Dora

Hoe DORA de financiële toekomst van ons allemaal versterkt met een nieuwe kijk op operationele veerkracht

Over iets meer dan een half jaar komen we, oog in oog komen te staan ​​met de Digital Operational Resilience Act (DORA). De nieuwste poging om ​​diensten met elkaar te verweven.

DORA streeft ernaar de gefragmenteerde digitale waarborgen te verenigen

Hoe groot en ingewikkeld ook, DORA is een nieuw kader dat is opgesteld om vooral de digitale operationele veerkracht te versterken.

Op 17 januari volgend jaar, moeten we zo in staat zijn te bewijzen en in de praktijk te brengen dat we verstoringen of bedreigingen kunnen voortkomen, weerstaan, erop reageren en ervan te herstellen.

Hoewel de financiële dienstverlening nog steeds een van de sterkst gereguleerde en streng gecontroleerde sectoren ter wereld is, is het misschien ook wel een van de snelst evoluerende. En daarmee moet elke poging om een ​​nieuwe manier van doen te introduceren zeer berekend, breed toepasbaar en grondig doordacht zijn.

Het concept werd met name voor het eerst op de agenda gezet, toen de Europese Commissie het belang benadrukte van een operationeel veerkrachtige financiële sector, evenals de potentiële gevolgen van de besmetting van ICT-gerelateerde verstoringen, cybercriminaliteit en andere digitale gevaren.

Dit werd gevolgd door een oproep van de Europese Bankenautoriteit (EBA) voor een coherente aanpak van ICT-risico’s in de financiële sector, met onder meer een effectief raamwerk voor risicobeheer dat tijdige incidentrapportage en risico’s van derden kan ondersteunen. verzachting.

In september 2020 werd het eerste ontwerp van DORA gepubliceerd, als onderdeel van het bredere pakket voor digitale financiën, voordat het raamwerk in januari 2023 juridisch bindend werd, met een implementatieperiode van twee jaar.

Nu de implementatieperiode langzaam maar zeker ten einde loopt, hebben bedrijven de opdracht gekregen om de basis te leggen voor een reeks maatregelen gericht op het waarborgen van de continuïteit van ICT-systemen, gezonde integraties van derden en een sector zonder fraude.

Voor DORA betekent digitale operationele veerkracht eenvoudigweg “het vermogen van een financiële entiteit om haar operationele integriteit en betrouwbaarheid op te bouwen, te verzekeren en te herzien door, direct of indirect, door gebruik te maken van diensten die worden geleverd door externe ICT-dienstverleners, de het volledige scala aan ICT-gerelateerde capaciteiten die nodig zijn om de veiligheid te garanderen van de netwerk- en informatiesystemen die een financiële entiteit gebruikt, en die de voortdurende levering van financiële diensten en de kwaliteit ervan ondersteunen, ook tijdens verstoringen”.

De implementatie van deze maatregelen is er niet alleen op gericht om het voor financiële toezichthouders gemakkelijker te maken om specifieke zwakke punten in de sector op te sporen, maar ook om de middelen te bieden om risico’s te identificeren die buiten de grenzen van de regelgeving komen, met cloud- en andere technologiedienstverleners worden benadrukt in de focus.

Onder DORA moeten financiële bedrijven “een pakket documenten presenteren waaruit blijkt dat ze klaar zijn om te herstellen van verstoring wanneer deze zich voordoen”.

Risicobeheer komt als de eerste van de drie. Hierin onderstreept DORA de oprichting van een raamwerk voor ICT-risicobeheer, dat “strategieën, beleid, procedures, ICT-protocollen en hulpmiddelen moet omvatten die nodig zijn om alle informatiemiddelen en ICT-middelen naar behoren en adequaat te beschermen”, om de continuïteit van de dienstverlening te garanderen. in geval van schade en/of onbevoegde toegang.

DORA benadrukt dat dit raamwerk “passend moet zijn bij de omvang van de operaties”doormiddel van intensieve trainingsprogramma’s, juridische en regelgevende experts inzet en geavanceerde technologische oplossingen implementeert om effectief aan de wettelijke normen te voldoen.”

Het gaat erom waar data voor worden gebruikt en wat de impact kan zijn van het niet beschikbaar zijn van deze data, communicatie en veerkracht. Dit is een zeer bewuste aanpak van de toezichthouders.

Veerkracht heeft alles te maken met de veronderstelling dat een cyberaanval werkelijkheid zal worden, daar kun je niet omheen. En hoe zeker de cyberbeveiligingsprogramma’s zijn, aanvalsscenario’s zullen vruchten afwerpen.

“DORA is dus eigenlijk gebaseerd op de veronderstelling dat de aanval ooit succesvol zal zijn.”

De belofte van continuïteit van de dienstverlening door middel van reputatievoordelen zou veel groter kunnen zijn dan de implementatiekosten die bedrijven maken bij hun voorbereidingen op DORA.

Deze voordelen, zullen zich niet alleen uitstrekken tot de eindgebruikers, maar ook tot partnerschappen met derden.

Derde partijen zullen minder bereid zijn samen te werken als dit niet serieus wordt genomen en er niet wordt gekeken hoe de risico’s in de toeleveringsketen kunnen worden beheerst.

Er valt ongetwijfeld veel te doen om vóór januari volledige naleving van DORA te bewerkstelligen, en hoewel de voorbereidingen ongetwijfeld van bedrijf tot bedrijf zullen verschillen, zullen ze allemaal op het juiste moment te maken krijgen met dezelfde oproep om de problemen op te lossen. Want nu zijn er geen storingen meer en is veerkrachtig zijn de nieuwe naam van het spel.

AI wetgeving

Kunstmatige intelligentie (AI) brengt beide risico’s met zich mee, maar biedt ook een unieke kans om impliciete systematische discriminatie te bestrijden.

In het publieke discours over AI en de bijbehorende risico’s van discriminatie wordt vaak over het hoofd gezien dat menselijke beslissingen onbewust gebaseerd kunnen zijn op niet-objectieve criteria.

