De European Data Protection Board (EDPB) heeft richtlijnen aangenomen over de grondslag ‘gerechtvaardigd belang’. Dit is één van de zes grondslagen in de AVG om persoonsgegevens te mogen verwerken.

Persoonsgegevens mogen slechts onder drie voorwaarden verwerkt worden op deze grondslag:
1. er is daadwerkelijk een gerechtvaardigd belang;
2. de verwerking van persoonsgegevens is noodzakelijk om dit belang te behartigen;
3. het gerechtvaardigd belang weegt zwaarder dan de belangen van betrokkenen.

De EDPB geeft uitleg bij het toepassen van deze stappen en voorbeelden van situaties waarin het (al dan niet) mogelijk is om een beroep te doen op gerechtvaardigd belang.

Deze richtlijnen analyseren de criteria die zijn vastgelegd in artikel 6(1)(f) AVG waaraan verwerkingsverantwoordelijken moeten voldoen om op rechtmatige wijze de verwerking van persoonsgegevens uit te voeren die “noodzakelijk is voor de doeleinden van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde”.

Artikel 6(1)(f) AVG is een van de zes rechtsgrondslagen voor de rechtmatige verwerking van persoonsgegevens zoals bedoeld in de AVG. Artikel 6(1)(f) AVG mag niet worden beschouwd als een “laatste redmiddel” voor zeldzame of onverwachte situaties waarin andere rechtsgrondslagen niet van toepassing worden geacht, noch mag het automatisch worden gekozen of mag het gebruik ervan ten onrechte worden uitgebreid op basis van de perceptie dat artikel 6(1)(f) AVG minder beperkend is dan andere rechtsgrondslagen.

Om verwerking te baseren op artikel 6(1)(f) AVG, moeten drie cumulatieve voorwaarden worden vervuld:

• Ten eerste, het nastreven van een gerechtvaardigd belang door de verwerkingsverantwoordelijke of door een derde;

• Ten tweede, de noodzaak om persoonsgegevens te verwerken voor de doeleinden van het gerechtvaardigde belang/de gerechtvaardigde belangen die worden nagestreefd; en

• Ten derde hebben de belangen of fundamentele vrijheden en rechten van de betrokkenen geen voorrang op het/de gerechtvaardigde belang(en) van de verwerkingsverantwoordelijke of van een derde.

Met betrekking tot de derde voorwaarde moet de verwerkingsverantwoordelijke zijn gerechtvaardigde belang(en) of die van een derde afwegen tegen de “belangen of fundamentele rechten en vrijheden van de betrokkenen”. Deze “evenwichtsoefening” tussen de fundamentele rechten, vrijheden en belangen die op het spel staan, moet worden uitgevoerd voor elke verwerking die is gebaseerd op gerechtvaardigd belang als wettelijke basis en moet worden uitgevoerd vóór de uitvoering van de relevante verwerkingshandeling(en).

Om te bepalen of een bepaalde verwerking van persoonsgegevens kan worden gebaseerd op artikel 6(1)(f) AVG, moeten verwerkingsverantwoordelijken zorgvuldig beoordelen en documenteren of aan deze drie cumulatieve voorwaarden is voldaan. Deze beoordeling moet worden uitgevoerd voordat de relevante verwerkingshandelingen worden uitgevoerd.

Met betrekking tot de voorwaarde met betrekking tot het nastreven van een gerechtvaardigd belang, kunnen niet alle belangen van de verwerkingsverantwoordelijke of een derde als gerechtvaardigd worden beschouwd; alleen die belangen die rechtmatig, nauwkeurig geformuleerd en aanwezig zijn, kunnen geldig worden ingeroepen om te vertrouwen op artikel 6(1)(f) AVG als rechtsgrond. Het is ook de verantwoordelijkheid van de verwerkingsverantwoordelijke om de betrokkene te informeren over de gerechtvaardigde belangen die worden nagestreefd wanneer die verwerking is gebaseerd op artikel 6(1)(f) AVG.

Een belang kan als “gerechtvaardigd” worden beschouwd als aan de volgende cumulatieve criteria is voldaan:

– Het belang is rechtmatig, d.w.z. niet in strijd met het EU- of lidstaatrecht.27 Hoewel het concept van “gerechtvaardigd belang” in de zin van artikel 6(1)(f) AVG niet beperkt is tot belangen die in de wet zijn vastgelegd en door de wet zijn bepaald, vereist het dat het beweerde gerechtvaardigde belang rechtmatig is.

– Het belang is duidelijk en nauwkeurig geformuleerd. De reikwijdte van het nagestreefde gerechtvaardigde belang moet duidelijk worden geïdentificeerd om ervoor te zorgen dat het op de juiste manier wordt afgewogen tegen de belangen of fundamentele rechten en vrijheden van de betrokkene.

– Het belang is reëel en actueel, en niet speculatief. Zoals verduidelijkt door het HvJ-EU, moet het gerechtvaardigde belang aanwezig en effectief zijn op de datum van de gegevensverwerking en mag het op die datum niet hypothetisch zijn.

Met betrekking tot de voorwaarde dat de verwerking van persoonsgegevens noodzakelijk is voor de doeleinden van de nagestreefde gerechtvaardigde belangen, moet worden vastgesteld of de nagestreefde gerechtvaardigde belangen niet redelijkerwijs even effectief kunnen worden bereikt met andere middelen die minder beperkend zijn voor de fundamentele rechten en vrijheden van de betrokkenen, ook rekening houdend met de beginselen die zijn vastgelegd in artikel 5(1) AVG. Indien dergelijke andere middelen bestaan, mag de verwerking niet worden gebaseerd op artikel 6(1)(f) AVG.

Met betrekking tot de voorwaarde dat de belangen of fundamentele rechten en vrijheden van de betrokkene bij de gegevensverwerking niet prevaleren boven de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, houdt die voorwaarde een afweging in van de tegengestelde rechten en belangen in kwestie die in beginsel afhankelijk is van de specifieke omstandigheden van de relevante verwerking. De verwerking mag alleen plaatsvinden als de uitkomst van deze afweging is dat de nagestreefde gerechtvaardigde belangen niet worden overschreven door de belangen, rechten en vrijheden van de betrokkenen.

Een juiste beoordeling van artikel 6(1)(f) AVG is geen eenvoudige oefening. In plaats daarvan vereist de beoordeling — en met name de afweging van tegengestelde belangen en rechten — volledige overweging van een aantal factoren, zoals de aard en bron van de relevante legitieme belangen, de impact van de verwerking op de betrokkene en diens redelijke verwachtingen over de verwerking, en het bestaan ​​van aanvullende waarborgen die onterechte impact op de betrokkene kunnen beperken. De huidige richtlijnen bieden richtlijnen over hoe een dergelijke beoordeling in de praktijk moet worden uitgevoerd, inclusief in een aantal specifieke contexten (bijv. fraudepreventie, direct marketing, informatiebeveiliging, enz.) waarin deze rechtsgrondslag kan worden overwogen.

De richtlijnen leggen ook de relatie uit die bestaat tussen artikel 6(1)(f) AVG en een aantal rechten van betrokkenen onder de AVG.

Als we medewerkers zouden ondervragen over hun AI-angsten, zal een derde van de werknemers hun bezorgdheid uiten dat AI hun baan zou kunnen verdampen. Maar als we ze vragen naar de rol van AI bij het aannemen en promoten, uitte een veel groter percentage van twee derde van de medewerkers hun zorgen. Het dubbele van het aantal dat zich zorgen maakte over hun eigen baan.

Dit benadrukt een belangrijk maar vaak over het hoofd gezien punt: AI staat op het punt om niet alleen te veranderen wat we doen, maar ook hoe het wordt gedaan. Naarmate AI-tools zich ontwikkelen, kunnen we verwachten dat we steeds meer door algoritmen worden beoordeeld. Zelfs nu hebben werkgevers toegang tot door AI aangestuurde tools om werknemers werven, compenseren, monitoren, aansturen en evalueren. Hoewel de uiteindelijke effecten van deze tools onbekend zijn, vormen ze een reëel risico op het uithollen van de kwaliteit van banen en het verergeren van inkomensongelijkheid.

