteren van mogelijkheden voor burgers om met collectieve actie juridisch in geweer te komen tegen AVG- overtredingen.

In Nederland zijn er voldoende juridische mogelijkheden om collectieve acties te voeren bij onrechtmatige verwerking van persoonsgegevens. Wél is er aanleiding om te onderzoeken of, en zo ja hoe, een ‘processenfonds’ uitkomst kan bieden om de financiering van collectieve acties te vergemakkelijken.

In de afgelopen periode zijn al verschillende initiatieven gestart binnen het programma regie op gegevens:

  • de overheid wil beter zichtbaar maken voor burgers hoe hun persoonsgegevens worden hergebruikt voor overheidstaken. Sinds maart 2022 is bijvoorbeeld in MijnOverheid zichtbaar aan welke andere instanties deze gegevens regulier worden doorgegeven.
  • voorbereiding voor een wettelijke verankering van het digitaal delen van persoonsgegevens uit overheidsregistraties door en onder regie van de burger.
  • bij de onderhandelingen in diverse EU-dossiers wordt nadrukkelijk aandacht besteed aan de borging van meer digitale zeggenschap van burgers over hun persoonsgegevens. Verwijzing naar de dialoog over de verordening Raamwerk Europese Identiteit.

De Europese Raad riep in oktober 2020 op tot de ontwikkeling van een EU‑breed kader voor beveiligde openbare elektronische identificatie (e‑ID), dat ook interoperabele digitale handtekeningen zou omvatten. Dit zou mensen controle geven over hun online-identiteit en -gegevens, en toegang mogelijk maken tot openbare, particuliere en grens­overschrijdende digitale diensten.

Anonimisering

De anonimisering in de Europese Algemene Verordening Gegevensbescherming (AVG) en de de-identificatievereisten van de California Consumer Protection Act (CCPA) zijn beide in het leven geroepen om de privacy van de burger te beschermen.

De-identificatie is een proces dat in de Verenigde Staten kan worden gebruikt om te voldoen aan de CCPA. Daarentegen wordt anonimisering gebruikt als alternatief in Europa om te voldoen aan de AVG-regelgeving.

De twee processen zijn vergelijkbaar, maar hebben enkele cruciale verschillen in het beschermen van persoonlijke informatie tegen openbaarmaking door de toegang tot en het gebruik van geïdentificeerde of identificeerbare informatie te beperken.

De CCPA definieert “geanonimiseerde informatie” als:

“Gegevens die redelijkerwijs niet kunnen worden geïdentificeerd, betrekking hebben op, beschrijven, in verband kunnen worden gebracht met of direct of indirect kunnen worden gekoppeld aan een bepaalde consument.”

Dit betekent dat de persoonlijke identifiers zijn verwijderd met de bedoeling dat ze niet meer aan een specifieke persoon worden gekoppeld. Als een bedrijf geanonimiseerde informatie gebruikt, moet het vier organisatorische en operationele stappen nemen om ervoor te zorgen dat gegevens niet opnieuw worden geïdentificeerd of verspreid.

Aan de andere kant is het anonimiseringsconcept van de AVG strenger dan de de-identificatievereiste van de CCPA, aangezien de AVG eist dat de identificeerbare informatie van een persoon “onomkeerbaar wordt verhinderd” om te worden gebruikt.

Tegelijkertijd verplicht de CCPA bedrijven alleen om identificatiegegevens “redelijkerwijs” te verwijderen.

Een ander duidelijk verschil is dat onder de CCPA geaggregeerde gegevens ook niet “redelijkerwijs” kunnen worden gekoppeld aan een individu of kleine groep, terwijl de AVG “pseudonimisering” vereist, wat resulteert in een langere lijst met informatie die bedrijven onomkeerbaar moeten voorkomen dat ze in verband worden gebracht met specifieke individuen.

Wat is anonimisering?

Artikel 26 van de AVG definieert anonimisering als volgt:

“…informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig geanonimiseerd zijn dat de betrokkene niet (meer) identificeerbaar is.”

Het proces van het verwijderen van indirecte en directe persoonlijke identificatiegegevens die ertoe kunnen leiden dat iemand wordt geïdentificeerd, wordt ‘anonimisering’ genoemd.

De volgende soorten informatie worden allemaal beschouwd als directe identifiers onder de AVG:

Naam

Adres

Postcode

Telefoon nummer

Foto of afbeelding

Andere unieke persoonlijke kenmerken

Bedrijven en derden kunnen indirecte identifiers onder de AVG gebruiken samen met andere informatiebronnen om een ​​persoon te identificeren. Ze kunnen zijn (maar zijn niet beperkt tot) dingen als:

Werkplaats

Functietitel

Salaris

Werkgeschiedenis

Diensten en goederen gekocht door het individu

Medische diagnoses

Geolocatie

Apparaat ID

Zodra de informatie volledig geanonimiseerd is, valt deze niet meer onder de eisen van de AVG. Het wordt dus data die veel gemakkelijker te gebruiken is voor bedrijven.

De CCPA beschouwt informatie die een bepaalde consument redelijkerwijs niet kan identificeren als geanonimiseerde informatie. Het voorbehoud is dat de organisatie bedrijfsprocessen en technische beveiligingen moet hebben geïmplementeerd die heridentificatie ervan zullen voorkomen.

Bovendien moet het bedrijf ook processen hebben geïmplementeerd om te voorkomen dat opnieuw geïdentificeerde gegevens worden verspreid. Ten slotte is het medewerkers van de organisatie verboden om te proberen die informatie opnieuw te identificeren.

