Data governance

Data governance heeft alles te maken met het vaststellen en handhaven van interne standaarden. Deze standaarden of gegevensbeleid hebben rechtstreeks betrekking op de methoden die door de organisatie worden gebruikt om gegevens te verzamelen, op te slaan, te verwerken en te verwijderen wanneer deze het einde van hun levenscyclus bereiken.

Hoewel gegevensprivacy en compliance de belangrijkste drijfveren zijn voor inspanningen op het gebied van gegevensbeheer, hebben ze ook een economisch aspect: het heeft geen financiële zin om gegevens koud te houden op dure, krachtige hardware. Er is ook een beveiligingsaspect aan gegevensbeheer, aangezien onveilige gegevens het risico lopen gecompromitteerd, beschadigd, gestolen of gelekt te worden. Data governance heeft de taak ervoor te zorgen dat dit niet gebeurt.

Bij het vaststellen van standaarden en beleid voor opslagomgevingen is het duidelijk definiëren van het beleid de eerste stap. Maar de even belangrijke tweede stap is om ze grondig en herhaaldelijk te communiceren aan iedereen op wiens werk ze van invloed zijn. Bestaand beleid is zinloos als het niet wordt gevolgd, en het kan niet worden gevolgd als mensen zich er niet van bewust zijn. Neem ze op in onboarding-procedures, prestatiebeoordelingen en terugkerende inspanningen om ervoor te zorgen dat ze een integraal onderdeel worden van de cultuur van de organisatie.

Ze zijn ook zinloos als ze stagneren. Gegevensbeleid moet dynamische, levende documenten zijn die worden bijgewerkt om veranderende omstandigheden, bedreigingen en uitdagingen weer te geven. Maak doorlopende beoordelingen en updates onderdeel van het beleid om ervoor te zorgen dat ze actueel en relevant blijven.

Objectopslag kan helpen bij het implementeren van een consistent beleid voor gegevensbeheer, het afdwingen van gegevensstandaarden, het waarborgen van de gegevenskwaliteit, het instellen van de juiste toegangscontroles en het onderhouden van een uitgebreide gegevenslijn. Dit kan op zijn beurt een betere data-integriteit, compliance en beheer gedurende de hele datalevenscyclus bevorderen.

De inherente metadatamogelijkheden van objectopslag sluiten aan bij de vereisten voor gegevensbeheer, waardoor een efficiënte categorisering, classificatie en doorzoekbaarheid van gegevens mogelijk wordt en tegelijkertijd de mogelijkheid wordt geboden om enorme hoeveelheden ongestructureerde gegevens duurzaam op te slaan.

Veel organisaties die beleid en richtlijnen hebben ontwikkeld rond gestructureerde gegevens, worstelen nog steeds met hetzelfde doen voor ongestructureerde gegevens. Omdat ongestructureerde gegevens, bijvoorbeeld gebruikersdocumenten, video, audio, medische beeldvorming, toepassingsbestanden, gegevens van Internet of Things (IoT)-apparaten en logbestanden, niet in een database passen, kunnen lopende inspanningen op het gebied van gegevensbeheer deze gemakkelijker over het hoofd zien.

Organisaties hebben een holistisch begrip nodig van de soorten en hoeveelheden gegevens die ze verzamelen en opslaan om effectief beleid vast te stellen om deze te beheren.

De eenvoudigste manier om een raamwerk voor databeheer voor ongestructureerde data te ontwikkelen, is door analyses te gebruiken om te begrijpen wat je hebt.

Ontdek hoeveel ongestructureerde gegevens er zijn en waar ze zich bevinden, wie ze heeft gemaakt, hoe ze groeien, de gebruikspatronen en wat het kost om deze gegevens te genereren.

Kijk vervolgens welke gegevens verouderd zijn en wat kan worden verwijderd, gelaagd, gearchiveerd en nauwkeuriger beheerd. Voeg tegelijkertijd automatisering toe aan data governance-processen om taken efficiënt te beheren en een audittrail te bieden van welke bedrijfsgegevens door applicaties zijn opgenomen.