Als gevolg hiervan komen vormen van impliciete systematische discriminatie voor in de meeste grote organisaties. HR-beslissingen die ‘op instinct’ worden genomen, kunnen bijvoorbeeld gebaseerd zijn op ondoordachte voorkeuren. Onderzoek heeft aangetoond dat we de neiging hebben om meer vaardigheden toe te schrijven aan mensen die we aantrekkelijk vinden. Dit en andere besluitvormingstools kunnen leiden tot vooroordelen die discriminerende resultaten veroorzaken.

Bovendien kunnen irrelevante criteria zoals onze eigen huidige staat van welzijn ook van invloed zijn op onze besluitvorming. Zo kunnen de vonnissen van rechters in strafrechtbanken variëren, afhankelijk van of ze vóór of na de lunch worden uitgesproken. Deze niet-objectieve factoren, bekend als ‘ruis’, dragen bij aan discriminerende resultaten.

Het risico is dat AI-gestuurde automatisering van besluitvormingsprocessen kan leiden tot de proliferatie van dergelijke discriminerende effecten als de AI-systemen worden getraind met gegevens van eerdere menselijke beslissingen. Tegelijkertijd kan dit risico worden gecompenseerd door de enorme kans om menselijke discriminatie in al zijn vormen aanzienlijk te verminderen door middel van een goede kwaliteitscontrole van de trainingsgegevens. In de regel neemt de mate van statistische onjuistheid af (wordt steeds meer “genormaliseerd”) met het volume en het aantal trainingsgevallen.

Om het doel van het verminderen van menselijke discriminatie te bereiken, is het noodzakelijk om de impliciete discriminatie die ten grondslag ligt aan de trainingsgegevens transparant te maken. Hiervoor is vaak het verzamelen van gevoelige gegevens over de betrokkenen vereist, waarvan de gegevens deel uitmaken van de trainingsgegevens. Dit omvat onder andere de religieuze overtuiging of seksuele geaardheid van de betrokkenen.

Het verwerken van gevoelige gegevens met het oog op de bestrijding van discriminatie roept echter juridische zorgen op onder de Algemene Verordening Gegevensbescherming (AVG). Dit komt omdat de AVG nog steeds uitgaat van de veronderstelling dat discriminatie op basis van gevoelige gegevens zoals seksuele geaardheid of etniciteit voorkomen kan worden door in de eerste plaats geen gevoelige gegevens te verzamelen, wat grotendeels een “ik zie geen kleur”-benadering is. We bespreken dit onderwerp uitgebreider in ons artikel.

Met de AI Act heeft de EU-wetgever voor het eerst erkend dat deze veronderstelling onjuist is. De wet staat uitdrukkelijk het gebruik van gevoelige gegevens toe voor zover dit absoluut noodzakelijk is om discriminerende vooroordelen in AI-systemen met een hoog risico tegen te gaan. Deze AI-systemen met een hoog risico omvatten met name AI-systemen die werkgerelateerde beslissingen ondersteunen, bijvoorbeeld door werknemers te evalueren.

De AI Act staat de verwerking van gevoelige gegevens alleen toe onder strikte aanvullende voorwaarden. Deze voorwaarden geven prioriteit aan het beschermen van de belangen van de betrokkenen onder de wetgeving inzake gegevensbescherming.

Meer specifiek moet het gebruik van gevoelige gegevens noodzakelijk zijn voor het detecteren en corrigeren van vooroordelen. Synthetische of geanonimiseerde gegevens zijn hiervoor niet voldoende. Bovendien moeten gevoelige gegevens worden beschermd door de hoogste veiligheidsmaatregelen. Dit omvat strikte toegangscontrole en documentatie van alle toegangen. Bovendien moeten de gevoelige gegevens gepseudonimiseerd worden, zodat de betrokkenen niet direct geïdentificeerd kunnen worden. Tot slot mogen de gevoelige gegevens niet aan derden worden overgedragen en moeten ze worden verwijderd zodra ze niet langer nodig zijn voor het detecteren en corrigeren van vooroordelen. Dit alles moet op de juiste manier worden gedocumenteerd. De AI-wet maakt het gebruik van gevoelige gegevens mogelijk om discriminatie te bestrijden. Deze paradigmaverschuiving is een uiting van een fundamenteel optimisme dat onze maatschappelijke realiteit op een duurzame manier kan worden verbeterd door middel van goed gereguleerde AI. In het bijzonder zal de AI-wet toestaan ​​dat AI-systemen met een hoog risico die worden gebruikt bij werkgerelateerde beslissingen, worden getraind met behulp van gevoelige gegevens binnen de bovengenoemde grenzen om niet-discriminerende beslissingen mogelijk te maken.

generatief

Onze bezadigde wereld, traditioneel datagestuurd en risicomijdend, wordt geconfronteerd met een mogelijke paradigmaverschuiving. 

Kunstmatige intelligentie.

* Hoe generatieve AI werkstromen stroomlijnt, risicobeoordeling verbetert en zelfs producten personaliseert.

* Uitdagingen en overwegingen, waaronder databias en de verklaarbaarheid van AI-beslissingen.

* Praktische generatieve AI en de implementatie van generatieve AI-oplossingen.

* Potentiële langetermijnimpact van generatieve AI en de rol ervan bij het vormgeven van een efficiëntere toekomst.

De moderne wereld wordt geconfronteerd met een groot aantal uitdagingen. Oudere systemen kunnen omslachtig zijn, data-analyses zijn vaak tijdrovend en het nauwkeurig inschatten van risico’s in een dynamische wereld wordt steeds complexer.

Generatieve AI biedt een potentiële oplossing met het vermogen om grote hoeveelheden gegevens te verwerken en nieuwe inzichten te creëren. Op welke gebieden gebruiken we generatieve AI om uitdagingen aan te pakken en mogelijk activiteiten te transformeren.

Verbeterde efficiëntie en productiviteit, klantenservice, kostenbesparingen, groeimogelijkheden.

De grootste kostenbesparingen zullen waarschijnlijk echter voortkomen uit het gebruik van generatieve AI bij de automatisering. Het vermogen van AI om gegevens te analyseren en inzichten te genereren zou de kosten aanzienlijk kunnen verlagen.

Generatieve AI kan enorme hoeveelheden informatie analyseren die verder gaat dan de gebruikelijke bronnen. Stel je voor dat je weerpatronen, verkeersgegevens en zelfs sociale-media-activiteiten (met de juiste toestemming) opneemt om een ​​uitgebreider beeld te creëren.