Helaas missen we momenteel de gegevens die nodig zijn om te begrijpen hoe AI op de werkplek werknemers en bedrijven beïnvloedt. Bestaande AI-gegevensverzamelingsinspanningen richten zich vaak op de automatisering van taken en de productiviteit van nieuwe technologieën, waarbij een cruciaal aspect ontbreekt: de rol van AI als manager.

Door de geschiedenis heen hebben nieuwe technologieën hun weg gevonden naar management van bedrijven. In de film Modern Times van Charlie Chaplin uit 1936, geprezen om zijn dystopische karikatuur van het fabriekstijdperk, is het eerste technologische wonder dat wordt getoond geen industriële machine, maar een tweerichtingstelevisie die door de baas wordt gebruikt om werknemers te monitoren.

CCTV-systemen namen al snel de rol van supervisors van de productielijn over. Ponskaarten maakten plaats voor RFID- en biometrische scanners. Fabrieksmanagers hingen hun stopwatches aan de wilgen en lieten assemblagelijnen het tempo bepalen.

Tegenwoordig gebruiken werkgevers AI-tools om een ​​breed scala aan managementfuncties uit te voeren. Algoritmen richten vacatures op werkzoekenden, screenen cv’s, kalibreren loonoffertes en stellen loonsverhogingen voor. Monitoringsoftware houdt de oogbewegingen van chauffeurs bij, registreert het app-gebruik van kantoorpersoneel en leidt de stemming van callcentermedewerkers af. In hightechmagazijnen sturen door AI aangestuurde systemen de bewegingen van werknemers en scoren ze deze in realtime.

De koplopers in de verschuiving naar AI-gestuurd management zijn platformwerkbedrijven als Uber en TaskRabbit, waar algoritmen bijna elk aspect van de baan beïnvloeden. Machine learning-tools koppelen klanten aan werknemers en stellen salarisniveaus vast. Werving en ontslag vinden grotendeels plaats via een app.

Toch is gig-werk niet de enige sector waar AI-tools een rol spelen in personeelsbezetting en management. Eerder gaven HR-professionals toe  dat ze een vorm van AI te gebruiken, voornamelijk voor werving en selectie. En dat hun bedrijf AI-gestuurde monitoringsystemen gebruikten. En AI-gestuurde hiring tools gebruiken, zoals cv-screeners of systemen voor het beoordelen van sollicitanten.

Als managementtechnologie al zo lang bestaat, verandert AI dan echt iets? Het korte antwoord is ja. De standaardvisie in de economie is dat automatisering historisch gezien ontstond toen routinematige taken konden worden opgedeeld in codificeerbare stappen: draad weven, metaal stempelen, getallen toevoegen. Waar werk niet routinematig was of alleen stilzwijgend begrepen werd, zoals bij creatief werk en sommige handmatige arbeid, vormde automatisering weinig bedreiging.

AI verandert deze oude patronen. AI-systemen kunnen handschriften ontcijferen, röntgenfoto’s interpreteren en originele sonnetten schrijven. Ze doen dit zonder een reeks gedetailleerde instructies, maar vertrouwen in plaats daarvan op trainingsgegevens en machine learning-algoritmen. Met de juiste gegevens kunnen AI-systemen ook worden getraind om te detecteren wanneer een werknemer aan het lanterfanten is of om het loon te voorspellen dat een werkzoekende zou accepteren. Dit is iets nieuws onder de zon.

Hoewel economen robuuste theorieën hebben ontwikkeld over de impact van AI op werkgelegenheid, hebben ze zich minder beziggehouden met AI in management en HR. Deze kloof ontstaat deels omdat een zogenaamd takenmodel wordt gebruikt, waarbij banen worden gezien als bundels taken met verschillende gradaties van vatbaarheid voor automatisering. Deze focus op de inhoud van werk abstraheert van de context van werk, met name hoe werknemers worden aangestuurd.

De economische implicaties van AI in management en human resources kunnen aanzienlijk zijn. Hoe AI de macht van werknemers kan beïnvloeden, met de nadruk op AI die wordt gebruikt om werknemers te bemannen, te monitoren, te sturen en te evalueren. Een reeks theoretische modellen laat zien hoe AI-tools het loon van werknemers kunnen verlagen of ongelijkheid kunnen vergroten. Om het academische jargon te gebruiken: AI kan werkgevers in staat stellen een groter deel van de “economische huur” te vangen die aan een baan is gekoppeld. Vertaald: werknemers krijgen uiteindelijk een kleiner stuk van de taart.

Het hoeft natuurlijk niet allemaal slecht nieuws te zijn. AI-gestuurde aanbevelingen voor banen kunnen werknemers naar betere kansen sturen. Wervingsalgoritmen zijn mogelijk minder bevooroordeeld dan de mensen die ze aanvullen. Zelfs een AI-monitoringsysteem kan te verkiezen boven een grillige kantoortiran.

De brede effecten van AI-tools op de werkplek zijn onbekend. De hierboven uiteengezette theoretische zorgen hebben enige basis in casestudies en populaire rapportages, maar ze zijn nog niet kwantitatief getest. Daarvoor hebben ze gegevens nodig.

Aan de kant van de werknemer geven overtuigende nieuwe bevindingen aan dat miljoenen werknemers het gewicht van digitale managementtools op de werkplek voelen. Meer dan twee derde van de werknemers ondervind een vorm van digitale monitoring op het werk, terwijl bijna de helft meldt dat algoritmische toewijzing van taken of schema’s aan de orde van de dag is. Intensievere managementtechnologieën werden geassocieerd met lagere tevredenheid over het werk en welzijn.

Om deze bevindingen aan de kant van de werknemer aan te vullen en uit te breiden, hebben we ook gegevens aan de kant van de werkgever nodig, en idealiter gegevens die gekoppeld kunnen worden aan door de overheid verzamelde belasting- en administratieve gegevens. Buiten een paar inspanningen van de particuliere sector hebben we een beperkt inzicht in de prevalentie van AI in management en HR. Idealiter zou de SER vragen over dit onderwerp op moeten nemen in zijn onderzoeken onder particuliere bedrijven.

In sommige jaren zijn er reeds vragen opgenomen over AI die door bedrijven wordt gebruikt bij de productie van goederen en diensten, met uitzondering van andere AI-toepassingen zoals werving en ontslag. En hoewel het beantwoorden van nieuwe censusvragen lastig zal zijn, is het noodzakelijk. Meer inzicht in de rol van AI op de werkplek zal betere besluitvorming en beleidsontwikkeling ondersteunen, van de werkvloer tot de gangen van de eerste en tweede kamer.

Andere statistische bureaus over de hele wereld hebben al enige ervaring met het ondervragen van bedrijven over AI die in de hele organisatie wordt gebruikt. De enquête van de EU over nieuwe technologieën heeft gevraagd naar het gebruik van AI in verschillende bedrijfsprocessen, waaronder personeelsbeheer en werving.

Nu AI de economie blijft transformeren, is het cruciaal dat we toegang hebben tot uitgebreide gegevens over de reikwijdte, schaal en impact van AI. Alleen dan kunnen we de prestaties van leidinggevenden interpeteren en beslissingen nemen over hoe we willen dat onze toekomstige werkplekken eruit gaan zien.

Een data beschikbaarheidsstatement is een korte verklaring die beschrijft hoe, waar en onder welke voorwaarden de data beschikbaar, toegankelijk is. Alle datasets zouden een data beschikbaarheidsstatement moeten bevatten, zelfs als er nog geen data is gekoppeld, omdat dit een belangrijke stap is in het geven van erkenning aan datamakers en in het ondersteunen van de reproduceerbaarheid.

In publicaties voor bladen en kranten staat de data beschikbaarheidsstatement meestal aan het einde van een artikel, vóór het gedeelte ‘referenties’. De auteur(s) van het artikel schrijven de data beschikbaarheidsstatement en deze verklaring moet altijd opgenomen voordat er publicatie plaats vind.

De data beschikbaarheidsstatement geeft duidelijke informatie over waar de data toegankelijk is en of de toegang tot de data open is of op een of andere manier beperkt is. Het moet ook een digitale referentie of link bevatten naar waar de data online te vinden is.