Creëer en handhaaf een reeks controles die ervoor zorgen dat informatie uitsluitend wordt gedeeld tussen partijen die een direct doel hebben bij het ontvangen van die gegevens. Met andere woorden, informatie mag alleen worden gedeeld op basis van “need to know”, en alle onbewerkte gegevens moeten als gevoelig worden beschouwd en met de grootst mogelijke vertrouwelijkheid worden behandeld.

Gegevens waarin personen kunnen worden geïdentificeerd, zijn enorm waardevol. Toch kan het gemakkelijk worden misbruikt en misbruikt als het in verkeerde handen valt.

Daarom is het beschermen van die gegevens door middel van anonimisering of de-identificatie een must in de wereld van vandaag. Dit geldt des te meer omdat datalekken vaker voorkomen dan ooit.

Bedrijven in de Europese Unie (EU) of de Europese Economische Ruimte (EER) en de Verenigde Staten van Amerika moeten een proces hebben waarbij gegevens onbruikbaar worden voor informatiedieven als er een inbreuk plaatsvindt.

Bovendien moeten bedrijven, instellingen en overheden er rekening mee houden dat er zware financiële sancties staan ​​als een regelgevende instantie vaststelt dat ze grove nalatig zijn geweest tijdens een inbreuk. Daarom is het van vitaal belang om datapunten te verwijderen of ruis toe te voegen aan een dataset zodat deze niet aan een persoon kan worden gekoppeld.

Naarmate de tijd verstrijkt, zullen anonimiteits- en de-identificatievereisten onder de AVG en CCPA waarschijnlijk moeten worden bijgewerkt naarmate de technologieën voor heridentificatie verbeteren.

Door data te anonimiseren en te de-identificeren, kunt u er zeker van zijn dat uw bedrijf haar plicht begrijpt en handhaaft om zeer gevoelige, vertrouwelijke informatie te beveiligen tegen diefstal en misbruik..

Privé

De wereld verandert snel en onze privégegevens lopen gevaar wanneer we online gaan. Talloze entiteiten, zowel publiek als privaat, werken er hard aan om onze digitale activiteiten te volgen, te monitoren en vast te leggen. Hier zijn veel redenen voor:

* Adverteerders willen alles over ons weten, inclusief onze browsegeschiedenis, locatiegegevens, contacten en meer. Dit maakt het gemakkelijker (en winstgevender) om gerichte advertenties te tonen en on tot aankopen aan te zetten.

* In een tijdperk van pandemieën en lockdowns zijn er over de hele wereld er veel bewegingsgegevens en biometrische gegevens verzameld.

* ISP’s (internetserviceproviders) verzamelen gegevens van hun klanten en verstrekken deze gegevens aan derden, waaronder adverteerders en overheidsinstanties. In veel landen is dit niet alleen legaal, maar ook verplicht.

* Het internet wordt ook steeds minder gratis door censuur-inspanningen en het blokkeren van inhoud, verschillende groepen werken er hard aan om online inhoud te censureren.

Maar laat je niet ontmoedigen. Alternatieve technologieën beleven een renaissance naarmate het bewustzijn over deze problemen groeit en mensen op zoek gaan naar oplossingen. Inderdaad, voor alle hierboven genoemde problemen vinden we uitstekende oplossingen om u meer privacy, veiligheid en vrijheid in uw digitale leven te geven.

1. Veilige en privacygerichte browser

2. Virtueel particulier netwerk

3. Advertentieblokkering

4. Wachtwoordbeheerder

5. Veilige en versleutelde berichten

6. Privé-zoekmachine

7. Privé e-mail

8. Besturingssysteem

9. Antivirussoftware

10. Conclusie

Hoeveel privacy en veiligheid hebben we nodig gezien onze situatie en de tegenstanders waarmee we te maken kunt krijgen? De meeste mensen zoeken tegenwoordig bescherming tegen online tracking en een hoger niveau van privacy en beveiliging.

Het wijdverbreide gebruik van persoonlijke gegevens roept ernstige problemen op voor het delen van deze gegevens, wat de reproduceerbaarheid van resultaten kan beperken.

Een veelgebruikte methode voor het veilig delen van vertrouwelijke informatie is het toepassen van anonimiseringsmethoden voor het delen. Anonimiseren kan de bruikbaarheid van de gegevens verminderen. We moeten dus een evenwicht vinden tussen privacybescherming en nauwkeurigheid. Hoewel er veel anonimiseringsmethoden zijn voorgesteld, is er geen systematische evaluatie van deze methoden of richtlijnen over welke methode te gebruiken en hoe deze correct moet worden toegepast.

Er zijn manieren om gegevens te vinden en te verwijderen die over ons zijn opgeslagen, samen met  privacy-instellingen om te voorkomen dat we worden gevolgd. Maar er is meer wat we kunnen doen om onze gegevensprivacy te beschermen en de beveiliging te verbeteren.

Hoe persoonlijke informatie wordt verzameld, behandeld en opgeslagen, inclusief hoe om te gaan met informatie zodra deze niet langer noodzakelijk is.

Gezien de steeds veranderende aard van informatie, met name in een digitale wereld, is het belangrijk dat privacybeleid regelmatig wordt herzien of bijgewerkt om ervoor te zorgen dat het aan alle privacyverplichtingen wordt voldaan.

Het is belangrijk om ervoor te zorgen dat het privacybeleid en de privacybeheerpraktijken goed worden gecommuniceerd en geïmplementeerd.