Dit maakt genuanceerdere risicoprofielen mogelijk, waardoor mogelijk deuren worden geopend voor voorheen onverzekerbare demografische groepen en tot eerlijkere prijzen voor iedereen.

Generatieve AI werkt perfect bij het analyseren van een schat aan gegevens, waaronder demografische gegevens, het gebruik van smart home-apparaten en data uit het verleden, om automatisch op maat gemaakte producten te genereren. Dit zou kunnen leiden tot relevantere opties, waardoor mogelijk de kosten met een laag risico kunnen worden verlaagd en ervoor kan worden gezorgd dat de producten daadwerkelijk individuele behoeften weerspiegelen.

24/7 klantenservice en betrokkenheid altijd en overal beschikbaar.

Genatieve AI kan chatbots aandrijven die 24 uur per dag vragen kunnen beantwoorden, afspraken kunnen plannen en zelfs gepersonaliseerde aanbevelingen kunnen geven op basis van individuele behoeften.

Generatieve AI kan datasets analyseren om potentiële risico’s te identificeren voordat ze zich voordoen. Stel je voor dat generatieve AI weerpatronen voorspelt.

U proactief informeert en preventieve maatregelen aanbied, waardoor toekomstige ongelukjes geminimaliseerd worden, en we een proactieve en risico bewuste leven opbouwen.

Hoewel generatieve AI veel voordelen lijkt te hebben, brengt de implementatie ervan ook hindernissen met zich mee.

Gegevenskwaliteit en beschikbaarheid: Generatieve AI gedijt op hoogwaardige, diverse datasets. Er moet veel geïnvesteerd worden in het verzamelen en opschonen van gegevens om nauwkeurige en onbevooroordeelde AI-modellen te garanderen.

Begrijpen hoe AI-modellen tot beslissingen komen is van cruciaal belang. Zonder transparantie kan het een uitdaging zijn om door AI gegenereerde aanbevelingen te vertrouwen, vooral voor kritieke taken zoals risicobeoordeling.

Het garanderen van naleving van de regelgeving op het gebied van gegevensprivacy en ethische AI-praktijken vereist zorgvuldige overweging bij de implementatie van generatieve AI-oplossingen.

AI-modellen kunnen maatschappelijke vooroordelen in hun trainingsgegevens gebruiken. We moeten waakzaam zijn bij het verminderen van vooringenomenheid om een ​​eerlijke en ethische behandeling voor iedereen te garanderen.

De uitdagingen bij het implementeren van generatieve AI zijn reëel maar beheersbaar.

Investeer in dataverzamelingsstrategieën die hoogwaardige, diverse datasets verzamelen. Reinig en onderhoud gegevens regelmatig om vertekening te minimaliseren en de nauwkeurigheid van AI-modellen te garanderen.

Ontwikkel interpreteerbare AI-modellen die menselijk toezicht en begrip van het besluitvormingsproces mogelijk maken. Dit schept vertrouwen en transparantie in door AI gegenereerde aanbevelingen.

Werk samen met juridische en regelgevende experts om ervoor te zorgen dat de regelgeving voor gegevensprivacy en ethische AI-praktijken gedurende het hele implementatieproces worden nageleefd.

Overweeg een gefaseerde aanpak in plaats van een volledige revisie. Begin met het integreren van generatieve AI-oplossingen met specifieke processen binnen bestaande systemen om verstoringen te minimaliseren en een soepele transitie te garanderen.

Informeer over generatieve AI en de mogelijkheden ervan. Bevorder een cultuur van verantwoord AI-gebruik waarin eerlijkheid, transparantie en ethische overwegingen prioriteit krijgen in alle fasen van de implementatie.

Generatieve AI is een snel evoluerend vakgebied en de impact ervan op is nog maar net begonnen.

Generatieve AI zou de creatie van ultra-op maat gemaakte producten mogelijk kunnen maken die zijn afgestemd op individuele risicoprofielen en zelfs realtime situaties.

Generatieve AI kan worden gebruikt om zeer realistische simulaties te maken van potentiële risico’s, zoals natuurrampen of cyberaanvallen. Dit zou kunnen leiden tot nauwkeurigere risicobeoordelingen en de ontwikkeling van innovatieve producten om opkomende bedreigingen te beperken.

Generatieve AI zou mogelijk complexe taken kunnen automatiseren die momenteel door mensen worden afgehandeld, zoals de reconstructie van een scène of het beoordelen van. Hoewel menselijke expertise waarschijnlijk cruciaal blijft, zou AI het processen aanzienlijk kunnen versnellen.

Generatieve AI zou een cruciale rol kunnen spelen in de groei die gebruik maakt van blockchain en andere disruptieve technologieën.

Stelt u zich een toekomst voor waarin producten naadloos in ons dagelijks leven integreren, zich proactief aanpassen aan onze behoeften en realtime bescherming bieden. Generatieve AI zou een tijdperk van zeer gepersonaliseerde, efficiënte en toegankelijke producten voor iedereen kunnen inluiden. Het is echter van cruciaal belang om te onthouden dat ethische overwegingen en verantwoorde ontwikkeling voorop blijven staan.

Als we onze focus op transparantie, eerlijkheid en menselijk toezicht houden, kan generatieve AI een krachtig hulpmiddel worden Wat zorgt voor een veiligere en veerkrachtigere toekomst, waarbij we ervoor zorgen dat vooruitgang altijd in ons belang is.

Gegevens delen.

Uw smartphone kan gegevens delen met je verzekeringsmaatschappij

Hoe we rijden, is iets wat onze verzekeringsmaatschappij graag zou willen weten, en sommige bestuurders geven die informatie graag op in de hoop lagere premie te betalen. Maar zelfs zonder je toestemming wordt je rijgedrag gedeeld via je smartphone en niet altijd met je toestemming.

Een OBD-sensor die wordt gebruikt om je gedrag als bestuurder te monitoren. Blijkt door autofabrikanten gebruikt om gegevens te verzamelen over het rijgedrag van miljoenen automobilisten. Verzekeraars gebruikten de informatie op hun beurt om tarieven vast te stellen. In de meeste gevallen bleek dat chauffeurs geen idee hadden dat ze werden gemonitord.