Hoe intelligenter de datalaag is, hoe meer waarde de data kunnen bieden. Meer waardevolle data maakt de rol van data governance sterker. Actieve archiefoplossingen kunnen dienen als raamwerk voor gegevensbeheer door een intelligente softwarelaag voor gegevensbeheer op te nemen die gegevens automatisch plaatst waar ze thuishoren en de locatie ervan optimaliseert op basis van kosten, prestaties en gebruikerstoegangsbehoeften.

Datagovernance is het proces van het beheren van de beschikbaarheid, bruikbaarheid, integriteit en beveiliging van gegevens. Door gebruik te maken van metadata en een wereldwijde naamruimte, zijn gegevens toegankelijk, doorzoekbaar, en veilig, waardoor de consistentie en integriteit van gegevens wordt gewaarborgd voor naleving van de regelgeving.

Het ondersteunen van actieve archieven met opslagtechnologieën voor optische schijven kan gegevensbewaring op de lange termijn bieden. Deze technologieën zijn ontworpen om bestand te zijn tegen omgevingsfactoren zoals temperatuur, vochtigheid en magnetische interferentie, waardoor de integriteit en levensduur van gearchiveerde gegevens wordt gegarandeerd. Met een typische levensduur van honderden jaren of meer zijn optische schijven zeer geschikt voor archiveringsdoeleinden.

Gegevenssoevereiniteit is belangrijker dan ooit geworden in het licht van het aannemen van privacywetten zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en andere in plaatsen als Californië en Nieuw-Zeeland. Dergelijke wetten schrijven voor dat gegevens binnen een land, staat of regio moeten blijven, met als doel de privacy van de gegevens van individuen te waarborgen.

De uitdaging van deze regels is dat cloudopslag over het algemeen geen grenzen kent: het kan overal worden opgeslagen, en dat is vaak ook het geval. Bovendien centraliseren grote bedrijven vaak een deel van hun inspanningen voor het verzamelen van gegevens, wat in strijd is met lokale soevereiniteitswetten. Zeer gevoelige gegevens kunnen in bepaalde regio’s beter worden ondergebracht in een datacenter dan worden doorgestuurd naar de cloud, waar de exacte locatie van die gegevens moeilijk te volgen kan zijn.

Ondanks de uitdagingen die dergelijke regelgeving met zich meebrengt voor cloudopslag, gaat de cloud niet weg. Naarmate de regels voor gegevensprivacy van kracht worden, reageren hyperscalers en andere cloudproviders door lokale datacenters uit te bouwen om regio’s te bedienen en de gegevenssoevereiniteit beter te waarborgen.

Als de cloud de privacy en soevereiniteit van gegevens niet kan garanderen, moeten we overwegen om gegevens van de cloud terug naar het datacenter te repatriëren. Zelfs met volledige zekerheid van privacy en lokalisatie van gegevens van cloudproviders, moeten we kunnen besluiten dat er nog steeds te veel risico is: gegevens opslaan in een eigen datacenter is de enige manier om 100 procent zeker te zijn van naleving.

Inspanningen op het gebied van gegevensbeheer kunnen organisaties helpen bij het vaststellen van beleid om te beoordelen waar gegevens zijn opgeslagen en wanneer repatriëring moet worden overwogen.

Wat als data wordt gelekt

Wat gebeurt er als onze gegevens worden gelekt. Openbaarmaking van persoonlijke gegevens roept alarmerende vragen op over de veiligheidsmaatregelen die zijn genomen om gevoelige informatie te beschermen.

Inbreuk leid altijd tot grote bezorgdheid over de privacy van gegevens en de mogelijke gevolgen die individuen kunnen ondervinden wanneer hun gevoelige informatie in verkeerde handen valt.

