Parttime bescherming

Privacyregelgeving verplicht de overheden, bedrijven of organisaties over het algemeen om alle gegevens die ze verzamelen of verwerken veilig op te slaan. En wat ze met die gegevens mogen doen, is streng gereguleerd.

Inmiddels valt 65% van de wereldbevolking onder enige vorm van privacyregelgeving. En is het een uitdaging om aan de regelgeving te voldoen.

Bijna 20 jaar hebben overheden, bedrijven en organisaties vrij spel gehad bij het verzamelen van persoonlijke gegevens uit elektronische transacties en internetgebruik.

En moeten nu hun procedures aanpassen om in overeenstemming te zijn met de nieuwe wetgeving en regelgeving. Een prioriteit voor transacties en correspondentie met betrekking tot e-commerce en sociale media.

Daartoe gedwongen door het toenemend wantrouwen van de consument, overheidsoptreden en concurrentie om klanten. Maar ook door strikte regels en voorschriften op gelegd door overheden. De impact hiervan verandert de omstandigheden in niemandsland, waardoor zowel overheden, bedrijven als organisaties niet ongebreideld kunnen omgaan met persoonlijke gegevens.

“Verreweg de grootste uitdaging waarmee ze worden geconfronteerd, is het bijhouden van de grote hoeveelheid gegevens die wordt beheerd, en die onderhevig is aan de vereisten voor gegevensprivacy”

De Algemene Verordening Gegevensbescherming (AVG) in Europa een fundamenteel mensenrecht,

Het beschermen van dit recht is een complexe zaak door de manier we onze infrastructuur inrichten.  Gegevensprivacy en -beveiliging zijn de belangrijkste uitdagingen bij het implementeren van een cloudstrategie, een prominent punt van zorg.

Bij het implementeren van een cloudstrategie lopen we tegen uitdagingen aan, zoals het beheersen van cloudkosten, uitdagingen op het gebied van gegevensprivacy en beveiliging, en een gebrek aan vaardigheden/expertise op het gebied van cloudbeveiliging.

Met een strengere focus op het beveiligen van privacygegevens, doemt dat probleem op naarmate meer organisaties naar de cloud migreren.

Succesvol voorbereiden op de wetgeving inzake gegevensprivacy kan maar daarvoor moeten initiatieven op het gebied van gegevensprivacy concreet worden door een eindverantwoordelijke die dit fulltime doet.

Nog te veel overheden, bedrijven en organisaties beschouwen dataprivacy als een parttime project voor hun webteams, in plaats van een fulltime zakelijk initiatief dat een aanzienlijke impact kan hebben op de klantrelaties, het moreel van de werknemers en de merkreputatie.

Het beheren van verzoeken van betrokkenen die op basis van het recht van individu om geïnformeerd te worden over de persoonlijke gegevens die over hen zijn verzameld, het recht om af te zien van de verkoop van persoonlijke informatie aan anderen, of het recht om te worden vergeten door verzamelende organisaties.

Het beoordelen van de naleving en reikwijdte van specifieke regelgeving (bijv. AVG, CCPA).

Technische beoordelingen maken voor externe leveranciers en beoordelen en inschatten van de potentiële risico’s voor de verzamelde gegevens.

Mogelijkheden voor toestemming voor cookies uitbreiden, zoals de integratie van toestemming voor cookies in compliance-workflows als onderdeel van proactieve zorgvuldigheid

Het kan voor overheden, bedrijven en organisaties moeilijk zijn om het snel evoluerende privacylandschap van vandaag te begrijpen, evenals hoe specifieke regelgeving op hen van toepassing is. Door proactief maatregelen te nemen, kunnen overheden, bedrijven en organisaties in de toekomst echter op de hoogte blijven van de wet en regelgeving inzake gegevensprivacy.

Door de status van de gegevensprivacyregelgeving in de landen, provincies en staten waar de oorsprong ligt van de bewaarde gegevens te monitoren.

Een taskforce te creëren voor gegevensprivacy die de focus van de organisatie kan verbeteren en de aandacht van de directie voor privacy-initiatieven kan vergroten.

En op de hoogte blijven van nieuwe wetgeving inzake gegevensprivacy, zoals de voorgestelde American Data Privacy and Protection Act (ADPPA).

Daarbij is ook belangrijk om de extra langetermijnvoordelen van naleving van gegevensprivacy in het oog te houden. Het versterkt namelijk de algehele cyberbeveiliging door het bewuster omgaan met gegevens en is een eerste stap in het herstellen van het klant vertrouwen.

