Maand: juni 2022

De Data Sharing Coalition is een open en groeiend, internationaal initiatief waarin een grote verscheidenheid aan organisaties samenwerken om de waarde van cross-sectoraal data delen te ontsluiten.

Met als missie om privacybestendige data-analyse eenvoudig en schaalbaar te maken. Ze stellen bedrijven, organisaties en overheden om datagedreven inzichten te verkrijgen uit gedeelde datasets – zonder daadwerkelijk gevoelige data te delen – terwijl ze de volledige controle behouden over wat ze met wie delen, onder welke voorwaarden. Hoe? Door de cryptografische kracht van veilige multi-party computation (MPC) in combinatie met unieke gedecentraliseerde databeheer.

MPC is een overkoepelende term voor cryptografische technologie die berekeningen op gegevens mogelijk maakt terwijl de gegevens versleuteld blijven. Voorbeelden van de technologieën die we gebruiken zijn geheim delen, private set intersectie en homomorfe versleuteling. Elke technologie heeft zijn sterke en zwakke punten, dus bieden ze een platform waarmee gebruikers het juiste protocol voor hun gebruik kunnen selecteren. Anders zou het mogelijk te veel informatie over individuen binnen die subset kunnen delen. Alle bewerkingen en wijzigingen aan deze governance-instellingen worden vastgelegd in een onveranderlijke audit trail, zodat organisaties achteraf kunnen aantonen dat ze hieraan voldoen.

Momenteel wordt privacy vaak gezien als een obstakel voor het verkrijgen van de gegevens die nodig zijn om ons zorgsysteem, ons sociale systeem, enz. te verbeteren. Zo geloven we dat privacy en samenwerking op het gebied van gegevens niet hand in hand kunnen gaan.

Het delen van data is van enorm belang.

Tech-gerelateerde trends laten zien, dat privacy-by-design encryptietechnologieën, zoals homomorfe encryptie, geheim delen en private set-kruising, snel operationeel worden.

Versleuteld delen maakt het mogelijk om informatie in drie (of meer) blokken te knippen. Informatie in elk blok blijft een geheim, maar je kunt er wel analyses op uitvoeren in de drie blokken, alsof ze één zijn. Dit helpt om modellen te trainen zonder de onderliggende data op te delen.

De toekomst van het delen van gegevens is een toekomst waarin elke organisatie betrokken bij een enorm netwerk van vele strategische en operationele gegevenssamenwerkingen, maar waar de hoeveelheid gevoelige gegevens die daadwerkelijk binnen die samenwerkingen wordt gedeeld, wordt beperkt tot een absoluut minimum. Privacybehoudende technologieën, zoals MPC maar ook Federated Learning en Synthetic Data, zullen gemeengoed worden.

Bij het maken van een Data Protection Impact Assessment (DPIA) hoeft men niet uit te leggen dat er privacybeschermingstechnologieën worden gebruikt, zoals dat nu het geval is. Nu deze technologieën beschikbaar zijn, lijkt dat moment dichterbij te komen.

Om deze toekomst te realiseren, moet er bewustzijn worden gecreëerd over het potentieel en de praktische toepasbaarheid van deze technologieën, terwijl er tegelijkertijd het aanbod elke dag verbeteren om te voldoen aan de behoeften bij gegevens samenwerkingen.

De Wet Data Governance biedt een kader om het vertrouwen in het vrijwillig delen van gegevens ten behoeve van bedrijven en burgers te vergroten.

Hergebruik van bepaalde categorieën gegevens. Het economische en maatschappelijke potentieel van data is enorm: het kan nieuwe producten en diensten mogelijk maken op basis van nieuwe technologieën, de productie efficiënter maken en instrumenten bieden om maatschappelijke uitdagingen aan te gaan.

Dit potentieel wordt echter niet gerealiseerd. Het delen van gegevens in de EU blijft beperkt vanwege een aantal obstakels (waaronder weinig vertrouwen in het delen van gegevens, problemen in verband met het hergebruik van overheidsgegevens en gegevensverzameling voor het algemeen belang, evenals technische obstakels).