Bij het verzamelen of produceren van nieuwe gegevens, moet je deze gegevens uploaden naar een geschikte online gegevensopslagplaats. Alle gegevens moeten samen worden opgeslagen als één dataset, idealiter in een domeinspecifieke opslagplaats. In je verklaring over de beschikbaarheid van gegevens noem je vervolgens de opslagplaats waar de gegevens zich bevinden. Als er sprake van hergebruik van gegevens is die door een derde partij zijn verzameld of geproduceerd, moet je informatie verstrekken over waar deze gegevens te vinden zijn.

Idealiter moet je een persistente identificatie (PID) opgeven die een langdurige digitale verwijzing is naar een document, bestand, webpagina of ander object online, en stabieler is dan een URL. Wanneer je een persistente identificatie opgeeft, zoals een DOI-nummer, is het voor iedereen veel gemakkelijker om de gegevens online te vinden. Meestal wordt er een unieke en persistente identificatie aan de dataset toegewezen zodra je de gegevens uploadt naar een datarepository en op de knop ‘publiceren’ klikt. Het is belangrijk om een ​​persistente identificatie op te nemen in de verklaring over de beschikbaarheid van gegevens, omdat dit helpt de exacte dataset te vinden waarnaar wordt verwezen.

Het is belangrijk om een ​​licentie toe te passen op de gegevens, omdat dit duidelijk maakt wat iemand anders met deze gegevens mag doen. Datarepositories vragen vaak om te kiezen uit een reeks Creative Commons-licentieopties. Als je bijvoorbeeld anderen in staat wilt stellen om de data te gebruiken, aan te passen of erop voort te bouwen, terwijl de juiste credits voor de gegevens worden weergegeven, bij Creative Commons Naamsvermelding (CC-BY)-licentie toepassen. Als je anderen in staat wilt stellen om de gegevens te gebruiken, maar niet wilt dat deze commercieel worden gebruikt, kunt je een Creative Commons Niet-commercieel (CC BY-NC)-licentie toepassen. Voor de volledige lijst met opties voor het licenseren van data, zie de Creative Commons licentie-opties.

Data is openbaar beschikbaar in een repository die geen DOI’s uitgeeft. Gegevens zijn meestal afkomstig van bronnen in het publieke domein.

Het potentieel van mobiliteitsdata te ontsluiten, is essentieel voor de digitale en groene transformatie.

In de huidige onderling verbonden wereld heeft de enorme hoeveelheid data die wordt gegenereerd door de dagelijkse bewegingen van mensen en goederen een groot potentieel. Mobiliteitsdata is een krachtige drijfveer voor verbeterde innovatie en efficiëntie, voor een verminderde impact op het milieu en een verbeterde levenskwaliteit voor iedereen. Het benutten van deze data kan leiden tot slimmere, veerkrachtigere infrastructuur en -diensten, vloeiender verkeer, eenvoudigere grensoverschrijdende reizen, concurrerendere ketens en eenvoudigere rapportage. Naast het eenvoudig verzamelen van data is de uitdaging om het gemakkelijker te maken om data te delen, op een veilige en gecontroleerde manier, en om het om te zetten in bruikbare informatie. Het benutten van het onbenutte potentieel van mobiele data is cruciaal om de ontwikkeling van AI en andere grensverleggende technologieën te ondersteunen.

Er zijn verschillende belangrijke initiatieven en wetgevende kaders opgezet om het gebruik van data te vergemakkelijken en te bevorderen.

De Europese strategie voor data die in februari 2020 werd geïmplementeerd, is gericht op het opzetten van een interne markt voor data, waarmee het concurrentievermogen van Europa op mondiaal niveau wordt gewaarborgd. Het is een uitgebreid plan om de toegang tot, het delen en het gebruik van data in alle sectoren, inclusief mobiliteit, te vergemakkelijken, en het potentieel ervan te benutten ten behoeve van de economie en de samenleving, terwijl de privacy van datasoevereiniteit wordt gewaarborgd.

Onder deze strategie zal de Europese Data Act zorgen voor een eerlijke toewijzing van waarde uit data en de toegang tot en het gebruik van data bevorderen. Het zal bijvoorbeeld de markt openen voor diensten op basis van voertuigdata, van reparaties tot verzekeringen. De uitvoeringswet voor datasets met een hoge waarde maakt belangrijke datasets van de publieke sector vrij beschikbaar in een machinaal leesbaar formaat, inclusief datasets over transportnetwerken (binnenwateren). Tot slot is de Data Governance Act gericht op het vergroten van het vertrouwen in data-intermediairs en het versterken van mechanismen voor het delen van data.

Een Europese strategie voor de data-unie om het kader voor bedrijven en overheden om data te delen te vereenvoudigen en te stroomlijnen, waarbij gebruik wordt gemaakt van bestaande regels.

De EU bevordert ook actief de samenwerking met overheden en de industrie om gemeenschappelijke normen en beste praktijken te ontwikkelen voor het verzamelen, beheren en gebruiken van data. Verschillende initiatieven ondersteunen de digitalisering, waardoor het gemakkelijker wordt om mobiliteitsgerelateerde data te benaderen en uit te wisselen. Daarnaast ondersteunt Connecting Europe Facility (CEF) Digital de oprichting van Operationele Digitale Platformen (ODP’s), die de aanpassing van energie- en transportinfrastructuur ondersteunen en ICT-bronnen leveren om de stroom, opslag en verwerking van gegevens te vergemakkelijken, wat helpt bij de ontwikkeling van nieuwe slimme diensten.

Op weg naar een gemeenschappelijke Europese mobiliteitsdataruimte

De EU-datastrategie kondigde de oprichting aan van gemeenschappelijke Europese dataruimten in belangrijke sectoren, waaronder mobiliteit. Deze dataruimtes bieden de governance en infrastructuur die nodig zijn om de toegang tot, het bundelen en delen van data op een gecontroleerde en veilige manier te vergemakkelijken.

Hoewel er veel data wordt gegenereerd in de mobiliteits- en transportsector, is deze zeer gefragmenteerd. Te veel bedrijven worstelen om toegang te krijgen tot de data die ze nodig hebben, terwijl grote buitenlandse technologiebedrijven Europese data gebruiken om hun bedrijf te voeden.

De European Mobility Data Space (EMDS) heeft als doel om een ​​gemeenschappelijke technische en bestuurlijke Het raamwerk om interoperabiliteit mogelijk te maken en belemmeringen voor toegang tot en delen van gegevens in de mobiliteits- en transportsector weg te nemen. Het bouwt voort op bestaande en opkomende transportdata-ecosystemen en helpt deze te federeren en met elkaar te verbinden. Het ondersteunt bedrijven en overheden door hen te helpen gegevens effectief te gebruiken en zo vooruitgang te boeken in technologieën en -diensten.

In het kader van het programma Digitaal Europa (DIGITAL) werd in september 2023 een voorbereidende actie afgerond die bestaande initiatieven in kaart bracht en mogelijke gemeenschappelijke bouwstenen identificeerde. In november 2023 startte een implementatieactie om data-infrastructuur en governancemechanismen beschikbaar te stellen ter ondersteuning van use cases in negen steden en regio’s, gericht op stedelijke mobiliteit, zoals multimodale routeplanning, monitoring van de milieueffecten van verkeer of het toegankelijker maken van vervoerswijzen voor mensen met beperkte mobiliteit. Een nieuwe actie heeft 15 miljoen euro toegewezen om een ​​duurzame samenwerkingsstructuur op te zetten en verdere grensoverschrijdende mobiliteit en logistieke use cases te implementeren.

Onder de Connecting Europe Facility (CEF) zal een lopend onderzoek helpen bij het definiëren van de governancestructuur voor het EMDS en de rol van de interlinkinglaag die de vindbaarheid en toegankelijkheid van data in verschillende ecosystemen zal vergemakkelijken.

Tot slot zijn de European Digital Infrastructure Consortia (EDIC) een nieuw mechanisme om Multi-Country Projects te implementeren, opgericht door het Digital Decade Policy Programme 2030, ontworpen om de implementatie van duurzame infrastructuur te vergemakkelijken. De voortdurende voorbereiding van de Mobility and Logistic Data EDIC zou een belangrijke rol kunnen spelen bij de creatie, opschaling en levensvatbaarheid op de lange termijn van het EMDS.

