4 jaar

Het is vier jaar geleden dat in de EU de Algemene Verordening Gegevensbescherming (“AVG”) van kracht werd. Sindsdien heeft de AVG een domino-effect gehad, aangezien veel landen in de wereld de AVG als model hebben gebruikt om hun eigen regels voor de omgang met persoonsgegevens vorm te geven. Gezien alle veranderingen in de wetgeving inzake gegevensbescherming over de hele wereld, staan ​​juridische en compliance-afdelingen van organisaties onder druk om gelijke tred te houden met dergelijke ontwikkelingen, aangezien ze hun compliance-programma’s voortdurend aanpassen in reactie op aanpassingen.

Er zijn op dit moment ten minste 20 landen (exclusief EU-lidstaten) die wetten aangenomen hebben die aanzienlijk in de buurt komen van de AVG. Deze landen bevinden zich op elk continent van de wereld, niet alleen in Europa. Dit komt bovenop de 14 landen die een beschermingsniveau voor persoonsgegevens bieden dat gelijkwaardig is aan het beschermingsniveau in de EU.

71% van de landen in de wereld heeft nu een of andere vorm van wetgeving op het gebied van gegevensbescherming, 9% is bezig met het aannemen van wetgeving op het gebied van gegevensbescherming en slechts 15% heeft nog geen wetgeving op het gebied van gegevensbescherming (UNCTAD).

Van eén ding kunnen we zeker zijn, in de meeste landen die wetgeving op het gebied van gegevensbescherming hebben aangenomen, is het recht opgenomen voor individuen om geïnformeerd te worden over de manier waarop hun persoonsgegevens worden verwerkt. Het recht op inzage, rectificatie en uitwissing komt vrij regelmatig voor in wetgeving over de hele wereld.

Met een meldingsvereiste voor gegevensinbreuken Veel landen hebben verplichte vereisten ingevoerd om meldingen te doen na een inbreuk op de beveiliging waarbij persoonsgegevens betrokken zijn, ofwel binnen 72 uur na een dergelijke inbreuk (ten minste 22 landen in Europa met uitzondering van de EER en het VK, Latijns-Amerika, APAC en Afrika) en sommige vereisen meldingen van datalekken binnen 5 of 15 dagen.

Eigendom

Op verzoek van de minister voor Rechtsbescherming heeft een deskundigenpanel zich gebogen over de vraag hoe de burger of de consument, meer zeggenschap kan worden gegeven over het gebruik van zijn persoonsgegevens, en of die zeggenschap vanuit een privaatrechtelijk eigendomsregime nog beter zou kunnen worden geborgd. Daarbij is het panel ook gevraagd of zij andere suggesties had om de grip van de burger op het gebruik van zijn persoonsgegevens te vergroten.

Namelijk, dat in de verhouding tussen overheid en burger de zeggenschap over persoonsgegevens administratiefrechtelijk geregeld is en ook zo geregeld moet blijven. Er is in dezen geen rol voor het eigendomsrecht.

De experts hebben handvaten voor verdere verbetering voor regie op gegevens. Zo wordt momenteel ingezet op het beter zichtbaar maken voor burgers van het hergebruik van hun persoonsgegevens voor overheidstaken.

Een wettelijke verankering van het digitaal delen van persoonsgegevens uit overheidsregistraties door en onder regie van de burger. Borging van meer digitale zeggenschap van burgers over hun persoonsgegevens.

En enkele aanvullende suggesties voor manieren waarop zeggenschap over persoonlijke gegevens mogelijk nog sterker kan worden verankerd, bijvoorbeeld door het stimuleren en verbeteren van mogelijkheden voor burgers om met collectieve actie juridisch in geweer te komen tegen AVG- overtredingen.

In Nederland zijn er voldoende juridische mogelijkheden om collectieve acties te voeren bij onrechtmatige verwerking van persoonsgegevens. Wél is er aanleiding om te onderzoeken of, en zo ja hoe, een ‘processenfonds’ uitkomst kan bieden om de financiering van collectieve acties te vergemakkelijken.

In de afgelopen periode zijn al verschillende initiatieven gestart binnen het programma regie op gegevens:

  • de overheid wil beter zichtbaar maken voor burgers hoe hun persoonsgegevens worden hergebruikt voor overheidstaken. Sinds maart 2022 is bijvoorbeeld in MijnOverheid zichtbaar aan welke andere instanties deze gegevens regulier worden doorgegeven.
  • voorbereiding voor een wettelijke verankering van het digitaal delen van persoonsgegevens uit overheidsregistraties door en onder regie van de burger.
  • bij de onderhandelingen in diverse EU-dossiers wordt nadrukkelijk aandacht besteed aan de borging van meer digitale zeggenschap van burgers over hun persoonsgegevens. Verwijzing naar de dialoog over de verordening Raamwerk Europese Identiteit.