Om dit enorme potentieel echt te benutten, moeten er meer gegevens beschikbaar worden gesteld, met vertrouwen worden gedeeld en technisch eenvoudig te hergebruiken.

De Data Governance Act (DGA) is een sectoroverschrijdend instrument dat tot doel heeft meer gegevens beschikbaar te maken door het hergebruik van openbare/bewaarde, beschermde gegevens te reguleren, door het delen van gegevens te stimuleren door regulering van nieuwe gegevenstussenpersonen en door het delen van van gegevens voor altruïstische doeleinden. Zowel persoonsgegevens als niet-persoonsgebonden gegevens vallen onder het toepassingsgebied van de DGA en waar het om persoonsgegevens gaat, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Naast de AVG zullen ingebouwde waarborgen het vertrouwen in het delen en hergebruiken van gegevens vergroten, een voorwaarde om meer gegevens op de markt beschikbaar te maken.

Wat zijn de belangrijkste doelen?

De Open Data Richtlijn regelt het hergebruik van openbare/beschikbare informatie in het bezit van de publieke sector. De publieke sector beschikt echter ook over grote hoeveelheden beschermde gegevens (bijv. persoonsgegevens en commercieel vertrouwelijke gegevens) die niet kunnen worden hergebruikt als open gegevens, maar die wel kunnen worden hergebruikt op grond van specifieke EU- of nationale wetgeving. Uit dergelijke gegevens kan een schat aan kennis worden gehaald zonder afbreuk te doen aan het beschermde karakter ervan, en de DGA voorziet in regels en waarborgen om dergelijk hergebruik mogelijk te maken wanneer dit op grond van andere wetgeving mogelijk is.

Hoe werkt het in de praktijk?

Technische vereisten voor de publieke sector: de lidstaten zullen technisch moeten worden uitgerust om ervoor te zorgen dat de privacy en vertrouwelijkheid van gegevens volledig worden gerespecteerd in situaties van hergebruik. Dit kan een scala aan tools omvatten, van technische oplossingen, zoals anonimisering, pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen (bijv. datarooms) onder toezicht van de publieke sector, tot contractuele middelen zoals vertrouwelijkheidsovereenkomsten die zijn gesloten tussen het openbare lichaam en de hergebruiker.

Als een openbaar lichaam geen toegang kan verlenen tot bepaalde gegevens voor hergebruik, moet het de potentiële hergebruiker helpen bij het vragen van de toestemming van de persoon om zijn persoonsgegevens te hergebruiken) of de toestemming van de gegevenshouder wiens rechten of belangen kunnen door het hergebruik worden geschaad. Bovendien mag vertrouwelijke informatie (bijv. handelsgeheimen) alleen worden vrijgegeven voor hergebruik met een dergelijke toestemming of toestemming.

Om nog meer openbare gegevens beschikbaar te hebben voor hergebruik, beperkt de DGA het vertrouwen op exclusieve overeenkomsten voor hergebruik van gegevens (waarbij een overheidsinstantie een dergelijk exclusief recht aan één bedrijf verleent) tot specifieke gevallen van openbaar belang.

Redelijke vergoedingen: openbare lichamen mogen vergoedingen in rekening brengen voor het toestaan ​​van hergebruik, zolang deze vergoedingen de noodzakelijke gemaakte kosten niet overschrijden. Bovendien moeten overheidsinstanties het hergebruik voor wetenschappelijk onderzoek en andere niet-commerciële doeleinden, alsook door kmo’s en startende ondernemingen stimuleren door heffingen te verminderen of zelfs uit te sluiten.

Een overheidsinstantie heeft maximaal 2 maanden de tijd om een ​​beslissing te nemen over een hergebruikverzoek.