Na de onthulling beloofde autofabrikanten dat ze zou stoppen met het monitoren van de eigenaren van de door hun verkochte auto’s. Maar dat betekent niet dat het rijgedrag niet wordt gemonitord en verkocht aan verzekeringsmaatschappijen, waarschijnlijk ook nog zonder je medeweten. In dit geval blijkt dat de leverancier van deze gegevens je smartphone is.

Daarbij zijn er een toenemend aantal smartphone-apps die je rijgeschiedenis volgen en gegevens delen met verzekeringsmaatschappijen.

Omdat de verzekeringssector, hongerig is naar inzichten in hoe we rijden, waarvoor ze zich hebben gewend tot autofabrikanten en smartphone-apps om je rijgedrag te volgen. De informatie die wordt verzameld kan onder meer betrekking hebben op de vraag of je te hard rijdt, of je de neiging hebt om op de rem te trappen, zelfs of je de neiging heeft om tijdens het rijden op uw telefoon te kijken.

Een aantal smartphone-apps kunnen die gegevens nu bijhouden opslaan op je smartphone en op een geschikt moment doorgeven aan de verzekeringsmaatschappijen.

Verschillende apps kunnen je gedrag volgen, waarvan sommige je misschien verrassen. Bijvoorbeeld een dienst die is ontworpen om je te helpen de beste plekken te vinden om goedkoop te tanken door de brandstofprijzen bij nabijgelegen tankstations weer te geven. Maar het biedt verschillende andere functies, waaronder de mogelijkheid om uw brandstofefficiëntie te vergroten. Daarbij wordt aan de hand van het rijgedrag bepaald of je de laagst mogelijke verbruik kan halen.

Je rijgedrag speelt ook een rol in de premie van een autoverzekering.

Verschillende autobedrijven, volgen met externe apps je gedrag achter het stuur en verkopen deze gegevens vervolgens aan data-aggregators. 

Deze informatie kan eenvoudig worden gebruikt om te bepalen hoe je rijdt en vervolgens een score te creëren die helpt bij het bepalen van je verzekeringspremie.

Ondanks dat de meeste fabrikanten vertelden dat je de mogelijkheid hebt om om je af te melden voor het gegevensverzamelingsproces, is dit niet altijd het geval. En zelfs als ze ogenschijnlijk de mogelijkheid hebben om het delen van gegevens te weigeren, weten we misschien niet dat we worden gevolgd, noch hebben we enig idee hoe we dat proces kunnen stoppen.

Een voorbeeld is de brandstofefficiëntie-tracker. Er wordt wel opgemerkt dat de functie ‘mogelijk wordt gemaakt door een app developer’, maar details worden in een klein grijs lettertype geplaatst onder een grote rode knop.

Waarop we klikken om de app te installeren. Er is niets waaruit blijkt waar we het er mee eens zijn dat onze informatie wordt gedeeld. Afmelden voor de trackingfunctie op smartphone-apps kan volgens lastig zijn. In sommige gevallen kan het lastig zijn om simpelweg te achterhalen waar we dit kunnen uitschakelen.

Acht autofabrikanten zijn inmiddels betrokken misbruik van consumentengegevens. Een verkoopargument voor het gebruik van apps van deze fabrikanten was dat de apps kunnen helpen om het aantal ongevallen te verminderen als gevolg van het veranderingen in je gedrag.

Daarbij zijn er genoeg automobilisten die bereid zijn hun rijgedrag weg te delen. Verschillende bedrijven, pitchen openlijk programma’s waarmee je, je kunt aanmelden voor een op gedrag gebaseerde verzekeringspolis.

Dergelijk polis vereist doorgaans dat je een volgapparaat in de OBD II-poort van een je auto installeert. De stekker die wordt normaal gesproken wordt gebruikt om problemen te diagnosticeren, zoals een defecte motorcontroller.

Maar de gegevensstroom biedt ook doorlopende gegevens over hoe het voertuig wordt bestuurd. Smartphones kunnen aanvullende informatie bijhouden, bijvoorbeeld of de smartphone wordt gebruikt terwijl het voertuig in beweging is, een teken dat we mogelijk afgeleid worden tijdens het rijden.

De wijdverbreide uitwisseling van gegevens leidt tot veranderingen in de manier waarop deze worden verzameld en verwerkt.

Verschillende bedrijven vertelde ons dat ze geen gegevens van derden kopen of gebruiken om tarieven te bepalen. En beweren dat ze alleen op tracking gebaseerde gegevens toepassen als ze specifiek kiezen voor het gebruik van door het bedrijf geleverde trackingapparatuur of smartphone-apps.

Volgens de AVG kunnen automobilisten alle gegevens opvragen die zijn verzameld door bedrijven die hen volgde via trackingapparatuur of smartphone-apps.

persoonsgegevens

Persoonsgegevens vormen de kern van de AVG (Algemene Verordening Gegevensbescherming). Het doel van de verordening: is vastleggen wat organisaties moeten beschermen.

Het probleem is dat de AVG geen expliciete lijst biedt van wat wel of geen persoonlijke gegevens zijn. Het is aan organisaties om de definitie van de AVG correct te interpreteren:

‘Persoonsgegevens’ betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’)

Met andere woorden, persoonlijke gegevens zijn alle gegevens die informatie bevatten die duidelijk over een bepaald persoon gaan.

De AVG verduidelijkt verder dat informatie als persoonlijke gegevens wordt beschouwd wanneer een individu kan worden geïdentificeerd, direct of indirect, “door verwijzing naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon”.

In bepaalde omstandigheden kunnen iemands IP-adres, haarkleur, baan of politieke opvattingen als persoonlijke gegevens worden beschouwd.

Het is de moeite waard om de kwalificatie ‘in bepaalde omstandigheden’ te benadrukken, omdat de vraag of informatie als persoonlijke gegevens wordt beschouwd vaak afhangt van de context waarin deze wordt verzameld.

We verzamelen doorgaans veel verschillende soorten informatie over mensen, en zelfs als één stukje data iemand niet individualiseert, kan het relevant worden naast andere informatie.

Een gegevensbeheerder die informatie opvraagt ​​over mensen die producten downloaden van zijn website, kan hen bijvoorbeeld vragen hun beroep op te geven. Dit valt niet onder de reikwijdte van persoonlijke gegevens van de AVG, omdat functietitels doorgaans niet uniek zijn voor één persoon.