Naast deze EU-initiatieven proberen verschillende data-ecosystemen, initiatieven, platforms en marktplaatsen – aangestuurd door lidstaten of particuliere actoren – het delen van data in de mobiliteitssector te vergemakkelijken. Belangrijke voorbeelden zijn:

Mobility Data Space: dit open, gedecentraliseerde ecosysteem, ondersteund door de Duitse overheid, maakt het mogelijk dat aanbieders van mobiliteitsdata data delen terwijl ze de controle behouden en bestaande mobiliteitsdataplatforms koppelen.

Eona-X: deze dataruimte voor mobiliteit, transport en toerisme is opgericht door toonaangevende particuliere partijen, waaronder luchtvaartmaatschappijen, spoorwegen, luchthavens, auto- en reistechnologiebedrijven. Het maakt deel uit van het GAIA-X-initiatief en is gericht op een naadloze integratie van reisdata over verschillende transportmodi om de reiservaring te verbeteren.

Basic Data Infrastructure (BDI): deze reeks overeenkomsten gericht op de logistieke sector stelt deelnemende partijen in staat om gezamenlijk een IT-netwerk te ontwikkelen dat het delen van vertrouwelijke data ondersteunt en tegelijkertijd de datasoevereiniteit waarborgt. De ontwikkeling en toepassing ervan worden ondersteund door de Nederlandse overheid.

Traffic Data Ecosystem: dit publiek-private partnerschap met ongeveer 200 organisaties uit Finland en daarbuiten, ontwikkelt regels voor het effectief delen van data in het verkeersdomein om innovatieve oplossingen voor datagebruik en een eerlijke data-economie te creëren. Het wordt ondersteund door Fintraffic.

De gemeenschappelijke Europese mobiliteitsdataruimte zal voortbouwen op de verschillende bestaande initiatieven. Het zal de interoperabiliteit tussen hen bevorderen door hulpmiddelen te leveren ter ondersteuning van hun convergentie en het vergemakkelijken van dataontdekking en -toegang in ecosystemen.

Het benutten van synergieën met andere gemeenschappelijke Europese dataruimtes (zoals toerisme, slimme gemeenschappen, Green Deal en productie) is essentieel, aangezien enkele van de meest veelbelovende kansen liggen op het kruispunt tussen sectoren. Door bijvoorbeeld gebruik te maken van de dataruimtes voor energie en mobiliteit, wordt het mogelijk om elektromobiliteitsdata te exploiteren en de energieproductie en -vraag te optimaliseren.

Om de interoperabiliteit tussen sectorale dataruimtes mogelijk te maken, ondersteunt de EU de ontwikkeling van een gemeenschappelijke blauwdruk, gedeelde standaarden en gemeenschappelijke bouwstenen. Het Digital Europe-programma financiert met name het Data Spaces Support Centre en de ontwikkeling van Simpl, de open-source slimme middleware voor Europese dataruimtes.

Het delen van iemands persoonlijke informatie online kan leiden tot gevangenisstraf.

De wetgeving zegt dat doxing op een bedreigende en intimiderende manier moet worden gedaan als een misdrijf dient te worden beschouwd

De wetgeving stelt dat er sprake is van een misdrijf als iemand een drager gebruikt om informatie, waaronder de persoonlijke gegevens van een of meer personen, beschikbaar te stellen, te publiceren of anderszins te verspreiden, en zich op een manier gedraagt ​​die redelijke personen in alle omstandigheden als bedreigend of intimiderend jegens die personen zouden beschouwen.

Een persoon die de wet overtreedt, kan tot twee jaar gevangenisstraf krijgen voor het delict.

Maar er is nog een andere juridische mogelijkheid om een kwaadwillende te vervolgen als je persoonlijke informatie online wordt geplaatst.

Een wettelijke onrechtmatige daad voor ernstige inbreuk, om mensen van wie de integriteit is geschonden, toe te staan ​​civiele stappen te ondernemen tegen de persoon die volgens hen hun integriteit heeft geschonden.

Aan welke vereisten moet worden voldaan voordat een beroep op onrechtmatige daad mogelijk is? 

Art. 6:162 lid 1 > men is verplicht tot het betalen van s.v. indien er schade is ten gevolge van een 

onrechtmatige gedraging van een persoon

-Een onrechtmatige gedraging (uitgewerkt lid 2);

-Die kan worden toegerekend (lid 3);

-Er is schade (6:95, 6:96 en 6:98) -> leerdoel 2;

-Er is een causaal verband tussen de gedraging en de schade (c.s.q.n. & 6:98);

-Er is een relatief verband/doel tussen de geschonden norm en het geschonden belang 

(relativiteitsbeginsel 6:163).

De grondslag van de schadevergoedingsverplichting van 6:162 is de toerekenbare onrechtmatige 

gedraging van een persoon.

Wanneer is sprake van ‘onrechtmatig’ gedrag? -> 6:162 lid 2

-Inbreuk op een recht van iemand anders.

-Een doen of nalaten in strijd met een wettelijke

-Een doen of nalaten in strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt?

•Deze laatste is met opzet zo ruim geformuleerd, waardoor de rechter in vrijwel alle gevallen waarin iemand naar algemeen gedeeld in zich onbehoorlijk jegens een ander heeft gehandeld, die persoon tot schadevergoeding veroordelen.

Rechtvaardigingsgronden

Laatste zin 6:162 lid 2. Door een rechtvaardigingsgrond verliest een onrechtmatige gedraging zijn onrechtmatige karakter. 

-Overmacht (als noodtoestand)

-Noodweer

-Uitvoering van een wettelijk voorschrift

-Bevoegd gegeven ambtelijk bevel

Een doen of nalaten in strijd met een wettelijke plicht art. 6:162 lid 2

– In beginsel is ieder handelen, doen of nalaten, die in strijd is met een wettelijke plicht, onrechtmatig. 

– Het kan daarbij gaan om verdragen of wetten in formele zin en wetten in materiële zin. 

– Sterkere positie bij schending wettelijke norm die de gelaedeerde beschermt -> als gedaagde aannemelijk kan maken dat er sprake was van een rechtvaardigingsgrond of indien duidelijk wordt dat de norm niet beoogde om het geschonden belang van de gelaedeerde te beschermen (6:163), dan zal hij daarin slagen

– Er hoeft niet worden vastgesteld of de dader bedacht was of behoorde te zijn op de belangen van de benadeelde die de geschonden norm beoogt te beschermen, zoals wel hoort bij ongeschreven zorgvuldigheidsnormen. Wel of niet bedacht, hij is aansprakelijk

Het transformeren van ruwe data in bruikbare inzichten voor geïnformeerde besluitvorming. Het omvat het verzamelen en onderzoeken van data om vragen te beantwoorden, hypothesen te valideren of theorieën te weerleggen.

Voor het verkrijgen van een concurrentievoordeel, de uitdagingen in snel evoluerende markten, economische onvoorspelbaarheid, fluctuerende politieke omgevingen, grillige consumentensentimenten en zelfs een wereldwijde crises. Deze uitdagingen hebben de ruimte voor fouten verkleind. 

Dit houdt in dat waardevolle, bruikbare informatie strategisch wordt verzameld, die wordt gebruikt om processen te verbeteren.

Verzamelen van relevante data uit verschillende bronnen, waarbij de datakwaliteit en -integriteit worden gewaarborgd.

Datareiniging identificeert en corrigeer fouten, ontbrekende waarden en inconsistenties in de dataset. Schone data is cruciaal voor nauwkeurige analyse.

Datatransformatie bereid de data voor op analyse door categorische variabelen te coderen, functies te schalen en outliers te verwerken, indien nodig.

Vertaald de resultaten van het model naar bruikbare inzichten. Visualisaties, tabellen en samenvattende statistieken helpen bij het effectief overbrengen van bevindingen.

Implementeer de inzichten in oplossingen of strategieën in de echte wereld, en zorg ervoor dat de op data gebaseerde aanbevelingen worden geïmplementeerd.

Data-analyse speelt een cruciale rol in de huidige op data gebaseerde wereld. Het helpt de kracht van data te benutten, waardoor beslissingen kunnen nemen, processen kunnen optimaliseren en een concurrentievoordeel kunnen behalen. Door ruwe data om te zetten in zinvolle inzichten, stelt data-analyse ons in staat kansen te identificeren, risico’s te beperken en algehele prestaties te verbeteren.