Laten we dieper ingaan op de implicaties van een dergelijke inbreuk, waarbij we de verstrekkende gevolgen voor de getroffen personen benadrukken.

Gelekte gegevens omvatten meestal een schat aan persoonlijke details, waaronder volledige namen, geboortedata, adressen, namen van ouders en grootouders, telefoonnummers en meer. Alomvattende variatie vergroot de potentiële risico’s waarmee de getroffen personen worden geconfronteerd.

Identiteitsdiefstal en fraude: de gelekte persoonlijke informatie biedt cybercriminelen een schat aan gegevens die kunnen worden misbruikt voor identiteitsdiefstal en frauduleuze activiteiten. Gewapend met deze gegevens kunnen kwaadwillende actoren zich voordoen als personen, frauduleuze rekeningen openen en financiële transacties uitvoeren, wat leidt tot aanzienlijke financiële verliezen en reputatieschade.

Gerichte phishing- en social engineering-aanvallen: Phishing-aanvallen, zijn een veel voorkomende vorm van cybercriminaliteit, en vertrouwen vaak op persoonlijke informatie om overtuigender over te komen. Met toegang tot de namen, adressen en telefoonnummers van personen kunnen hackers geavanceerde phishing-e-mails en -berichten opstellen, waardoor slachtoffers worden verleid tot het delen van aanvullende gevoelige informatie of het klikken op kwaadaardige links, wat mogelijk kan leiden tot verdere datalekken of financiële schade.

Inbreuk op persoonlijke privacy: de openbaarmaking van persoonlijke informatie op zo’n grote schaal vormt een inbreuk op het fundamentele recht op privacy. Individuen die door de inbreuk zijn getroffen, kunnen angst en een gevoel van onveiligheid ervaren wanneer hun privéleven kwetsbaar wordt voor uitbuiting. Het verlies van controle over persoonlijke informatie tast het vertrouwen aan en kan langdurige psychologische gevolgen hebben.

Gerichte advertenties en oplichting: Cybercriminelen en gewetenloze marketeers kunnen profiteren van de gelekte gegevens om gerichte reclamecampagnes te lanceren of oplichting te plegen. Gepersonaliseerde advertenties, vaak gebaseerd op individuele informatie, kunnen leiden tot een toestroom van ongevraagde telefoontjes, e-mails en berichten, waardoor het vertrouwen in legitieme communicatiekanalen wordt aangetast en overlast wordt veroorzaakt voor de getroffen burgers.

Social engineering-aanvallen: Met toegang tot ingewikkelde informatie over de afstamming van de familie kunnen hackers relaties manipuleren en zich bezighouden met social engineering-aanvallen. Door zich voor te doen als vertrouwde familieleden, kunnen criminelen nietsvermoedende personen uitbuiten, gevoelige informatie stelen of hen onder valse voorwendselen dwingen tot financiële transacties.

De omvang van een datalek brengt bezorgdheid aan het licht over overheidstoezicht en het mogelijke misbruik van persoonlijke informatie. Als de gegevens van burgers in verkeerde handen vallen, kunnen ze worden misbruikt om personen te volgen en te controleren, waardoor de burgerlijke vrijheden worden geschonden en het vertrouwen in overheidsinstellingen wordt aangetast.

Langdurige mitigatie-inspanningen en herstel van vertrouwen, onderstreept de dringende behoefte aan robuuste gegevensbeveiligingsmaatregelen bij overheidsinstanties en organisaties die omgaan met gevoelige persoonlijke informatie. Het implementeren van meervoudige authenticatie, coderingsprotocollen en regelmatige beveiligingsaudits kan het risico op inbreuken aanzienlijk verminderen en de algehele gegevensbescherming verbeteren.

Verbeterde privacywetten en -regelgeving: het incident benadrukt het belang van uitgebreide privacywetten en -regelgeving die het verzamelen, opslaan en verwerken van persoonlijke gegevens regelt. Door strenge wetgeving vast te stellen, kunnen overheden organisaties aansprakelijk stellen voor datalekken, straffen opleggen die afschrikkend werken en betere praktijken op het gebied van gegevensbescherming stimuleren.