Op dezelfde manier zou een organisatie kunnen vragen voor welk bedrijf ze werken, wat wederom niet kan worden gebruikt om iemand te identificeren, tenzij deze de enige werknemer is.

In veel gevallen kunnen deze stukjes informatie echter samen worden gebruikt om het aantal natuurlijke, levende personen zodanig te beperken dat je redelijkerwijs iemands identiteit kunt vaststellen.

Met andere woorden: als u verwijst naar iemand met een specifieke functietitel bij een specifieke organisatie, is er mogelijk maar één persoon die aan die beschrijving voldoet.

Je zou kunnen denken dat iemands naam een ​​duidelijk voorbeeld van persoonlijke gegevens is; dit definieert jou letterlijk als jij.

Veel namen zijn niet uniek. Op die manier kun je veel individuen uitsluiten, maar je kunt geen specifieke persoon aanwijzen.

Alleen wanneer u een naam combineert met andere informatie – zoals een adres, een telefoonnummer of een werkplek – wordt een gewone naam een ​​persoonsgegevens.

Zoals we hebben uitgelegd, kan het lastig zijn om te zeggen of bepaalde informatie voldoet aan de AVG-definitie van persoonlijke gegevens.

Wat kunnen persoonlijke gegevens zijn, op zichzelf of in combinatie met aanvullende informatie?

Biografische informatie of huidige woonsituatie, inclusief namen, adressen, geboortedata en -plaatsen, nationale identificatienummers, telefoonnummers en e-mailadressen.

Uiterlijk, uiterlijk en gedrag, waaronder oogkleur, schoenmaat, karaktereigenschappen en winkelgedrag.

Werkplekgegevens en informatie over opleiding, inclusief salaris of andere verdiensten, belastinggegevens en studentnummers.

Privé- en subjectieve gegevens, waaronder religie, politieke opvattingen en geolocatiegegevens.

Gezondheid, ziekte en genetica, inclusief medische geschiedenis, genetische gegevens en informatie over ziekteverlof.

Als u niet zeker weet of de informatie die u opslaat persoonlijke gegevens zijn, wees dan voorzichtig.

Zorg ervoor dat u voldoet aan de beginselen voor gegevensbescherming. Verwerk alleen gegevens die nodig zijn voor een bepaald doel. Houd het up-to-date, en alleen zolang het aan dat doel voldoet.

Houd het ook veilig. ‘Integriteit en vertrouwelijkheid’ is een expliciet principe onder de AVG. Maar ongeacht of de informatie als ‘persoonlijke gegevens’ wordt beschouwd, wil je niet dat deze in verkeerde handen komt.

Digital Services Act (DSA)

De Europese Digital Services Act (DSA) introduceert een reeks nieuwe wettelijke verplichtingen die waarschijnlijk zullen leiden tot een levendig ecosysteem dat is gericht op het helpen van platforms om te voldoen aan de nalevingsvereisten en -kansen die de wetgeving biedt.

Bestaande platformen kunnen hun bedrijfsmodellen aanpassen om aan de behoeften van de DSA te voldoen, door nieuwe oplossingen en eenheden te ontwikkelen, terwijl geheel nieuwe ondernemingen kunnen ontstaan ​​om te profiteren van de opkomende vraag naar diensten.

Diensten voor buitengerechtelijke geschillenbeslechting die gespecialiseerd zijn in beslissingen over contentmoderatie: tot nu toe konden gebruikers die te maken kregen met handhavingsmaatregelen van platforms, zoals schorsing, demonetisering of verwijdering van content, alleen in beroep gaan tegen deze beslissingen via de interne processen van het platform.

De DSA introduceert een optie voor buitengerechtelijke geschillenbeslechting, waarmee gebruikers deze beslissingen kunnen aanvechten via gecertificeerde geschillenbeslechtingsinstanties.

De DSA vereist dat zeer grote onlineplatforms (VLOP’s) en zoekmachines (VLOSE’s) jaarlijkse risicobeoordelingen uitvoeren om systemische risico’s die verband houden met hun diensten te identificeren, analyseren en evalueren, vooral voordat belangrijke functionaliteiten worden geïmplementeerd.

De DSA vereist dat gecertificeerde vertrouwde flaggers rapporten over illegale inhoud indienen bij platforms en prioriteit krijgen bij de beoordeling.

Aangezien vertrouwde flaggers voornamelijk onderzoeksinstellingen, maatschappelijke organisaties en non-profitorganisaties zullen zijn, zullen er ook nieuwe bedrijven zijn die zich toeleggen op het ondersteunen of opzetten van systemen voor vertrouwde flaggers.

Deze bedrijven zullen de rapportage van schadelijke inhoud verbeteren, zoals vereist door de DSA. Potentiële organisaties die deze missie op zich kunnen nemen, zijn onafhankelijke adviesbureaus of overkoepelende organisaties.

Deze bedrijven helpen toezichthouders bij het detecteren en analyseren van schadelijke content op platforms. Door bewijs van dergelijke content te leveren, kunnen toezichthouders voldoende gronden verzamelen om onderzoeken te starten of verzoeken om informatie naar de platforms te sturen.

Sommige toezichthouders kunnen een aanzienlijke toename van hun operationele belasting ervaren vanwege de noodzaak om de DSA te implementeren en te handhaven.

De DSA wijst lokale Digital Services Coordinators (DSC’s) aan om verantwoordelijkheden af ​​te handelen zoals auditing, onderzoek, toezicht op risicobeoordelingsprocessen, certificering van vertrouwde flaggers, beheer van individuele klachten en meer.

Lidstaten met een grote vertegenwoordiging van VLOP-hoofdkantoren, zoals Ierland, zullen effectieve operationele maatregelen moeten toepassen, zoals prioritering en stroomlijning, om hun verplichtingen als DSC’s effectief na te komen.

Bedrijven die platforms aanbieden die gespecialiseerd zijn in wachtrijbeheer, workflowautomatisering, beheer van serviceaanvragen of resourceplanning, kunnen potentiële kandidaten zijn voor deze missie.