Data-analyse is het kompas die ons door een zee van informatie leidt. Het stelt ons in staat keuzes te baseren op concreet bewijs in plaats van op intuïtie of giswerk. Wat betekent dat beslissingen waarschijnlijker tot succes leiden, of het nu gaat om het kiezen van de juiste strategie, het optimaliseren van ketens of het lanceren van nieuwe producten. Door data te analyseren, kunnen we de potentiële risico’s en beloningen van verschillende opties beoordelen, wat leidt tot betere keuzes.

Data-analyse biedt een dieper inzicht in processen, gedragingen en trends. Het stelt ons in staat inzicht te krijgen in voorkeuren, dynamiek en efficiëntie.

We kunnen kansen en bedreigingen identificeren door trends, gedrag en prestaties te analyseren. Om strategieën aan te passen om effectief te reageren en de concurrentie een stap voor te blijven. Dit vermogen om zich aan te passen en te innoveren op basis van data-inzichten kan leiden tot een aanzienlijk concurrentievoordeel.

Data-analyse is een waardevol hulpmiddel voor risicobeoordeling en -beheer. Door historische gegevens te analyseren, kunnen we potentiële problemen beoordelen en preventieve maatregelen nemen. Data-analyse detecteert bijvoorbeeld frauduleuze activiteiten door ongebruikelijke transactiepatronen te identificeren. Dit helpt financiële verliezen te minimaliseren en beschermt de reputatie en het vertrouwen.

Data-analyse helpt bij het optimaliseren van de toewijzing van middelen. Of het nu gaat om het toewijzen van budgetten, personeelszaken of productiecapaciteit, datagestuurde inzichten kunnen ervoor zorgen dat middelen efficiënt worden gebruikt.

Data-analyse is een katalysator voor continue verbetering. Het stelt ons in staat om prestatiemetingen te monitoren, voortgang te volgen en gebieden voor verbetering te identificeren. Dit iteratieve proces van het analyseren van data, het implementeren van wijzigingen en het opnieuw analyseren leidt tot voortdurende verfijning en uitmuntendheid in processen en producten.

Beschrijvende analyse omvat het samenvatten en organiseren van data om de huidige situatie te beschrijven. Het gebruikt metingen zoals gemiddelde, mediaan, modus en standaarddeviatie om de belangrijkste kenmerken van een dataset te beschrijven.

Diagnostische analyse gaat verder dan beschrijvende statistieken om te begrijpen waarom iets is gebeurd. Het bekijkt data om de oorzaken van gebeurtenissen te vinden.

Voorspellende analyse gebruikt historische gegevens en statistische technieken om toekomstige resultaten te voorspellen. Vaak zijn er algoritmen voor machinaal leren bij betrokken.

Prescriptieve analyse beveelt acties aan op basis van gegevensanalyse. Het combineert inzichten uit beschrijvende, diagnostische en voorspellende analyses om beslissingsopties voor te stellen.

Kwantitatieve analyse omvat het gebruik van wiskundige en statistische technieken om numerieke gegevens te analyseren.

Kwalitatief onderzoek richt zich op het begrijpen van concepten, gedachten of ervaringen via niet-numerieke gegevens zoals interviews, observaties en teksten.

Tijdreeksanalyse omvat het analyseren van datapunten die op specifieke intervallen zijn verzameld of vastgelegd om trends, cycli en seizoensvariaties te identificeren.

Regressieanalyse beoordeelt de relatie tussen een afhankelijke variabele en een of meer onafhankelijke variabelen.

Clusteranalyse groepeert datapunten in clusters op basis van hun overeenkomsten.

Sentimentanalyse identificeert en categoriseert meningen die in de tekst worden geuit om het sentiment erachter te bepalen (positief, negatief of neutraal).

Volgens artikel 63(1) van Verordening (EU) 2018/1725 heeft “elke betrokkene het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming indien hij of zij van mening is dat de verwerking van hem of haar betreffende persoonsgegevens inbreuk maakt op deze verordening”.

Vertrouwelijkheid in algemene zin verwijst naar de plicht om geen informatie te delen met personen die niet gekwalificeerd zijn om die informatie te ontvangen (zie artikel 5(f) van Verordening (EU) 2016/679 en artikel 4(f) van Verordening (EU) 2018/1725). In meer specifieke zin verwijst het naar de vertrouwelijkheid van communicatie zoals voorzien in artikel 5 van de E-privacyrichtlijn 2009/136/EG en in artikel 36 van Verordening (EU) 2018/1725.

In de terminologie van gegevensbescherming verwijst toestemming naar elke vrijelijk gegeven, specifieke en geïnformeerde indicatie van de wensen van een betrokkene, waarmee hij/zij instemt met de verwerking van persoonsgegevens die op hem/haar betrekking hebben (zie artikel 4 sub 11 van Verordening (EU) 2016/679 en artikel 3 sub 15 van Verordening (EU) 2018/1725).

Toestemming is een belangrijk element in de wetgeving inzake gegevensbescherming, aangezien het een van de voorwaarden is die de verwerking van persoonsgegevens kan legitimeren. Als er een beroep op wordt gedaan, moet de betrokkene ondubbelzinnig zijn/haar toestemming hebben gegeven nt tot een specifieke verwerkingsoperatie, waarvan hij/zij naar behoren op de hoogte moet zijn gesteld. De verkregen toestemming kan alleen worden gebruikt voor de specifieke verwerkingsoperatie waarvoor deze is verzameld, en kan in principe zonder terugwerkende kracht worden ingetrokken.

Overdracht van persoonsgegevens naar een ander land binnen de EU, Noorwegen, IJsland of Liechtenstein (EER)

De AVG zorgt voor uniformiteit van het privacybeleid binnen de EU, waardoor het vrije verkeer van persoonsgegevens binnen de EER (28 EU-lidstaten + Noorwegen, IJsland, Liechtenstein) mogelijk is. Als u samenwerkt of persoonsgegevens wilt uitwisselen met onderzoekers, partners of instellingen die zich in de EU, Noorwegen, IJsland of Liechtenstein bevinden, hebt u alleen een verwerkingsovereenkomst nodig om de toegang, overdracht of uitwisseling van persoonsgegevens correct vast te leggen.

Naast het opstellen van een gegevensverwerkingsovereenkomst moet u altijd de algemene beginselen van de AVG respecteren (inclusief rechtmatigheid, zie hieronder ‘algemene overwegingen’).

Zorg altijd voor een veilige overdracht (versleuteld, etc.).

Er kan slechts één rechtsgrond per gegevensoverdracht zijn (rechtmatigheid).

De rechtsgrond voor gegevensoverdracht moet een van de volgende zijn:

De personen die deelnemen hebben vrijwillig hun expliciete geïnformeerde toestemming gegeven voor de gegevensoverdracht.

De gegevensoverdracht vindt plaats in het algemeen belang, wat betekent dat het leidt tot een toename van kennis, direct of indirect.

De gegevensoverdracht is noodzakelijk voor de legitieme belangen, maar brengt geen grote risico’s met zich mee voor de personen die deelnemen.

De gegevensoverdracht is noodzakelijk voor de uitvoering van een overeenkomst met de persoon van wie de gegevens worden verwerkt (let op: het gaat hier niet om de verwerkersovereenkomst).

De overdracht van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting.Klacht indienen.

Gegevensclassificatie is een techniek die wordt gebruikt om gegevens te ordenen en te categoriseren in verschillende afzonderlijke klassen of groepen. Deze methoden zijn essentieel voor talloze toepassingen, zoals gegevensanalyse en machine leren, evenals gegevensbeveiliging, gegevensbeheer en naleving van regelgeving.

Gegevensclassificatie is het proces van het ordenen en categoriseren van gegevens in verschillende groepen en typen op basis van de inhoud en structuur. Voor het effectiever beheren en beschermen van gegevens, het naleven van beleid en regelgeving, het verbeteren van de beveiliging en het ondersteunen van gegevensanalyse en andere activiteiten.

Het doel van gegevensclassificatie is om ervoor te zorgen dat gegevens op de juiste manier worden beveiligd, dat gegevensnaleving wordt gehandhaafd en dat gegevensbeheer effectief is. Het exacte proces kan variëren op basis van de specifieke behoeften en overwegingen.

Door te identificeren welke gegevens gevoelig of vertrouwelijk zijn, kan men passende beveiligingsmaatregelen nemen om die gegevens beschermen.