Burgers informeren over gegevensprivacy en hen uitrusten met de kennis om hun persoonlijke informatie te beschermen, is van het grootste belang. Door privacybewustzijn te bevorderen via publiekscampagnes, workshops en programma’s voor digitale geletterdheid.

Data delen met USA

Deze week heeft de Europese Commissie haar adequaatheidsbesluit voor het EU-VS-privacyschild goedgekeurd. Kader voor gegevensprivacy. In het besluit wordt geconcludeerd dat de Verenigde Staten een passend beschermingsniveau waarborgen – vergelijkbaar met dat van de Europese Unie – voor persoonsgegevens die vanuit de EU worden doorgegeven aan Amerikaanse bedrijven in het kader van het nieuwe kader. Op basis van het nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig van de EU naar Amerikaanse bedrijven die deelnemen aan het kader stromen, zonder dat er aanvullende waarborgen voor gegevensbescherming moeten worden ingevoerd.

De EU-VS Het raamwerk voor gegevensprivacy introduceert nieuwe bindende waarborgen om tegemoet te komen aan alle zorgen van het Europese Hof van Justitie, waaronder het beperken van de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten tot wat nodig en evenredig is, en het instellen van een Data Protection Review Court (DPRC), waaraan EU-burgers krijgen toegang. Het nieuwe raamwerk introduceert aanzienlijke verbeteringen ten opzichte van het mechanisme dat bestond onder het Privacy Shield. Als de DPRC bijvoorbeeld constateert dat gegevens zijn verzameld in strijd met de nieuwe waarborgen, kan het de verwijdering van de gegevens gelasten. De nieuwe waarborgen op het gebied van overheidstoegang tot gegevens vormen een aanvulling op de verplichtingen die Amerikaanse bedrijven die gegevens uit de EU importeren, zullen moeten onderschrijven.

Voorzitter Ursula von der Leyen zei: “De nieuwe EU-VS-overeenkomst Het kader voor gegevensprivacy zal zorgen voor veilige gegevensstromen voor Europeanen en rechtszekerheid bieden aan bedrijven aan beide zijden van de Atlantische Oceaan. Na het principeakkoord dat ik vorig jaar met president Biden heb bereikt, hebben de VS ongekende toezeggingen gedaan om het nieuwe kader vast te stellen. Vandaag zetten we een belangrijke stap om burgers het vertrouwen te geven dat hun gegevens veilig zijn, om onze economische banden tussen de EU en de VS te verdiepen en tegelijkertijd onze gedeelde waarden opnieuw te bevestigen. Het laat zien dat we door samen te werken de meest complexe vraagstukken kunnen aanpakken.”

Amerikaanse bedrijven kunnen toetreden tot het EU-VS-verdrag. Kader voor gegevensprivacy door zich te verbinden tot naleving van een gedetailleerde reeks privacyverplichtingen, bijvoorbeeld de vereiste om persoonsgegevens te verwijderen wanneer deze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, en om continuïteit van bescherming te waarborgen wanneer persoonsgegevens worden gedeeld met derden.

Individuen uit de EU zullen profiteren van verschillende mogelijkheden om verhaal te halen in het geval hun gegevens verkeerd worden behandeld door Amerikaanse bedrijven. Dit omvat gratis onafhankelijke mechanismen voor geschillenbeslechting en een arbitragepanel.

Bovendien voorziet het Amerikaanse rechtskader in een aantal waarborgen met betrekking tot de toegang tot gegevens die in het kader van het rechtskader door Amerikaanse overheidsinstanties worden overgedragen, met name voor strafrechtelijke rechtshandhaving en nationale veiligheidsdoeleinden. Toegang tot gegevens is beperkt tot wat nodig en proportioneel is om de nationale veiligheid te beschermen.