De Europese Raad riep in oktober 2020 op tot de ontwikkeling van een EU‑breed kader voor beveiligde openbare elektronische identificatie (e‑ID), dat ook interoperabele digitale handtekeningen zou omvatten. Dit zou mensen controle geven over hun online-identiteit en -gegevens, en toegang mogelijk maken tot openbare, particuliere en grens­overschrijdende digitale diensten.

Anonimisering

De anonimisering in de Europese Algemene Verordening Gegevensbescherming (AVG) en de de-identificatievereisten van de California Consumer Protection Act (CCPA) zijn beide in het leven geroepen om de privacy van de burger te beschermen.

De-identificatie is een proces dat in de Verenigde Staten kan worden gebruikt om te voldoen aan de CCPA. Daarentegen wordt anonimisering gebruikt als alternatief in Europa om te voldoen aan de AVG-regelgeving.

De twee processen zijn vergelijkbaar, maar hebben enkele cruciale verschillen in het beschermen van persoonlijke informatie tegen openbaarmaking door de toegang tot en het gebruik van geïdentificeerde of identificeerbare informatie te beperken.

De CCPA definieert “geanonimiseerde informatie” als:

“Gegevens die redelijkerwijs niet kunnen worden geïdentificeerd, betrekking hebben op, beschrijven, in verband kunnen worden gebracht met of direct of indirect kunnen worden gekoppeld aan een bepaalde consument.”

Dit betekent dat de persoonlijke identifiers zijn verwijderd met de bedoeling dat ze niet meer aan een specifieke persoon worden gekoppeld. Als een bedrijf geanonimiseerde informatie gebruikt, moet het vier organisatorische en operationele stappen nemen om ervoor te zorgen dat gegevens niet opnieuw worden geïdentificeerd of verspreid.

Aan de andere kant is het anonimiseringsconcept van de AVG strenger dan de de-identificatievereiste van de CCPA, aangezien de AVG eist dat de identificeerbare informatie van een persoon “onomkeerbaar wordt verhinderd” om te worden gebruikt.

Tegelijkertijd verplicht de CCPA bedrijven alleen om identificatiegegevens “redelijkerwijs” te verwijderen.

Een ander duidelijk verschil is dat onder de CCPA geaggregeerde gegevens ook niet “redelijkerwijs” kunnen worden gekoppeld aan een individu of kleine groep, terwijl de AVG “pseudonimisering” vereist, wat resulteert in een langere lijst met informatie die bedrijven onomkeerbaar moeten voorkomen dat ze in verband worden gebracht met specifieke individuen.

Wat is anonimisering?

Artikel 26 van de AVG definieert anonimisering als volgt:

“…informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig geanonimiseerd zijn dat de betrokkene niet (meer) identificeerbaar is.”

Het proces van het verwijderen van indirecte en directe persoonlijke identificatiegegevens die ertoe kunnen leiden dat iemand wordt geïdentificeerd, wordt ‘anonimisering’ genoemd.

De volgende soorten informatie worden allemaal beschouwd als directe identifiers onder de AVG:

Naam

Adres

Postcode

Telefoon nummer

Foto of afbeelding

Andere unieke persoonlijke kenmerken

Bedrijven en derden kunnen indirecte identifiers onder de AVG gebruiken samen met andere informatiebronnen om een ​​persoon te identificeren. Ze kunnen zijn (maar zijn niet beperkt tot) dingen als:

Werkplaats

Functietitel

Salaris

Werkgeschiedenis

Diensten en goederen gekocht door het individu

Medische diagnoses

Geolocatie

Apparaat ID

Zodra de informatie volledig geanonimiseerd is, valt deze niet meer onder de eisen van de AVG. Het wordt dus data die veel gemakkelijker te gebruiken is voor bedrijven.

De CCPA beschouwt informatie die een bepaalde consument redelijkerwijs niet kan identificeren als geanonimiseerde informatie. Het voorbehoud is dat de organisatie bedrijfsprocessen en technische beveiligingen moet hebben geïmplementeerd die heridentificatie ervan zullen voorkomen.

Bovendien moet het bedrijf ook processen hebben geïmplementeerd om te voorkomen dat opnieuw geïdentificeerde gegevens worden verspreid. Ten slotte is het medewerkers van de organisatie verboden om te proberen die informatie opnieuw te identificeren.

Creëer en handhaaf een reeks controles die ervoor zorgen dat informatie uitsluitend wordt gedeeld tussen partijen die een direct doel hebben bij het ontvangen van die gegevens. Met andere woorden, informatie mag alleen worden gedeeld op basis van “need to know”, en alle onbewerkte gegevens moeten als gevoelig worden beschouwd en met de grootst mogelijke vertrouwelijkheid worden behandeld.

Gegevens waarin personen kunnen worden geïdentificeerd, zijn enorm waardevol. Toch kan het gemakkelijk worden misbruikt en misbruikt als het in verkeerde handen valt.