Status AI

De AI-wet is een mijlpaalvoorstel om kunstmatige intelligentie in de EU te reguleren volgens een op risico’s gebaseerde benadering. Daarom is de categorie met een hoog risico een belangrijk onderdeel van de verordening, aangezien dit de categorieën zijn met de grootste impact op de veiligheid van mensen en de grondrechten.

Door een ​​extra laag toe te voegen om te bepalen of een AI-systeem hoge risico’s met zich meebrengt, namelijk de voorwaarde dat het risicovolle systeem een ​​belangrijke rol zou moeten spelen bij het vormgeven van de uiteindelijke beslissing.

De centrale gedachte is om meer rechtszekerheid te creëren en te voorkomen dat AI-toepassingen die ‘puur bijkomstig’ zijn bij besluitvorming onder de reikwijdte vallen. Wil de Europese Commissie binnen een jaar na de inwerkingtreding van de verordening het begrip puur accessoire via een uitvoeringshandeling definieert.

Het principe dat een systeem dat beslissingen neemt zonder menselijke toetsing als een hoog risico wordt beschouwd, is geschrapt omdat “niet alle geautomatiseerde AI-systemen noodzakelijkerwijs een hoog risico vormen en omdat een dergelijke bepaling vatbaar zou kunnen zijn voor omzeiling door een mens in het midden”.

Bovendien stelt de tekst dat wanneer het EU-bestuur de lijst met toepassingen met een hoog risico bijwerkt, het rekening moet houden met het potentiële voordeel dat AI kan hebben voor individuen of de samenleving in het algemeen, in plaats van alleen het potentieel voor schade.

In bijlage III vermelde categorieën met een hoog risico worden niet gewijzigd, maar er heeft een ingrijpende herformulering plaats gevonden. Bovendien stelt de tekst nu expliciet dat de voorwaarden voor de Commissie om aanvragen van de lijst met hoog risico te halen cumulatief zijn.

Er is hiermee een engere definitie van kunstmatige intelligentie (AI), een herziene en verkorte lijst van risicovolle systemen, een sterkere rol voor de AI-raad en herformuleerde vrijstelling van nationale veiligheid.

Vereisten voor systemen met een hoog risico

In het gedeelte over risicobeheer heeft het voorzitterschap de formulering gewijzigd om uit te sluiten dat de risico’s in verband met risicovolle systemen kunnen worden geïdentificeerd door middel van tests, aangezien deze praktijk alleen mag worden gebruikt om mitigerende maatregelen te verifiëren of te valideren.

De wijzigingen geven de bevoegde nationale autoriteit ook meer speelruimte om te beoordelen welke technische documentatie nodig is voor kmo’s die risicovolle systemen aanbieden.

Wat de menselijke beoordeling betreft, vereist de ontwerpverordening dat ten minste twee personen toezicht houden op risicovolle systemen. De Tsjechen stellen echter een uitzondering voor op de zogenaamde ‘vierogenprincipes’, namelijk voor AI-toepassingen op het gebied van grenscontrole waar EU- of nationale wetgeving dit toelaat.

Met betrekking tot financiële instellingen stelt het compromis dat het kwaliteitsbeheersysteem dat ze zouden moeten invoeren voor gebruiksgevallen met een hoog risico, kan worden geïntegreerd met het systeem dat al bestaat om te voldoen aan de bestaande sectorale wetgeving om doublures te voorkomen.

Evenzo zouden de financiële autoriteiten krachtens de AI-verordening markttoezichtbevoegdheden hebben, met inbegrip van het uitvoeren van toezichtactiviteiten achteraf die kunnen worden geïntegreerd in het bestaande toezichtmechanisme van de EU-wetgeving inzake financiële diensten.

Definitie

De meeste van zijn eerdere wijzigingen in de definitie van kunstmatige intelligentie behouden, maar de verwijzing naar het feit dat AI ‘door de mens gedefinieerde’ doelstellingen moet volgen is geschrapt, omdat het als “niet essentieel” werd beschouwd.

De tekst specificeert nu dat de levenscyclus van een KI-systeem zou eindigen als het door een markttoezichtautoriteit wordt ingetrokken of als het ingrijpende wijzigingen ondergaat, in welk geval het als een nieuw systeem moet worden beschouwd.

Het compromis introduceerde ook een onderscheid tussen de gebruiker en degene die het systeem bestuurt, wat niet noodzakelijk dezelfde persoon hoeft te zijn die door de AI wordt beïnvloed.