DSA-gereedheidsconsultatie: hoewel VLOP’s en VLOSE’s grote teams hebben die zich toeleggen op het waarborgen van naleving van de DSA en experts op het gebied van naleving van regelgeving kunnen inhuren, zullen kleine en middelgrote platforms te maken krijgen met aanzienlijke uitdagingen bij het naleven van de nieuwe wet. Deze platforms, die mogelijk minder bekend zijn met de DSA, hebben nog steeds veel onzekerheden met betrekking tot hun naleving.

Bijgevolg kunnen we een toename verwachten van nalevingsgereedheidsservices die de producten, beleidsregels en processen van een platform beoordelen en adviseren over manieren om eventuele risico’s op niet-naleving te beperken. Er zullen adviesbureaus ontstaan ​​om bedrijven te begeleiden bij de overgang naar DSA-naleving, om ervoor te zorgen dat ze alle wettelijke verplichtingen begrijpen en nakomen.

De DSA is niet alleen hervormt het regelgevingslandschap voor digitale diensten in Europa, maar fungeert ook als katalysator voor de groei van een robuust bedrijfsecosysteem, met kansen variërend van compliance-ondersteuning tot buitengerechtelijke geschillenbeslechting. De omvang van de commerciële kans is in dit vroege stadium moeilijk in te schatten, net als de effecten van de opkomst van deze nieuwe regelgevende economie.

Privacyportaal

Een privacyportaal is een platform dat is ontworpen om individuen een gecentraliseerde en toegankelijke plek te bieden waar ze hun persoonlijke gegevens en privacyrechten kunnen beheren. Het geeft individuen meer controle over hun persoonlijke gegevens en de manier waarop deze door organisaties worden verzameld, verwerkt en gedeeld.

Het privacyportaal biedt individuen doorgaans de mogelijkheid om hun persoonlijke gegevens in te zien, te bekijken en bij te werken, om verwijdering van hun gegevens aan te vragen en hun privacyrechten uit te oefenen, zoals het recht om zich af te melden voor het delen van gegevens. Het portaal moet worden geïntegreerd met de systemen en processen van de organisatie om de huidige stand van zaken en verzoeken van het individu mogelijk te maken.

Een beleidsbeheerplatform voor privacyregelgeving is een softwareoplossing die is ontworpen om organisaties te helpen bij het beheren en naleven van privacyregelgeving. Het platform wordt gebruikt om het proces van het creëren, onderhouden en handhaven van privacybeleid en -procedures te automatiseren en te stroomlijnen, zodat de organisatie blijft voldoen aan de relevante privacyregelgeving.

Het beleidsbeheerplatform moet de volgende mogelijkheden omvatten: beleidscreatie en -beheer, en privacyrisicobeoordelingen en incidentresponsbeheer.

Een toestemmingsbeheerplatform is een softwareoplossing die organisaties helpt te voldoen aan de privacyregelgeving. Het biedt een gecentraliseerd platform voor het beheren van toestemmingen van gebruikers, het verzamelen en opslaan van toestemmingen, en het garanderen dat downstream-systemen de toestemmingen van gebruikers naleven.

Een dataopslag voor personen is een database waarin informatie over individuen en hun persoonlijke gegevens wordt opgeslagen. Een persoonlijke dataopslag -oplossing verwijst naar een database waarin stamgegevens met betrekking tot individuen worden opgeslagen en beheerd. Het bevat belangrijke informatie die een entiteit definieert, zoals een persoon, en omvat gegevens zoals naam, adres, e-mailadres en andere identificerende informatie, en wordt onderhouden in overeenstemming met de privacyregelgeving en toestemmingen.

Om de privacyvereisten te beschermen en te beheren, moeten de mogelijkheden voor databeheer volwassen worden. Mogelijkheden op het gebied van databeheer worden vaak goed begrepen en slecht geïmplementeerd vanwege de complexiteit van de huidige situatie. Om ervoor te zorgen dat er proactief aan de privacyregelgeving wordt voldaan, moet het volgende worden geïmplementeerd voor alle datadomeinen met persoonsgegevens.

De meest kritische mogelijkheid voor bijzondere persoonsgegevens, omdat de regelgeving nu zeer nauwkeurig wordt over wie en wanneer iemand bijzondere persoonsgegevens kan bekijken . Rolgebaseerd toegangsbeheer is niet langer acceptabel en organisaties moeten overstappen op attribuutgebaseerd toegangsbeheer om ervoor te zorgen dat alleen de vereiste attributen zichtbaar zijn voor een persoon voor zakelijke doeleinden.

Data afstamming zorgt ervoor dat de organisatie altijd op de hoogte is van waar de bijzondere persoonsgegevens naartoe is verplaatst op basis van zakelijke behoeften. Er moet een real-time weergave met behulp van een data oorsprong-tool worden geïmplementeerd en actueel gehouden voor alle bijzondere persoonsgegevens in de organisatie.

Metadata zijn om verschillende redenen een uitdaging. In landschappen die afhankelijk zijn van tools van leveranciers, verstrekken leveranciers nooit volledige metadata in hun producten. In organisaties met veel oudere applicaties werden metadata waarschijnlijk nooit in de vereiste granulariteit vastgelegd. Dit is een investering die elk bedrijf moet doen om inzicht te krijgen in de gegevens binnen het bedrijf, vooral persoonlijke gegevens, en hoe deze worden gebruikt en getransformeerd. Deze mogelijkheid speelt ook een cruciale rol bij het gemakkelijk ontdekken van gegevens voor rapportage.

Domeineigenaren met bijzondere persoonsgegevens -attributen moeten hun verantwoordelijkheden begrijpen in overeenstemming met de regelgeving en het interne beleid. Data-eigenaren concentreren zich soms op de applicaties waarvan zij eigenaar zijn en nemen geen verantwoordelijkheid voor de data zodra deze hun systeem verlaten; ze moeten er nu eigenaar van worden van begin tot eind. Er moet iemand zijn die verantwoordelijk is voor de volledige levenscyclus van bijzondere persoonsgegevens.

Het verkeerde adres of e-mailadres kan in bepaalde gebruikssituaties resulteren in het delen van zeer vertrouwelijke informatie. We moeten daarom extra maatregelen nemen om ervoor te zorgen dat de verzamelde persoonsgegevens van hoge kwaliteit zijn.

data als product

Data is in de meeste gevallen een ‘bijproduct’ van processen en technologieën geweest. Om inkomsten of kostenbesparingen te genereren, creëerden we processen om de transacties af te handelen. Deze processen zijn in wezen de overdracht van informatie van de ene punt naar de andere om de voltooiing van een proces te bewerkstelligen.