Voor de naleving van regelgeving en om aan de wettelijke verplichtingen te voldoen, normen te handhaven met betrekking tot de opslag, verwerking en verzending van bepaalde soorten gegevens. Het verkeerd classificeren van gegevens kan leiden tot non-compliance en hoge boetes.

Weten welke gegevens men heeft en hoe deze zijn geclassificeerd, kan helpen bij het beheren en verminderen van het potentiële risico die gepaard gaat met een datalek.

Door gegevens correct te classificeren, kan ongeautoriseerde toegang tot gevoelige informatie beter voorkomen worden en de privacy van individuen beter beschermt.

Wanneer gegevens correct zijn geclassificeerd, kunnen deze effectiever worden gebruikt voor besluitvorming, analyses en het creëren van strategieën.

Correcte gegevensclassificatie kan helpen bij incidentrespons door potentiële gegevenscompromissen te identificeren in het geval van een inbreuk.

En kan ook leiden tot aanzienlijke kostenbesparingen, zoals het opslaan van minder gevoelige gegevens op goedkopere, laagbeveiligde opslag.

Gegevensclassificatie organiseert gegevens in categorieën op basis van verschillende kenmerken, zoals gevoeligheid, wettelijke vereisten, waarden en meer.

De eerste stap is het definiëren van welke gegevens worden geclassificeerd en de criteria voor de classificatie ervan. Dit kan onder andere het type gegevens, de gevoeligheid of de plek waar de gegevens vandaan komen omvatten.

Nadat de criteria zijn gedefinieerd, moeten labels of tags worden gegenereerd die overeenkomen met de classificatie. Labels kunnen ‘Vertrouwelijk’, ‘Openbaar’, ‘Intern’, enzovoort zijn.

De gegevens worden vervolgens geclassificeerd op basis van de gedefinieerde criteria en labels. Dit kan handmatig worden gedaan, waarbij een gegevenseigenaar labels toewijst aan de datasets, of automatisch, waarbij software of algoritmen worden gebruikt om gegevens te classificeren.

Afhankelijk van de classificatie worden de juiste beveiligingsmaatregelen vervolgens op de gegevens toegepast. Gegevens die als vertrouwelijk zijn geclassificeerd, kunnen bijvoorbeeld worden gecodeerd, met toegang beperkt tot alleen bepaalde personen.

Regelmatige audits moeten worden uitgevoerd om ervoor te zorgen dat de classificaties nauwkeurig zijn en dat beveiligingsmaatregelen werken zoals bedoeld. Aanpassingen moeten indien nodig worden gemaakt, met name wanneer nieuwe typen gegevens worden geïntroduceerd of wanneer de gevoeligheid van gegevens verandert.

Het vergroten van het bewustzijn van het personeel over het belang van dataclassificatie en het trainen om verschillende soorten data te verwerken, is ook essentieel voor de implementatie van dataclassificatie.

Het classificatieschema moet voortdurend worden gemonitord en onderhouden om de effectiviteit ervan te garanderen, met name naarmate de behoeften van de organisatie en het datalandschap evolueren.

Taggen ervan met een classificatieniveau op basis van de data-elementen die het bevat. Een document kan bijvoorbeeld worden geclassificeerd als ‘Vertrouwelijk’ als het gevoelige gegevens bevat, zoals creditcardnummers of persoonlijk identificeerbare informatie (PII).

Deze aanpak classificeert gegevens op basis van de elementen rondom de gegevens, ook wel metagegevens genoemd. Dit kan de applicatie omvatten die de data heeft gecreëerd, waar de data zich bevindt, wanneer de data is gecreëerd, wie de data bezit, etc. Bijvoorbeeld het classificeren van e-mails op basis van onderwerpregels, afzender- en ontvangeradressen.

Classificatie afhankelijk van de gebruiker die de data creëert of verwerkt om de data handmatig te classificeren. Deze classificatie is afhankelijk nt op de kennis en discretie van de gebruiker. Een documentmaker classificeert bijvoorbeeld een bestand als “Intern” op basis van de informatie die het bevat.

Openbaar: Dit zijn gegevens die bedoeld zijn voor openbaar gebruik. Het omvat marketingmateriaal, bedrijfswebsites en andere openbare documenten die geen risico vormen als ze worden geopend, verkeerd worden behandeld of openbaar worden gemaakt.

Gegevens die bedoeld zijn om binnen de organisatie te blijven, maar niet vertrouwelijk zijn. Voorbeelden hiervan zijn interne nieuwsbrieven, e-mailberichten en interne bedrijfsbeleidsregels. Verlies van interne gegevens kan kleine ongemakken veroorzaken, maar is in de meeste gevallen niet schadelijk.

Gevoelige gegevens die, als ze openbaar worden gemaakt, ernstige gevolgen kunnen hebben. Het omvat bedrijfsgeheimen, intellectueel eigendom of bepaalde soorten werknemers- of klantgegevens. Toegang tot vertrouwelijke gegevens is doorgaans beperkt tot specifieke personen.

De meest gevoelige gegevens waarvoor wettelijke verplichtingen gelden voor de bescherming ervan. Creditcardnummers, persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) worden bijvoorbeeld allemaal geclassificeerd als beperkt. Ongeautoriseerde openbaarmaking van deze gegevens kan leiden tot ernstige juridische en financiële gevolgen.

Gegevensgevoeligheidsniveaus verwijzen naar de mate van risico die kan ontstaan ​​als de gegevens worden gecompromitteerd. Er zijn doorgaans drie niveaus: hoog, gemiddeld en laag.

Gegevens met hoge gevoeligheid: dit omvat gegevens waarvan de ongeoorloofde openbaarmaking ernstige nadelige gevolgen kan hebben voor een organisatie of personen. Voorbeelden hiervan zijn geclassificeerde informatie, handelsgeheimen, persoonlijk identificeerbare informatie (PII), creditcardgegevens en medische dossiers.

Gegevens met gemiddelde gevoeligheid: deze gegevens zijn minder gevoelig, maar kunnen nog steeds een aanzienlijke impact hebben als ze worden vrijgegeven of gewijzigd. Voorbeelden hiervan zijn interne communicatie, niet-vertrouwelijke bedrijfsdocumenten en persoonlijke e-mails.

Gegevens met lage gevoeligheid: dit omvat informatie die openbaar kan worden gemaakt zonder enig risico voor de organisatie of personen. Het kan bestaan ​​uit reeds openbaar beschikbare gegevens of niet-gevoelige en niet-vertrouwelijke gegevens, zoals de openbaar beschikbare rapporten van een bedrijf, openbare website-inhoud en persberichten.

Handmatige classificatie hierbij wijst de gegevenseigenaar of een geautoriseerde gebruiker de gegevens handmatig een label toe dat de classificatie ervan aangeeft. Deze methode kan nauwkeurig zijn, maar is arbeidsintensief en tijdrovend.

Geautomatiseerde classificatie bij geautomatiseerde classificatie analyseren softwaretechnologieën gegevens en wijzen ze classificatie toe op basis van vooraf bepaalde regels en beleidsregels. Deze methode is sneller en minder arbeidsintensief, maar is mogelijk niet zo nauwkeurig bij complexe datasets.

Gebruikersgestuurde of gebruikersondersteunde classificatie: dit is een combinatie van handmatige en geautomatiseerde classificatie. Gebruikers wijzen labels toe aan een subset van gegevens en machine learning-algoritmen extrapoleren hiervan om de rest van de gegevens te classificeren.

Op inhoud gebaseerde classificatie deze methode classificeert gegevens op basis van de inhoud binnen het gegevensobject. Bijvoorbeeld, een document met gevoelige creditcardgegevens zou worden geclassificeerd als vertrouwelijk.

Contextgebaseerde classificatie deze methode classificeert gegevens op basis van factoren rondom de gegevens, zoals de maker, het tijdstip van creatie, de gebruikte applicatie of de locatie van de gegevens.

Machine Learning-classificatie bij deze methode worden algoritmen getraind om patronen en kenmerken te herkennen, die worden gebruikt om nieuwe of bestaande gegevens te classificeren. Deze methode kan grote hoeveelheden gegevens verwerken en de nauwkeurigheid in de loop van de tijd verbeteren.