Aan de definitie van machine learning is toegevoegd dat het een systeem is dat kan leren maar ook gegevens kan afleiden.

Bovendien is het eerder toegevoegde concept van autonomie van een AI-systeem beschreven als “de mate waarin een dergelijk systeem functioneert zonder invloed van buitenaf.”

Er is een meer directe uitsluiting van onderzoeks- en ontwikkelingsactiviteiten met betrekking tot AI, “ook met betrekking tot t o de uitzondering voor nationale veiligheid, defensie en militaire doeleinden”, luidt de toelichting.

Het cruciale deel van de tekst over AI voor algemene doeleinden werd overgelaten aan het volgende compromis.

Verboden praktijken

Het deel over verboden praktijken, een gevoelige kwestie voor het Europees Parlement, blijkt niet controversieel te zijn onder lidstaten die geen grote wijzigingen hebben gevraagd.

Tegelijkertijd definieert de preambule van de tekst het concept van AI-geactiveerde manipulatieve technieken verder als stimuli die “buiten de menselijke waarneming liggen of andere subliminale technieken die de autonomie van de persoon ondermijnen of aantasten, bijvoorbeeld in het geval van machine-herseninterfaces of virtuele realiteit.”

Data wetgeving

Dit najaar is een van de meest prominente beleidsvoorstellen die op de politieke agenda van de EU zullen worden besproken, de Datawet. Met het wetsvoorstel van de Datawet wil de Europese Commissie een vruchtbare omgeving voor de data-economie bevorderen, onder meer door te zorgen voor een eerlijke en concurrerende datamarkt, kansen voor datagedreven innovatie te faciliteren en data toegankelijker te maken voor allemaal.

Ecommerce Europe ziet de Datawet als een belangrijke stap om het potentieel van een datagedreven economie voor Europa te realiseren. Met dit voorstel wil de EU meer rechtszekerheid creëren voor zowel bedrijven als burgers die data genereren. Ecommerce Europe is er vast van overtuigd dat de Europese datagedreven economie gestimuleerd moet worden door best practices uit de industrie, en niet gehinderd moet worden door een strikt regelgevend kader dat innovatie in de weg staat. Daarom volgt Ecommerce Europe nauwlettend de ontwikkelingen op het gebied van de wet op de gegevenswet om ervoor te zorgen dat de verordening economische prikkels voor alle marktdeelnemers behoudt, rekening houdt met sectorspecifieke kenmerken en rekening houdt met vitale principes zoals haalbaarheid, privacy, cyberbeveiliging, intellectueel eigendom en de bescherming van bedrijfsgeheimen.

Ontwerpverslag van het Europees Parlement in de maak

De ITRE-commissie leidt de onderhandelingen over de datawet in het Europees Parlement en rapporteur Pilar del Castillo Vera (EPP, Spanje) heeft aangekondigd dat het conceptrapport op het punt staat te worden overhandigd aan de vertaaldiensten en dus naar verwachting binnenkort zal worden gepubliceerd. Het conceptrapport zal dan ook ingaan op een van die onderdelen van het wetgevingsvoorstel van de Commissie, dat tot dusver de meeste weerstand heeft opgeleverd, namelijk hoofdstuk V. Hoofdstuk V van het voorstel van de Datawet bevat verplichtingen voor bedrijven om gegevens te delen met overheden in situaties van ‘uitzonderlijke behoefte’. Rapporteur del Castillo Vera wil met haar conceptrapport dit punt verder verduidelijken door onderscheid te maken tussen situaties van zogenaamde openbare noodsituaties, waarin bedrijven geen recht hebben op compensatie voor het delen van hun gegevens, en situaties van uitzonderlijke behoefte, die anderzijds hand kan bedrijven recht geven op compensatie.

Artikel 27 van het wetgevingsvoorstel zal naar verwachting ook worden behandeld in het ITRE-ontwerprapport. Voortbouwend op reeds bestaande AVG-regels, heeft artikel 27 betrekking op internationale doorgifte van en toegang tot niet-persoonsgebonden gegevens. Volgens het oorspronkelijke voorstel mag doorgifte van niet-persoonsgebonden gegevens naar derde landen alleen plaatsvinden als het betreffende derde land voldoende rechtsstaatgaranties kan bieden. Dit kan echter leiden tot een aantal zorgen voor bedrijven, bijvoorbeeld met betrekking tot het onderscheid tussen persoonlijke en niet-persoonlijke gegevens, aangezien deze steeds onafscheidelijker worden, hoe cloudserviceproviders naar verwachting zullen omgaan met verzoeken van overheden van derde landen, en hoe de door derde landen geboden garanties voor de rechtsstaat interpreteren en beoordelen.