De lidstaten kunnen kiezen welke bevoegde instanties de openbare lichamen ondersteunen die toegang verlenen tot het hergebruik, bijvoorbeeld door deze een veilige verwerkingsomgeving te bieden en door hen te adviseren over de beste manier om gegevens te structureren en op te slaan om ze gemakkelijk toegankelijk te maken.

Om potentiële hergebruikers te helpen relevante informatie te vinden over welke gegevens door welke overheidsinstanties worden bewaard, zullen de lidstaten worden verplicht één enkel informatiepunt op te richten. De Commissie zal een Europees centraal toegangspunt creëren (met een doorzoekbaar register van de door nationale informatiepunten samengestelde informatie) om het hergebruik van gegevens in de interne markt en daarbuiten verder te vergemakkelijken.

Inbreuk in verband met persoonsgegevens
Sedert 12 december 2018 hebben alle Europese instellingen en organen krachtens Verordening (EU) 1725/2018 de plicht om bepaalde soorten inbreuken in verband met persoonsgegevens aan de EDPS te melden. Elke EU-instelling moet dit, indien mogelijk, doen binnen 72 uur nadat ze op de hoogte is gesteld van de inbreuk. Als de inbreuk waarschijnlijk een hoog risico met zich meebrengt dat de rechten en vrijheden van individuen worden geschaad, moet de EU-instelling de betrokken individuen ook onverwijld informeren.

EU-instellingen moeten ervoor zorgen dat ze over preventie- en opsporingsmechanismen voor inbreuken in verband met persoonsgegevens beschikken, evenals over onderzoeks- en interne rapportageprocedures. Ze moeten er ook voor zorgen dat wanneer ze een inbreuk in verband met persoonsgegevens vaststellen, ze effectief kunnen reageren om de negatieve effecten van de inbreuk op de personen van wie de gegevens zijn gecompromitteerd, te verzachten. Ze moeten ook een register bijhouden van alle inbreuken op persoonsgegevens, inclusief alle details over de inbreuk, ongeacht een eventuele meldingsplicht aan de EDPS.

Hoe moeten EU-instellingen en -organen reageren op een inbreuk in verband met persoonsgegevens?

De EDPS heeft richtsnoeren gepubliceerd voor de melding van inbreuken in verband met persoonsgegevens voor de EU-instellingen en -organen. Deze geven praktisch advies over hoe u aan de verordening kunt voldoen. De richtlijnen schetsen de aanpak die u moet volgen om adequaat te reageren op een inbreuk in verband met persoonsgegevens. Wij adviseren u deze richtlijnen goed door te lezen voordat u een inbreuk in verband met persoonsgegevens meldt.

Een inbreuk in verband met persoonsgegevens melden aan de EDPS

U kunt een inbreuk in verband met persoonsgegevens melden door het online formulier in te vullen of door het formulier te downloaden en naar het volgende e-mailadres te sturen: DATA-BREACH-NOTIFICATION@edps.europa.eu.

Alle communicatie moet versleuteld zijn. Daarom moeten alle bijlagen bij het verzenden van een e-mail over een inbreuk in verband met persoonsgegevens naar het e-mailadres voor de melding van gegevensinbreuken van de EDPS worden gecodeerd (zip) en moet het wachtwoord op alternatieve manieren met de EDPS worden gedeeld (per sms of telefoongesprek). Vermeld in uw e-mail een apart telefoonnummer waarmee we contact met u kunnen opnemen voor het wachtwoord.

Als u een inbreuk in verband met persoonsgegevens wilt melden kan dat via een online webformulier.

Als de eerste melding om welke reden dan ook onvolledig was, kan men verdere informatie te verstrekken zodra deze beschikbaar is. Maar in het dat geval het zich om een nieuw kennisgevingsformulier handeld wel onder vermelding van het door de EDPS verstrekte zaakreferentienummer.

De bijgewerkte meldingen naar de eerder genoemde mailbox versturen, neem dan de volgende informatie op in de onderwerpregel van de e-mail: [Bijgewerkte melding van inbreuk] [Naam EU-instelling/-instantie] [Zaakreferentienummer]

Kennisgeving gegevensbescherming

Er zijn specifieke regels van toepassing op het beheer van datalekken met betrekking tot operationele persoonsgegevens bij Europol in overeenstemming met de artikelen 34 en 35 van Verordening 2016/794.