Algemene verordening gegevensbescherming (AVG) is de verordening van de Europese Unie voor gegevensbescherming en privacy. Het stelt strenge richtlijnen vast voor het verzamelen, opslaan en verwerken van gegevens voor EU-ingezetenen en vereist het categoriseren van persoonlijke gegevens op basis van gevoeligheid en het bijbehorende risico.

Payment Card Industry Data Security Standard (PCI-DSS) is van toepassing op elke organisatie die creditcardtransacties verwerkt. Het bepaalt manieren om kaarthoudergegevens te beveiligen tijdens en na een financiële transactie. Het vereist dat organisaties kaarthoudergegevens beschermen en controleren.

Health Insurance Portability and Accountability Act (HIPAA) is van toepassing op zorgverleners, zorgverzekeraars en bedrijven die medische dossiers verwerken en opslaan. Het vereist de bescherming van persoonlijk identificeerbare e-informatie en andere medische gegevens.

California Consumer Privacy Act (CCPA) en Virginia Consumer Data Protection Act (VCDPA) zijn wetten en regels op staatsniveau die de privacyrechten van consumenten afdwingen en vereisen dat bedrijven die persoonlijke gegevens van staatsburgers verwerken, privacyprocedures en -beschermingen volgen.

ISO/IEC 27001 internationale norm specificeert de vereisten voor een informatiebeveiligingsbeheersysteem (ISMS) en bevat bepalingen voor het omgaan met gevoelige gegevens.

Sarbanes-Oxley Act (SOX) stelt strenge eisen aan bedrijven die in de VS zijn genoteerd om ervoor te zorgen dat ze financiële en boekhoudkundige gegevens nauwkeurig beheren.

Door gevoelige gegevens te identificeren en classificeren, kunnen organisaties passende beveiligingsmaatregelen implementeren, zoals encryptie en toegangscontrole, om ongeautoriseerde toegang te voorkomen en te beschermen tegen datalekken.

Gegevensclassificatie helpt organisaties te voldoen aan verschillende voorschriften en wetten voor gegevensbescherming, zoals AVG, HIPAA en CCPA, door ervoor te zorgen dat de juiste bescherming is ingesteld voor gevoelige en persoonlijke gegevens.

Georganiseerde gegevens kunnen efficiënter worden opgehaald, waardoor het gemakkelijker wordt om specifieke informatie te vinden en snellere besluitvorming mogelijk wordt.

Het bevordert het begrip van de waarde en gevoeligheid van gegevens onder werknemers, waardoor goede gegevensverwerkingspraktijken worden bevorderd.

Het verwijderen van onnodige gegevens kan helpen onnodige kosten van opslag, datalekken en boetes voor niet-naleving te voorkomen.

Het verbetert het begrip van hoe gegevens gedurende de levenscyclus moeten worden behandeld. Van creatie en opslag tot distributie en verwijdering.

Classificatie zorgt ervoor dat gegevens up-to-date, relevant en nauwkeurig zijn, wat na verloop van tijd leidt tot een verbeterde gegevenskwaliteit.

Moeten we bezorgd zijn over onze privacy?

GDPR-naleving is een must voor vrijwel elk bedrijf dat gegevens van EU-ingezetenen verwerkt.

De Algemene Verordening Gegevensbescherming (AVG) is bedoeld om de privacy van EU-ingezetenen te beschermen. De verordening is van toepassing op bedrijven die persoonlijke gegevens verwerken van zelfs al is het maar één klant die in Europa woont. Bedrijven die de verordening overtreden, riskeren boetes tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat het hoogst is.

1. U heeft als EU-inwoner het recht om te weten wat er met u gegevens wordt gedaan.

De AVG legt duidelijk vast welke informatie gegevensbeheerders en gegevensverwerkers verplicht zijn te verstrekken op verzoek:

Wie bent u?

Waarom heeft u mijn gegevens?

Waar heeft u ze vandaan?

Hoe lang heeft u ze?

Hoe en waar worden ze verwerkt?

2. Stilte en inactiviteit zijn geen tekenen meer van toestemming voor het verwerken van persoonlijke gegevens

Onder de AVG moet toestemming vrijelijk worden gegeven en specifiek zijn voor elke verwerkingsactiviteit. Het moet een verklaring zijn van duidelijke permissieve actie.

3. Gevoelige persoonlijke informatie moet zorgvuldiger worden behandeld

Volgens de AVG is deze informatie extra gevoelig en mag deze niet vrij worden gebruikt, gedeeld en verwerkt zonder expliciete toestemming van de betrokkene:

Religieuze of filosofische overtuigingen.

Fysieke en mentale gezondheid.

Gegevens over seksleven.

Ras of etnische afkomst.

Vakbondslidmaatschap.

Politieke opvattingen.

Biometrische en genetische gegevens.

3. De termijn voor melding van een datalek is 72 uur

Zo moeten gebruikers binnen 72 uur op de hoogte worden gesteld van elk type datalek. Betrokkenen moeten rechtstreeks geïnformeerd worden als het resultaat van het lek hen aanzienlijke schade kan berokkenen (bijv. openbaarmaking van hun bankrekeninggegevens of gevoelige gegevens met betrekking tot hun kinderen).

4. Recht om vergeten te worden: u moet uit alle back-ups kunnen verdwijnen

De gebruiker kan op elk moment verzoeken om zijn of haar informatie te verwijderen. U moet alle records met persoonlijke gegevens verwijderen en deze nooit meer gebruiken. Dit omvat databaserecords, back-upkopieën, bestanden en alle kopieën die mogelijk naar een archief zijn verplaatst.

Volgens de wet is er minder dan een maand de tijd om dit te doen.

5. U heeft het recht om de gegevens naar een ander verwerkingssysteem over te dragen

Met andere woorden, u als betrokkene heeft het recht om je gegevens naar een concurrent over te dragen. Dit recht geeft individuen meer macht om over te stappen naar een andere gegevensbeheerder/verwerker.

1. IS ER OVERWOGEN OF ECHT ALLE GEGEVENS NODIG ZIJN

Controleer wat voor soort persoonlijke gegevens er over u zijn opgeslagen. Zijn deze gegevens echt nodig? De beste manier voor een privacybewuste toekomst is om alleen het absolute minimum aan persoonlijke gegevens te verzamelen.

2. VERSLEUTEL ALLE PERSOONLIJKE GEGEVENS

Versleuteling versleutelt gegevens op een manier die ze onbegrijpelijk maakt voor degenen die niet over de decoderingssleutels beschikken. Het woord “versleuteling” wordt slechts 4 keer genoemd in de GDPR-tekst:

“…maatregelen implementeren om die risico’s te beperken, zoals versleuteling.” (P51. (83))

“…passende waarborgen, waaronder encryptie” (P121 (4.e))

“…waaronder onder meer, indien van toepassing: (a) de pseudonimisering en encryptie van persoonsgegevens.” (P160 (1a))

“…onbegrijpelijk voor iedereen die niet bevoegd is om er toegang toe te krijgen, zoals encryptie” (P163 (3a))

Maar wat als er een ​​legitieme reden is, zoals kostenefficiëntie of prestatieverlies, dat encryptie niet gebruikt kan worden als onderdeel van gegevensbeschermingsbeleid?

In zo’n geval moet er ofwel voldoende bewijs verzamelen zijn om de beweringen te staven of alternatieve methoden gebruikt zijn, zoals pseudonimisering.

3. BESCHOUW HTTPS ALS EEN ESSENTIEEL ONDERDEEL VAN UW AANVRAAG

“Contactformulieren” bevatten vaak persoonlijke gegevens zoals e-mails, telefoonnummers of huisadressen. Als deze informatie wordt opgeslagen en verstuurd als platte tekst, wordt de deur geopend voor hackers en kwaadwillende.

Is er encryptie gebruikt voor de “contactformulieren”. Informeer hoe u gegevens worden opgeslagen en voor hoe lang.

Controleer of HTTPS is gebruikt, een veilige versie van het HTTP-communicatieprotocol.

Het versleutelt alle gegevens die tussen u en een server worden verzonden met behulp van de SSL/TLS-cryptografische protocollen. Wanneer een gebruiker een HTTPS-verbinding aanvraagt, wordt er een SSL-certificaat naar hem/haar verzonden, dat de sleutel bevat die nodig is om de beveiligde verbinding te starten.