Nieuwe ontwikkelingen in de Raad

Binnen de Raad heeft het Tsjechische voorzitterschap onlangs een nieuwe gedeeltelijke compromistekst over de datawet gepresenteerd, waarin de belangrijkste aspecten van cloud-switching, interoperabiliteitsvereisten en samenwerking op het gebied van handhaving op EU-niveau worden behandeld. Wat cloud-switching betreft, houdt het eerste ontwerp een overgangsperiode van 30 kalenderdagen in voor het switchen tussen cloudserviceproviders. Met de compromistekst introduceert het Tsjechische voorzitterschap echter de mogelijkheid voor aanbieders van clouddiensten om een ​​verlenging van de periode aan te vragen in uitzonderlijke omstandigheden die geworteld zijn in technische onhaalbaarheid. Dit sluit verder aan bij een ander aspect dat door het Tsjechische voorzitterschap is toegevoegd, met name dat de vertrekkende cloudserviceprovider verplicht zal zijn om functionele gelijkwaardigheid te faciliteren tijdens de overdracht, ook in samenwerking met de bestemmingsserviceprovider, en een hoog niveau van cyberbeveiliging moet garanderen tijdens de overdracht overdrachtsproces ook. Wat het aspect van interoperabiliteit betreft, benadrukt de tekst van het Tsjechische voorzitterschap dat de essentiële vereisten inzake interoperabiliteit alleen van toepassing zijn op organisaties die deel uitmaken van bepaalde dataruimten (sectoriële dataruimten met governanceregels die specifiek zijn voor de gezondheids-, energie- en landbouwsectoren). Verder hebben we uit de compromistekst van het voorzitterschap geleerd dat de overheid en de handhavingsarchitectuur van de Datawet het vestigingslandbeginsel zullen volgen. In gevallen waarin organisaties geen wettelijke vertegenwoordiging in de EU hebben, zouden alle lidstaten bevoegd zijn.

Data van levensbelang

Is onze data het levensbloed van elk bedrijf, instelling of de overheid. Zonder u zou ze immers helemaal niet bestaan. Om u als klant goed van dienst te zijn, moet men weten wie u bent, wat u nodig heeft, wat u wil en hoe u zich gedraagt.

Wanneer bedrijven, instellingen en overheden echter een groot en divers klantenbestand bedienen, met name als ze sommige of al hun bedrijfsactiviteiten online uitvoeren, kan het moeilijk zijn om dergelijke essentiële klantinformatie te verzamelen. Vaak ligt de sleutel tot het kennen van u als klant in de gegevens die u bij elke interactie achterlaat en dus deelt. Maar van wie zijn die gegevens precies? Van u als gebruiker? Het bedrijf, de instelling of overheid? Allemaal? Geen van alle?

Het is een uiterst belangrijke vraag die niet zomaar kan worden beantwoordt, omdat het zowel relatie met u als klant de bedrijfsprocessen in het algemeen diepgaand vormgeeft. De keuzes die gemaakt worden met betrekking tot het verzamelen en beheren van uw gegevens kunnen inderdaad het ideologische en ethische kader bepalen waarbinnen het bedrijf, de instellingen of de overheid opereert.

Om deze reden is het absoluut noodzakelijk om de enorme morele en financiële waarde van uw gegevens te erkennen en hun unieke en onvermijdelijke verplichting te waarderen om de hoogste ethische normen te handhaven bij het verkrijgen en gebruiken van dergelijke gegevens.

Een van de grootste uitdagingen daarbij is het bepalen hoe ethische gegevenspraktijken moeten worden gedefinieerd en geïmplementeerd, daarbij is de poging om te bepalen wie de eigenaar is of zou moeten zijn van de gegevens. Ethische praktijken zijn in het algemeen gebaseerd op het uitgangspunt dat uw de individuele klant uw persoonlijke gegevens “bezit”, waaronder niet alleen demografische gegevens zoals leeftijd en geslachtsidentiteit, maar ook gedragsgegevens, zoals bestedingspatroon en kooppatronen.