EU-burgers krijgen toegang tot een onafhankelijk en onpartijdig verhaalmechanisme met betrekking tot het verzamelen en gebruiken van hun gegevens door Amerikaanse inlichtingendiensten, waaronder een nieuw opgerichte Data Protection Review Court (DPRC). Het Hof zal klachten onafhankelijk onderzoeken en oplossen, onder meer door bindende corrigerende maatregelen vast te stellen.

De waarborgen die door de VS zijn ingevoerd, zullen ook meer in het algemeen transatlantische gegevensstromen vergemakkelijken, aangezien ze ook van toepassing zijn wanneer gegevens worden overgedragen met behulp van andere instrumenten, zoals standaardcontractbepalingen en bindende bedrijfsregels.

Volgende stappen

De werking van de EU-VS Het kader voor gegevensprivacy zal worden onderworpen aan periodieke evaluaties, uit te voeren door de Europese Commissie, samen met vertegenwoordigers van de Europese gegevensbeschermingsautoriteiten en de bevoegde Amerikaanse autoriteiten.

De eerste toetsing vindt plaats binnen een jaar na de inwerkingtreding van het adequaatheidsbesluit, om na te gaan of alle relevante elementen volledig zijn geïmplementeerd in het Amerikaanse rechtskader en in de praktijk effectief functioneren.

Achtergrond

Artikel 45, lid 3, van de algemene verordening gegevensbescherming (AVG) verleent de Commissie de bevoegdheid om door middel van een uitvoeringshandeling te besluiten dat een niet-EU-land zorgt voor “een passend beschermingsniveau” – een beschermingsniveau voor gegevens die in wezen gelijkwaardig zijn aan het beschermingsniveau binnen de EU. Het effect van adequaatheidsbesluiten is dat persoonsgegevens vrijelijk vanuit de EU (en Noorwegen, Liechtenstein en IJsland) naar een derde land kunnen stromen zonder verdere belemmeringen.

Na de ongeldigverklaring van het eerdere adequaatheidsbesluit over het EU-U.S. Privacy Shield van het Hof van Justitie van de EU, de Europese Commissie en de Amerikaanse regering zijn in gesprek gegaan over een nieuw raamwerk dat de door het Hof aan de orde gestelde kwesties aanpakt.

In maart 2022 kondigden president Von der Leyen en president Biden aan dat ze een principeakkoord hadden bereikt over een nieuw kader voor transatlantische gegevensstromen, na onderhandelingen tussen commissaris Reynders en de Amerikaanse minister Raimondo. In oktober 2022 ondertekende president Biden een uitvoerend bevel over ‘Enhancing Safeguards for United States Signals Intelligence Activity’s’, dat werd aangevuld met voorschriften van de Amerikaanse procureur-generaal Garland. Samen hebben deze twee instrumenten de toezeggingen van de VS die zijn bereikt in het kader van het beginselakkoord omgezet in Amerikaans recht, en een aanvulling gevormd op de verplichtingen voor Amerikaanse bedrijven in het kader van het EU-VS-verdrag. Kader voor gegevensprivacy.

Een essentieel onderdeel van het Amerikaanse rechtskader waarin deze waarborgen zijn verankerd, is het Amerikaanse uitvoeringsbesluit inzake “Enhancing Safeguards for United States Signals Intelligence Activities”, waarin tegemoet wordt gekomen aan de zorgen die het Hof van Justitie van de Europese Unie in zijn Schrems II-besluit van juli 2020 heeft geuit .

Het Framework wordt beheerd en gecontroleerd door het Amerikaanse Ministerie van Handel. De Amerikaanse Federal Trade Commission zal de naleving door Amerikaanse bedrijven afdwingen.