Daarom is het belangrijk om een ​​SSL-certificaat van een betrouwbare certificeringsinstantie te ontvangen en dat deze correct geïnstalleerd is. En het certificaat niet vatbaar is voor de kwetsbaarheden van het protocol.

4. ZIJN TOESTEMMINGSFORMULIEREN OP ORDE

Vergeet alle vooraf aangevinkte vakjes. Men kan niet langer wegkomen met impliciete, opt-out toestemming. De AVG vereist “een verklaring van duidelijke bevestigende actie” of “een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming van de gebruiker”.

Toestemmingsformulieren moeten standaard op “nee” staan ​​of leeg zijn. Op die manier dwingt u gebruikers niet om zich actief af te melden.

5. VRAAG SPECIFIEK NAAR DE DERDE PARTIJEN

Als persoonlijke gegevens wordt doorgegeven aan derden, dan moeten deze geïdentificeerd zijn en benoem worden in de toestemmingsformulieren.

6. ZIJN DE ALGEMENE VOORWAARDENOVEREENKOMST GESCHEIDEN VAN ANDERE TOESTEMMINGSFORMULIEREN

De Algemene Voorwaardenovereenkomst staan apart en heeft geen binding met enige vorm van verwerking van persoonlijke gegevens.

7. ZIJN DE ALGEMENE VOORWAARDENSECTIE ZEER ZICHTBAAR

Onder de AVG mogen de Algemene Voorwaarden niet langer verborgen of begraven zijn in de kleine lettertjes.

U moeten immers erkennen dat u de Algemene Voorwaarden hebt gelezen en ermee akkoord gaat voordat u toegang krijgt.

8. KIJK OF UW TOESTEMMING EENVOUDIG IN TE TREKKEN IS

Vanwege het nieuwe AVG-principe – heeft u het recht om vergeten te worden – en moet u zich op elk moment kunnen afmelden en u toestemming kunnen intrekken.

9. LET OP HET COOKIEBELEID

Het officiële AVG-document vermeldt cookies in de volgende context (overweging 30):

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren […] zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren […]. Dit kan sporen achterlaten die, met name in combinatie met unieke identificatoren en andere informatie die door de servers wordt ontvangen, kunnen worden gebruikt om profielen van de natuurlijke personen te maken en hen te identificeren.

Simpel gezegd, de cookies waarmee u wordt geïdentificeerd via je apparaten (advertentie-, analyse- en functionele cookies) vallen onder de AVG. Het gebruik van dergelijke cookies moet worden vermeden of er moet een wettelijke basis zijn voor het verzamelen en verwerken van persoonsgegevens:

Wettelijke verplichtingen.

Legitieme belangen (zolang ze geen inbreuk maken op individuele rechten).

Vereisten voor de uitvoering van een contract (d.w.z. het verzamelen van betalingsgegevens van contractanten).

Expliciete toestemming.

Volgens de AVG geeft het voor het eerst bezoeken van een website niet automatisch toestemming voor het verwerken van persoonsgegevens. Het weergeven van berichten als “Als u deze website gebruikt, accepteert u cookies” wordt niet beschouwd als een “vrijwillig gegeven toestemming” (Overweging 42).

Gedetailleerde toestemming is nog steeds van toepassing. Dus als men u gedrag wil volgen en u gegevens voor advertenties worden gebruikt , moet u toestemming geven voor elke activiteit.

Volgens de best practices van de AVG moet men u toestaan ​​u toestemming eenvoudig in te trekken. En de toegang voor gebruikers die hun toestemming onthouden, kunnen niet worden geblokkeerd. En nadat u bent uitgelogd, moeten de cookies en sessies vernietigen zijn/worden.

10. INFORMEER OVER LOGBOEKEN MET U IP-ADRESSEN

Controleer of systeem IP-adressen of locatiegegevens gebruikt zijn bij authenticatie. Als logboeken dergelijke gegevens bevatten, informeer dan naar de manier waarop ze opgeslagen zijn en hoe lang ze bewaard blijven. Vraag om versleuteling van de logs en zorg ervoor dat ze geen bijzonder gevoelige gegevens bevatten, zoals wachtwoorden.

11. ZIJN ALLE PERSOONLIJKE GEGEVENS VERWIJDERD NADAT ZE NAAR BETALINGSGATEWAYS ZIJN DOORGEGEVEN

Het gebruik van betalingsgateways betekent vaak dat er persoonlijke gegevens worden verzameld.

In de meeste gevallen blijven deze gegevens in systemen staan, wat illegaal is volgens de AVG. Een applicatie moet alle persoonlijke gegevens binnen een bepaalde periode verwijderen (bijv. 60 dagen).

12. ZIJN U GEBRUIKERSGEGEVENS VERWIJDERD TOEN U UITGESCHREVEN BENT

Volgens het recht om vergeten te worden van de AVG, ben u als gebruiker vrij om account te laten verwijderen, samen met al u persoonlijke gegevens. De taak van bedrijven is om duidelijk te laten zien dat deze gegevens inderdaad worden verwijderd en ook uit al de back-ups worden gewist.

Verstrekken van persoonsgegevens

Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dit verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Hiervoor gelden echter strenge eisen, waaraan niet snel zal worden voldaan.

1. Verstrekking moet verenigbaar zijn met doel
2. Bepalen of verstrekking verenigbaar is
3. Verstrekking is verenigbaar
4. Verstrekking is niet verenigbaar

Verstrekking moet verenigbaar zijn met doel

Wil een organisatie persoonsgegevens verstrekken aan een andere organisatie? Doorgaans zijn de persoonsgegevens niet (mede) met dat doel verzameld. Daarom zal dat vaak niet toegestaan zijn. Er moet immers een duidelijk doel zijn om persoonsgegevens te mogen verzamelen. En mogen de gegevens vervolgens niet voor een ander doel worden verwerkt (verstrekken is een vorm van verwerken). Dat is een van de hoofdregels voor de bescherming van persoonsgegevensen wordt ‘doelbinding’ genoemd.

Deze eis van doelbinding is streng, maar de AVG geeft wel wat ruimte: verdere verwerking van persoonsgegevens is toegestaan als die verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Dat houdt in dat er een concreet, logisch en nauw verband moet zijn tussen het oorspronkelijke doel en de verdere verwerking. En dat de verdere verwerking ook aansluit bij de verwachtingen van de betrokkene(n).

Is er voor de verstrekking van persoonsgegevens aan een andere organisatie geen toestemming gekregen van de betrokkene(n)? En volgt de verstrekking ook niet uit een wettelijke bepaling? Dan mogen de gegevens alleen worden verstrekt als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn.

Bepalen of verstrekking verenigbaar is

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

• Is er een verband met het doel waarvoor de gegevens zijn verzameld?
• Binnen welk kader zijn de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen de organisatie en de betrokkene(n)?
• Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
• Wat zijn de (mogelijke) gevolgen van een verstrekking?
• Zijn er passende waarborgen, zoals versleuteling of pheudonimisering van de gegevens?
• Wat zijn de verwachtingen van de betrokkene(n)?

Verstrekking van persoonsgegevens aan een andere organisatie zal hier echter niet snel aan voldoen. Want vaak:

• staat het doel van de verstrekking of van die andere organisatie juist ver af van het oorspronkelijke doel;
• kan verstrekking aan een andere organisatie juist wel vergaande gevolgen hebben;
• kan verstrekking voor de betrokkene(n) verrassend kan zijn. 

Verstrekking is verenigbaar

Is de verstrekking van persoonsgegevens toch verenigbaar? Dan mogen de gegevens verstrekt worden. Als dit op basis van dezelfde grondslag gebeurt als de grondslag op basis waarvan de gegevens verzameld zijn. Dan is er dus geen nieuwe grondslag nodig voor de verstrekking van de gegevens.

Verstrekking is niet verenigbaar

Is de verstrekking van persoonsgegevens niet verenigbaar? Dan mogen de gegevens alleen verstrekken als de betrokkene toestemming geeft om de gegevens (ook) voor de nieuwe doelstelling te verwerken. Of als de wetgever met het oog op specifieke, zwaarwegende belangen bepaald heeft dat de al verzamelde gegevens ook voor andere doeleinden mogen worden gebruikt.