Het vermoeden van individuele eigendom van gegevens is vooral duidelijk in het concept van het ‘datadividend’, dat voorstelt dat bedrijven een soort kleine vergoeding betalen aan u als klant van wie ze gegevens verzamelen voor marketing- of andere zakelijke doeleinden.

Deze strategie conceptualiseert in wezen het ethische gebruik van gegevens als een soort waarde-uitwisseling: u biedt het bedrijf iets van monetaire en/of strategische waarde (d.w.z. hun persoonlijke/eigen gegevens) en wordt in ruil daarvoor financieel gecompenseerd. Dit waarde-uitwisselingsmodel is ontworpen om uitbuiting te voorkomen en ervoor te zorgen dat bedrijven niet profiteren ten koste van u als klant of zonder dat u een gelijkwaardige winst geniet.

Of een bedrijf, instelling of overheid ervoor kiest om een ​​datadividend uit te keren aan u of u op een andere manier te compenseren voor het gebruik van uw data, een cruciaal punt in de data-ethiek is transparantie. Wanneer u ervan uitgaat dat u, uw persoonlijke gegevens “bezit”, dan vereist de ethische praktijk dat bedrijven, instellingen en overheden het hoogste niveau van transparantie handhaven met betrekking tot hun praktijken voor het verzamelen, opslaan, gebruiken en verspreiden van klantgegevens.

Het is dus de plicht om ervoor te zorgen dat u op de hoogte bent van en toestemming geven voor het verkrijgen, bewaren en gebruiken van uw persoonlijke informatie. Het beveiligen van de geïnformeerde toestemming van u de klant met betrekking tot gegevenspraktijken is echter vaak een veel ingewikkelder proces dan de huidige standaard, die doorgaans alleen het verstrekken van een “algemene voorwaarden” -overeenkomst inhoudt die u als de klant moet goedkeuren voordat de zakelijke transactie kan worden voltooid .

Omdat dergelijke overeenkomsten vaak moeten worden goedgekeurd voordat een product kan worden besteld of een dienst kan worden verleend, kan het proces meer dwingend dan volledig vrijwillig zijn, waardoor zowel de transparantie als de persoonlijke autonomie waarop ethische praktijk is gebaseerd, wordt ondermijnd.

Zoals is aangetoond, werken ethische bedrijven, instellingen en overheden doorgaans volgens twee belangrijke aannames met betrekking tot uw gegevens: dat u het individu eigenaar is van uw gegevens en dat bedrijven, instellingen en overheden geen misbruik kunnen maken van u (of uw persoonlijke informatie) voor het gewin van het bedrijf, de instelling of de overheid.

Terwijl concepten zoals het datadividend proberen het ene activum (de gegevens van u) in te ruilen voor een ander (financiële vergoeding), zijn er in feite een aantal directe voordelen die u als klant kunt genieten wanneer u, uw gegevens deelt. Gegevens die bijvoorbeeld worden gebruikt om gedragsanalyses te vergemakkelijken, kunnen u helpen beschermen tegen fraude en andere vormen van identiteitsdiefstal door u te waarschuwen voor ongebruikelijke activiteiten op u rekening.

Zoals de bovenstaande discussies suggereren, zijn ethische praktijken met betrekking tot gegevens ontworpen om ervoor te zorgen dat u volledig wordt geïnformeerd over het gebruik van uw gegevens, dat u een billijk voordeel geniet van het delen van uw gegevens en dat u willens en wetens instemt met het verzamelen en gebruik van uw gegevens voor een bepaald doel en op de beschreven manier.

Ervoor zorgen dat u als klant het proces begrijpt, ermee instemt en er voordeel uit kan halen, zoals is aangetoond, kan een moeizaam proces zijn. Om deze reden zullen ethische bedrijven, instellingen en overheden proactief zijn bij het samenstellen van multidisciplinaire teams om te beslissen over de meest effectieve strategieën voor het ethisch verkrijgen en gebruiken van uw gegevens. Samenwerken met technologen, analisten, marketeers, juridische vertegenwoordigers en andere belanghebbenden is essentieel om het probleem van geïnformeerde toestemming en rechtvaardige compensatie met betrekking tot uw gegevens aan te pakken.

Uw gegevens zijn misschien wel de brandstof die de motor van het samenleving draaiende houdt. Dat betekent echter niet noodzakelijk dat de privé-informatie van u op een ethische manier is verzameld, opgeslagen, gebruikt of gedeeld. Ethische processen voor uw gegevens zijn diep geworteld in kwesties van eigendom, transparantie, toestemming en billijke waarde-uitwisseling.