EDPS-ENISA-conferentie: op weg naar toegang tot het risico van inbreuken op persoonsgegevens

De Europese Toezichthouder voor gegevensbescherming en ENISA heeft in het verleden conferenties georganiseerd in Brussel over het melden van inbreuken op persoonsgegevens.

Deze conferentie had tot doel het aspect van de beoordeling van het risico van inbreuken op persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG) – (EU) 2016/679 en de Verordening (EU) 1725/2018 voor de verwerking van persoonsgegevens door EU-instellingen en lichamen.

Vanaf morgen zijn er weer verschillende sessies op de conferentie van de Europesche Toezichthouder.

Op 16 en 17 juni 2022 zal de EDPS een conferentie organiseren in Brussel waar wereldwijde belanghebbenden uit de digitale regelgevingswereld samenkomen om na te denken over en te discussiëren over de huidige benaderingen van handhavingsmodellen.

Gegevensgebieden

Welke zijn er?

Over het algemeen verwijst de term ‘dataruimte’ naar een soort gegevensrelatie tussen vertrouwde partners die zich houden aan dezelfde hoge normen en richtlijnen als het gaat om gegevensopslag en -deling. Een cruciaal aspect van het begrip dataruimte is echter dat gegevens niet centraal worden opgeslagen, maar veeleer bij de bron en dus alleen worden overgedragen (via semantische interoperabiliteit) als dat nodig is. De gegevens in de dataruimten in de Gaia-X-context worden uitsluitend bewaard door de leden van de Vereniging.

Een dataruimte is de som van alle deelnemers – dat kunnen dataproviders, gebruikers en intermediairs zijn. Dataruimten kunnen genest en overlappend zijn, zodat een dataprovider bijvoorbeeld aan meerdere dataruimten tegelijk kan deelnemen.

Datasoevereiniteit en vertrouwen zijn essentieel om dataruimten te laten werken en relaties tussen deelnemers te ondersteunen. Om dit te garanderen, heeft de International Data Spaces Association (IDSA), een van de oprichters van de Gaia-X Association, een referentiearchitectuurmodel voor deelnemers voorgesteld. Elke dataruimte levert specifieke data op en vormt daarmee een stevige basis voor elk ecosysteem. De software die nodig is om dataruimten te implementeren, draait op cloud/edge cloudinfrastructuren.

Welke dataruimten zijn er?

Industrie 4.0/Kleine tot middelgrote ondernemingen

Meer dan 50 deelnemers hebben zich aangesloten bij de Industry 4.0/SME-dataruimte, die gestaag groeit. Deze dataruimte omvat momenteel zes use-cases die voortkomen uit productiescenario’s, waaronder collaboratieve productie- en supply chain-processen, machines met virtuele avatars en interfaces tussen twee afzonderlijke industrieën, zoals supply chains, transport en gezondheid.

Gezondheid

The Health Data Space werkt aan de opbouw van een consortium van overheidsinstanties en particuliere bedrijven om het gebruik van digitale technologieën en cloudoplossingen te promoten die de gezondheidssector zullen transformeren. Het beveiligde Gaia-X-ecosysteem zal enkele van de problemen aanpakken die door de Covid-19-pandemie naar voren zijn gebracht, waaronder de afwezigheid van interoperabiliteit tussen systemen en de prevalentie van silo’s met gezondheidsgegevens.

Onderwijs en vaardigheden

De Education and Skills-dataruimte (DaSES) zal een dataruimte creëren ten behoeve van de onderwijsgemeenschap. Uitgaande van een Frans initiatief in 2021, waarbij publieke en private belanghebbenden werden bijeengebracht, heeft DaSES verschillende werkgroepen opgericht en nodigt het nu ook andere landen uit om een ​​Europese routekaart op te stellen om een ​​open en interoperabel digitaal ecosysteem van transparante en ‘vertrouwde’ gegevens te promoten , voor kwaliteitsonderwijs en levenslang leren.