Gegevens worden verzameld – persoonlijke basisgegevens, financiële gegevens en de vereiste gegevens voor de dienst of product – en worden vervolgens verwerkt. Elke stap is gemaakt voor een specifieke taak en de gegevens worden verzameld om dat proces vooruit te helpen. En technologie wordt ingezet om deze processen te automatiseren. Allemaal met zijn unieke end-to-end processen en de verschillende mechanismen voor het verzamelen, opslaan en verwerken van die gegevens.

Echter praten de meeste van deze systemen en processen niet met elkaar en zijn ze steeds complexer geworden naarmate ze zich verder ontwikkelen.

Terwijl elke transactie wordt onderdeel van verschillende processen, en persoonlijke identificatie-informatie wordt gedistribueerd naar systemen, datastores en rapporten, wat resulteert in complexe controles. Dit heeft geresulteerd in de volgende grote uitdagingen voor elke privacyregelgeving die data-attributen probeert te beheren.

Een andere complicatie is dat de definitie van wat ‘persoonlijke gegevens’ zijn, regelmatig verandert naarmate bij elke nieuwe digitale uitvinding nieuwe gegevens over ons bestaan worden gecreëerd. De oorspronkelijke definitie van persoonlijke gegevens had betrekking op het burgerservicenummer (SIN), adres, telefoonnummer en andere zeer persoonlijke informatie van een individu die voor een beperkt doel met een organisatie zou worden gedeeld.

Voor geavanceerde analyses en gepersonaliseerde ervaringen hebben grote techbedrijven en grote organisaties veel aanvullende gedragsgegevens verzameld om hun gebruikers te kunnen begrijpen – grotendeels mogelijk gemaakt door hun internetgebruik en smartphone-activiteiten te monitoren. Het is veilig om te zeggen dat de hoeveelheid persoonlijke gegevens die door smartphones wordt gegenereerd de afgelopen jaren aanzienlijk is toegenomen.

Mensen kunnen nu met één klik op de knop enorme hoeveelheden persoonlijke informatie genereren, opslaan en delen, waaronder foto’s, video’s, locatiegegevens, sms-berichten en activiteiten op sociale media. Veel apps op smartphones verzamelen ook gegevens zoals browsegeschiedenis, zoekopdrachten en koopgedrag – soms met toestemming, soms niet.

Er zijn organisaties die vingerafdrukken en netvliesscans gebruiken als onderdeel van hun proces – wat net zo uniek is als het hebben van uw DNA in ons bestand. Deze worden allemaal onderdeel van ‘persoonlijke gegevens’ die nu moeten worden beheerd, maar die verder gaan dan de definitie van persoonsgegevens. De angstaanjagende gedachte is dat het allemaal bovenop een zeer ingewikkeld data-ecosysteem zit dat nog niet volledig in kaart is gebracht.

Terwijl we aan onze reis zijn begonnen om ‘datagedreven’ te worden en onze analytische capaciteiten verder te ontwikkelen, verzamelden we alle stukjes over alles en iedereen, maar zuiverden die data niet. Deze gegevens zijn verspreid over meerdere gegevensopslagplaatsen en -processen.

Dit levert kopzorgen op als we waarde proberen te genereren; zeker nu er over de hele wereld verschillende belangrijke mondiale privacyregels zijn of opkomst zijn, elk met hun specifieke vereisten en bepalingen om het sentiment van het land/de regio ten aanzien van privacy te weerspiegelen.

overdenking


Navigerend door de data-ethiek op zoek naar een referentiekader voor dataprivacy met vijf belangrijke pijlers.

We verzamelen te veel informatie over gebruikers, klanten en medewerkers?

Waar trekken we de grens voor wat overmatig verzamelen van gegevens is?

Tegenwoordig wordt vrijwel ieder mens ergens op de planeet tot op zekere hoogte digitaal gevolgd. Hun bewegingen, interesses, gewoonten en gesprekken worden bekeken, geanalyseerd en opgeslagen door duizenden organisaties die ze voor verschillende doeleinden gebruiken – sommige met toestemming, andere zonder.

Er is explosie van analyse-, personalisatie- en voorspellende modellen die door de technologiegiganten is teweeggebracht, heeft geresulteerd in de haast om elk klein detail over een persoon te verzamelen en te gebruiken.

Wij zijn de eerste generatie die let op het aantal stappen dat we zetten, de calorieën die we eten en de keren dat we ’s nachts wakker zijn geworden. Het feit dat we het met technologie kunnen doen, is niet zo belangrijk als het feit dat we deze inzichten belangrijk vinden; dan gebruiken we het om de volgende dag beslissingen te nemen.

Het verzamelen van deze stukjes informatie uitsluitend voor persoonlijk gebruik voelt empowerend; Maar anderen die deze informatie verzamelen voor het genereren van inkomsten, reclame, productontwikkeling, marketinginzichten en strategieën die puur voor hun eigenbelang zijn, kunnen opdringerig zijn.

Al deze informatie afkomstig vanuit digitale bronnen kan worden gebruikt op manieren die onze veiligheid en privacy in gevaar kunnen brengen als ze niet op de juiste manier worden beschermd en gebruikt. Er is een trend van overmatige verzameling en gebrek aan bescherming van persoonlijke gegevens, die aanzienlijke schade kan berokkenen als ze met slechte bedoelingen worden verzameld en gebruikt.

Verzamelen we te veel informatie voor doeleinden die verder gaan dan wat we nodig hebben en een ethische grens beginnen te overschrijden?

Waar trekken we de grens voor het te veel verzamelen van gegevens in een wereld van influencers en tiktokers die bedrijfsmodellen hebben gecreëerd die gebaseerd zijn op het te veel delen van persoonlijke gegevens als nooit tevoren?

Zoals vaak het geval is, hebben toezichthouders individuen en bedrijven zien duiken in het delen/verzamelen van gegevens en besloten hierop te reageren.

Als we dit vanuit het standpunt van een organisatie bekijken, hebben ze data vaak met de beste bedoelingen benaderd: om de klantervaring te verbeteren en de omzet- en kostenbesparingen te vergroten ten behoeve van de organisatie.