Daarom is het beschermen van die gegevens door middel van anonimisering of de-identificatie een must in de wereld van vandaag. Dit geldt des te meer omdat datalekken vaker voorkomen dan ooit.

Bedrijven in de Europese Unie (EU) of de Europese Economische Ruimte (EER) en de Verenigde Staten van Amerika moeten een proces hebben waarbij gegevens onbruikbaar worden voor informatiedieven als er een inbreuk plaatsvindt.

Bovendien moeten bedrijven, instellingen en overheden er rekening mee houden dat er zware financiële sancties staan ​​als een regelgevende instantie vaststelt dat ze grove nalatig zijn geweest tijdens een inbreuk. Daarom is het van vitaal belang om datapunten te verwijderen of ruis toe te voegen aan een dataset zodat deze niet aan een persoon kan worden gekoppeld.

Naarmate de tijd verstrijkt, zullen anonimiteits- en de-identificatievereisten onder de AVG en CCPA waarschijnlijk moeten worden bijgewerkt naarmate de technologieën voor heridentificatie verbeteren.

Door data te anonimiseren en te de-identificeren, kunt u er zeker van zijn dat uw bedrijf haar plicht begrijpt en handhaaft om zeer gevoelige, vertrouwelijke informatie te beveiligen tegen diefstal en misbruik..

Privé

De wereld verandert snel en onze privégegevens lopen gevaar wanneer we online gaan. Talloze entiteiten, zowel publiek als privaat, werken er hard aan om onze digitale activiteiten te volgen, te monitoren en vast te leggen. Hier zijn veel redenen voor:

* Adverteerders willen alles over ons weten, inclusief onze browsegeschiedenis, locatiegegevens, contacten en meer. Dit maakt het gemakkelijker (en winstgevender) om gerichte advertenties te tonen en on tot aankopen aan te zetten.

* In een tijdperk van pandemieën en lockdowns zijn er over de hele wereld er veel bewegingsgegevens en biometrische gegevens verzameld.

* ISP’s (internetserviceproviders) verzamelen gegevens van hun klanten en verstrekken deze gegevens aan derden, waaronder adverteerders en overheidsinstanties. In veel landen is dit niet alleen legaal, maar ook verplicht.

* Het internet wordt ook steeds minder gratis door censuur-inspanningen en het blokkeren van inhoud, verschillende groepen werken er hard aan om online inhoud te censureren.

Maar laat je niet ontmoedigen. Alternatieve technologieën beleven een renaissance naarmate het bewustzijn over deze problemen groeit en mensen op zoek gaan naar oplossingen. Inderdaad, voor alle hierboven genoemde problemen vinden we uitstekende oplossingen om u meer privacy, veiligheid en vrijheid in uw digitale leven te geven.

1. Veilige en privacygerichte browser

2. Virtueel particulier netwerk

3. Advertentieblokkering

4. Wachtwoordbeheerder

5. Veilige en versleutelde berichten

6. Privé-zoekmachine

7. Privé e-mail

8. Besturingssysteem

9. Antivirussoftware

10. Conclusie

Hoeveel privacy en veiligheid hebben we nodig gezien onze situatie en de tegenstanders waarmee we te maken kunt krijgen? De meeste mensen zoeken tegenwoordig bescherming tegen online tracking en een hoger niveau van privacy en beveiliging.

Het wijdverbreide gebruik van persoonlijke gegevens roept ernstige problemen op voor het delen van deze gegevens, wat de reproduceerbaarheid van resultaten kan beperken.

Een veelgebruikte methode voor het veilig delen van vertrouwelijke informatie is het toepassen van anonimiseringsmethoden voor het delen. Anonimiseren kan de bruikbaarheid van de gegevens verminderen. We moeten dus een evenwicht vinden tussen privacybescherming en nauwkeurigheid. Hoewel er veel anonimiseringsmethoden zijn voorgesteld, is er geen systematische evaluatie van deze methoden of richtlijnen over welke methode te gebruiken en hoe deze correct moet worden toegepast.

Er zijn manieren om gegevens te vinden en te verwijderen die over ons zijn opgeslagen, samen met  privacy-instellingen om te voorkomen dat we worden gevolgd. Maar er is meer wat we kunnen doen om onze gegevensprivacy te beschermen en de beveiliging te verbeteren.

Hoe persoonlijke informatie wordt verzameld, behandeld en opgeslagen, inclusief hoe om te gaan met informatie zodra deze niet langer noodzakelijk is.

Gezien de steeds veranderende aard van informatie, met name in een digitale wereld, is het belangrijk dat privacybeleid regelmatig wordt herzien of bijgewerkt om ervoor te zorgen dat het aan alle privacyverplichtingen wordt voldaan.

Het is belangrijk om ervoor te zorgen dat het privacybeleid en de privacybeheerpraktijken goed worden gecommuniceerd en geïmplementeerd.