Energie

Een vertrouwde dataruimte die energiediensten ondersteunt en samenwerking tussen alle belanghebbenden bevordert, is een hoeksteen van het koolstofarm maken van de energiesector.

Tegenwoordig heeft een brede vertegenwoordiging van Europese energiebedrijven en academische en technologische partners zich bij Gaia-X aangesloten om de Europese energiedataruimte te bouwen.

Op een transparante en veilige manier pakt de energiedataruimte de volgende uitdagingen aan, dankzij de mogelijkheden voor het delen van gegevens:

Versnel de implementatie van koolstofarme energieoplossingen

Bevorderen van energie-efficiëntie en sectorkoppeling (integratie van stroom, gassen, waterstof in gebouwen/verwarmingssystemen, mobiliteit en industrie…)

Meer flexibiliteit mogelijk maken om hernieuwbare energie te integreren in het Europese elektrische systeem

Versnel de digitalisering van het energiesysteem

Handhaving van de technologische soevereiniteit en het mondiale concurrentievermogen van de Europese Unie in de energiesector.

We ontwikkelen gebruiksscenario’s voor acht belangrijke energiethema’s: hernieuwbare energiebronnen, waterstof, kernenergie, energie-efficiëntie, elektrische voertuigen, lokale energiegemeenschappen, netwerken en naleving en traceerbaarheid.

We nodigen alle Europese bedrijven, inclusief start-ups, leveranciers en energieproducenten uit de energiesector uit om zich bij ons aan te sluiten!

Mobiliteit

De Mobility Data Space zal de gebruikerservaring van mobiliteit verbeteren en tegelijkertijd nieuwe zakelijke kansen creëren voor haar leden. Bij het aanpakken van de uitdaging die reisgegevens op veel verschillende plaatsen en door een breed scala aan actoren zoals luchtvaartmaatschappijen en hotels hebben, is de belangrijkste vraag hoe gegevenssoevereiniteit kan worden gewaarborgd, privacy kan worden gegarandeerd en handel kan worden gestimuleerd, terwijl deze sector zich in een staat van van flux.

Financiën en verzekeringen

De Finance and Insurance-dataruimte is opgericht door de Franse en Duitse banken, Europese cloudserviceproviders, openbare instellingen en verzekeringsmaatschappijen, en breidt zich nu uit naar Italië, Luxemburg, België, Finland, Oostenrijk en Polen. Ook andere landen zijn welkom om mee te doen.

Ruimte

Eind november 2020 is een dataruimte opgericht gericht op Ruimtevaart. Gezien de mate waarin ons dagelijks leven afhankelijk is van ruimtegegevens, is het van cruciaal belang dat deze gegevens veilig en efficiënt kunnen worden verwerkt, waardoor de Europese gegevenssoevereiniteit wordt gewaarborgd.

Anonimisering van de AVG versus de-identificatie van CCPA

De anonimisering van de Europese Algemene Verordening Gegevensbescherming (AVG) en de de-identificatievereisten van de California Consumer Protection Act (CCPA) zijn beide manieren om de privacy van betrokkenen te beschermen.

De-identificatie is een proces dat in de VS kan worden gebruikt om te voldoen aan de CCPA. Daarentegen wordt AVG-anonimiseren gebruikt als alternatief voor CCPA-de-identificatie in Europa om te voldoen aan de AVG-regelgeving.

De twee processen zijn vergelijkbaar, maar hebben enkele cruciale verschillen in het beschermen van persoonlijke informatie tegen openbaarmaking door de toegang tot en het gebruik van geïdentificeerde of identificeerbare informatie te beperken.

De CCPA definieert “geanonimiseerde informatie” als:

“Gegevens die redelijkerwijs niet kunnen worden geïdentificeerd, betrekking hebben op, beschrijven, in verband kunnen worden gebracht met of direct of indirect kunnen worden gekoppeld aan een bepaalde consument.”