Data en inzicht brengen veel meer waarde met zich mee dan ‘onderbuikgevoelens’ in de wereld van vandaag, maar organisaties die al tientallen jaren bestaan, hebben een data-ecosysteem dat vol zit met legacy-platforms, organisch gegroeide systemen en weinig documentatie.

De discipline Data Governance is vrij nieuw in vergelijking met het gebruik van applicaties. Het is dus geen verrassing dat de meeste organisaties momenteel worstelen met hun datalandschap.

Ze hebben verschillende strategieën geprobeerd om het probleem van het volume, de variëteit en de snelheid van de gegevens op te lossen die nodig zijn om hun volledige zakelijke potentieel te bereiken.

En hebben geïnvesteerd in magazijnen, het datameer, het lakehouse, datafabrics en elke oplossing daartussenin. Nu er in elk rechtsgebied privacyregels opdoemen, zal het ongelooflijk moeilijk zijn om aan de regelgeving te voldoen als er geen controle is van gegevens.

We hebben nu moderne manieren nodig om na te denken over de gegevens om aan alle verschillende eisen te voldoen: waarde, kostenbeheer en regeldruk.

gevoelig

Gevoelige persoonlijke informatie?

Volgens complianceregels omvat gevoelige persoonlijke informatie twee soorten informatie die moeten worden onderscheiden.

Er is persoonlijke informatie en gevoelige informatie.

Persoonlijke gegevens omvatten gegevens die kunnen worden gebruikt om je als individu te identificeren; zaken zoals je naam, geboortedatum of e-mailadres.

Gevoelige gegevens zijn een meer specifieke reeks categorieën. Deze categorieën omvatten gezondheidsinformatie, ras of etnische achtergrond, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, seksleven of seksuele geaardheid, genetische gegevens en biometrische gegevens.

Er moet met grote zorgvuldigheid met deze gegevens worden omgegaan, omdat het lekken van deze informatie tot discriminatie kan leiden.

Er bestaat echter enige verwarring over welke gegevens in welke categorie vallen. Laten we eens kijken naar de meest gestelde vragen over gevoelige gegevens.

Leeftijd is geen gegeven dat je als een persoon kan identificeren en is een persoonlijke gegeven dat naar verwachting in de database kan voorkomen. Leeftijd valt onder de categorie ‘persoonsgegevens’ en is niet gevoelig in relatie tot de AVG wetgeving.

Een e-mailadres valt onder de categorie persoonsgegevens, omdat het wel betrekking heeft op de persoon en deze kan identificeren. Het worden echter niet als gevoelige gegevens beschouwd omdat ze op zichzelf geen directe en ernstige impact hebben op de privacy.

Gevoelige gegevens kunnen zich vaak ophopen in de e-mails van werknemers. Met een GDPR Risk Scan van DataMapper krijgt u een rapport dat eventuele GDPR-risico’s in de e-mails van het bedrijf laat zien.

Namen worden gecategoriseerd als persoonsgegevens, omdat ze kunnen leiden tot de identificatie van een persoon, maar ze worden niet geclassificeerd als gevoelige gegevens omdat namen op zichzelf geen risico vormen op ernstige schending van de privacy.

Aan de andere kant kunnen sommige soorten identificerende gegevens, zoals het burgerservicenummer van een persoon, als gevoelig worden beschouwd, omdat deze een grotere impact kunnen hebben op de privacy.

Een foto is een direct identiteitsbewijs en valt onder de categorie gevoelige persoonsgegevens met betrekking tot ras en etnische achtergrond.

Dit betekent dat deze niet zonder uitdrukkelijke toestemming van iemand dat dit in het bezit mag zijn van iemand, tenzij de wetgeving een uitzondering bepaalt.

Salarisgegevens worden gezien als gevoelige gegevens beschouwd. Hoewel het niet direct onder de categorie valt die volgens de AVG als gevoelige persoonsgegevens wordt gedefinieerd, is salarisinformatie een bijzondere categorie, met een grotere impact op de privacy dan andere persoonsgegevens zoals iemands leeftijd, e-mailadres of naam.

Nationaliteit hangt nauw samen met de gevoelige gegevenscategorie ras en etnische achtergrond. Wees voorzichtig bij het opslaan van dit soort gegevens, aangezien de regels voor het omgaan met gevoelige persoonlijke gegevens strenger zijn, wat een uitdaging vormt als u nationaliteiten opneemt in de werknemersinformatie die in uw database is opgeslagen.

Een paspoort is een volledig bewijs van uw identiteit, inclusief ras en etnische achtergrond. Bedrijven mogen zonder uitdrukkelijke toestemming geen toegang krijgen tot iemands paspoort, tenzij de wetgeving een uitzondering toestaat.

Initialen zijn persoonlijke gegevens die in principe kunnen worden afgeleid van de naam van het individu. Het heeft op zichzelf geen directe en serieuze gevolgen voor de privacy.

Adresgegevens op zich zelf zijn niet gevoelig. Maar een adres is persoonlijke informatie, omdat het kan worden gebruikt om een persoon te identificeren. Op zichzelf heeft het geen directe impact op de privacy.

Verjaardag wordt echter beschouwd als persoonlijke informatie, omdat deze geen direct verband houdt met privacy.

Volgens de Verordening Persoonsgegevens is het burgerservicenummer geen gevoelige informatie. Het burgerservicenummer behoort echter tot een categorie die buiten de AVG-categorieën voor gevoelige persoonsgegevens valt. Dit gezegd hebbende, wordt het burgerservicenummer behandeld als gevoelige informatie, omdat het nummer alleen wordt gebruikt om een persoon te identificeren. Niet alle landen hebben een persoonlijk identificatienummer.

Voordat we informatie gaan verzamelen, moeten we weten of het gevoelige persoonlijke informatie betreft. De praktijk voor het opslaan en beschermen van deze informatie zal verschillen afhankelijk van of het om gevoelige persoonsgegevens gaat of niet.

Als we niet zeker weten of dit soort gegevens in de systemen staan, hebben, waar deze zich bevinden en hoeveel we ervan opslaan, daarbij is het raadzaam Datamapper te gebruiken om deze in alle gegevenssystemen teruggekeerd te kunnen vinden.