Dit betekent dat de persoonlijke identifiers zijn verwijderd met de bedoeling dat ze niet meer aan een specifieke persoon worden gekoppeld. Als een bedrijf geanonimiseerde informatie gebruikt, moet het vier organisatorische en operationele stappen nemen om ervoor te zorgen dat gegevens niet opnieuw worden geïdentificeerd of verspreid.

Aan de andere kant is het anonimiseringsconcept van de AVG strenger dan de de-identificatievereiste van de CCPA, aangezien de AVG eist dat de identificeerbare informatie van een persoon “onomkeerbaar wordt verhinderd” om te worden gebruikt.

Tegelijkertijd verplicht de CCPA bedrijven alleen om identificatiegegevens “redelijkerwijs” te verwijderen.

Een ander duidelijk verschil is dat onder de CCPA geaggregeerde gegevens ook niet “redelijkerwijs” kunnen worden gekoppeld aan een individu of kleine groep, terwijl de AVG “pseudonimisering” vereist, wat resulteert in een langere lijst met informatie die bedrijven onomkeerbaar moeten voorkomen dat ze in verband worden gebracht met specifieke individuen.

De volgende soorten informatie worden allemaal beschouwd als directe identifiers onder de AVG:

Naam

Adres

Postcode

Telefoon nummer

Foto of afbeelding

Andere unieke persoonlijke kenmerken

Bedrijven en derden kunnen indirecte identifiers onder de AVG gebruiken samen met andere informatiebronnen om een ​​persoon te identificeren. Ze kunnen zijn (maar zijn niet beperkt tot) dingen als:

Werkplaats

Functietitel

Salaris

Werkgeschiedenis

Diensten en goederen gekocht door het individu

Medische diagnoses

Geolocatie

Apparaat ID

Zodra de informatie volledig geanonimiseerd is, valt deze niet meer onder de eisen van de AVG. Het wordt dus data die veel gemakkelijker te gebruiken is voor bedrijven.

Gegevens uitwisselen

Gegevensuitwisseling is een techniek die wordt gebruikt om gevoelige gegevens, zoals namen en burgerservicenummers, om te wisselen met pseudoniemen of gerandomiseerde waarden. Het zijn de centrale componenten van anonimiseringstechnieken die helpen beschermen tegen onbedoelde openbaarmaking zonder in te boeten aan nauwkeurigheid.

Gegevensswaps kunnen ook voor andere doeleinden worden gebruikt, waaronder fraudedetectie, preventie van risicobeheer, nalevingshandhaving en meer.

Bijvoorbeeld: Als uw bedrijf twee databases heeft; een met informatie over klanten die onlangs een creditcard hebben aangevraagd en een andere met informatie over alle werknemers in de organisatie (inclusief salarisgegevens), misschien wilt u gegevensuitwisseling gebruiken bij toegang tot beide sets gegevens, zodat er geen kans is dat een werknemer per ongeluk trekt hun eigen personeelsdossiers opmaken als ze klantprofielen bekijken.

Gegevensverstoring

Gegevensverstoring is het proces waarbij ruis of andere gegevens aan een gegevensset worden toegevoegd, zodat deze niet uniek kan worden geïdentificeerd.

Op deze manier zou er, zelfs als uw bedrijf werd gehackt en een indringer alle informatie zou krijgen die u opslaat over klanten (namen, adressen, inkomensniveaus) evenals de salarissen en telefoonnummers van werknemers, nog steeds geen gemakkelijke manier voor hen zijn. om erachter te komen wie iemand is.

Synthetische gegevens

Synthetische gegevens worden gemaakt op basis van een reeks verschillende variabelen, zoals leeftijd, inkomensniveaus, geslacht en andere kenmerken. Dit kan worden gecombineerd met de gegevens uit de echte wereld over uw klanten om combinaties te maken die in werkelijkheid niet bestaan.