Voor meer informatie

Adequacy decision on the EU-US Data Privacy Framework

Questions and Answers : EU – US Data Privacy Framework

Factsheet – Transatlantic Data Privacy Framework

EU-US data transfers (europa.eu)

International dimension of data protection (europa.eu)

Adequacy decisions (europa.eu)

Joint Statement on Trans-Atlantic Data Privacy Framework (europa.eu)

Grote vijf van Big Data

Van de vijf bepalende kenmerken van Big Data – Volume, Snelheid, Waarheidsgetrouwheid, Verscheidenheid en Waarde, die in de volksmond de grote vijf van Big Data worden genoemd – blijft ‘Variëteit’ het meest ongetemde, onontgonnen en gevreesde van de grote vijf.

Verscheidenheid is ook het enige kenmerk dat in alle organisaties gelijk blijft. Iedereen krijgt te maken met een snelle instroom van enorme, diverse gegevens die moeten worden uitgeplozen, gesorteerd en verwerkt. Het is op zijn zachtst gezegd een uitdaging om met alle soorten binnenkomende gegevens te werken om ervoor te zorgen dat ze all inclusief en nauwkeurig zijn voordat analyses worden uitgevoerd. Het is kostbaar en tijdrovend.

Maar er is een voordeel

Variëteit in Data verwijst naar het verzamelen van gegevens uit meerdere bronnen om een probleem te begrijpen en slimmere, beter geïnformeerde beslissingen te nemen. Duidelijke, ongecompliceerde toegang tot een uitgebreide verscheidenheid aan gegevens is ook de sleutel tot het creëren van platforms die innovatie en efficiëntie stimuleren.

Efficiëntie en innovaties kunnen binnen een organisatie worden aangestuurd met schone en goed gestructureerde data. Bij het combineren van meerdere bronnen staan kwaliteit en nauwkeurigheid voorop voor goede analyses. De uitdaging is om een structuur te definiëren, overbodige gegevens op te ruimen en gegevens te dupliceren voordat deze bruikbaar zijn.

Neem een voorbeeld: het geval van een fysieke winkel die Big Data over verkoopcijfers gebruikt om de verkoop te optimaliseren en de winst te verhogen. Wat gebeurt er als de winkelier een grotere verscheidenheid aan bronnen aan zijn datapool toevoegt? Gegevens over het weer en geografische omstandigheden plus interacties op sociale media, over de verkoopgegevens van elke dag.

Het is gemakkelijk te begrijpen dat de winkelier meer inzicht kan krijgen in wat de verkoopcijfers doet pieken en dalen. Een campagne op sociale media bevordert mond-tot-mondreclame en stimuleert de verkoop. Slecht weer of slechte bereikbaarheid van de winkel leidt tot minder verkopen. Met behulp van deze correlaties kan de winkelier:

1. Maak nauwkeurigere verkoopvoorspellingen en prognoses,

2. Optimaliseer inventaris, personeelsbezetting en andere operaties,

3. Bereid je van tevoren voor op een daling van de verkoop, en

4. Simuleer (een of meer van) de voorwaarden om de verkoop te verbeteren.

Zowel voor overheden als voor organisaties en instanties die in de publieke sector werken, worden de voordelen van een dergelijke verscheidenheid aan gegevens alleen maar groter. Door gegevens uit verschillende bronnen te verzamelen om een kans te beoordelen of een probleem op te lossen, kunnen ze betere oplossingen vinden. Integendeel, betere, meer populaire oplossingen die in lijn zijn met de wensen en verwachtingen van de mensen (en niet alleen wetgevers), wat de sleutel is tot goed digitaal bestuur.

De waarde van deze datasets neemt toe naarmate er meer beschikbaar komen, waardoor de inzichten die mogelijk zijn toenemen. De uitdaging is dat elk van de datasets zijn eigen structuur en conventies zou hebben vanwege de verscheidenheid aan bronnen. Er wordt beweerd dat Big Data het “nieuwe goud” van de 21e eeuw is. Sinds we toegang hebben tot dit soort diensten, zijn er veel innovatieve diensten en producten ontwikkeld. Dit heeft geleid tot verbeteringen voor industrieën en de samenleving, waardoor het potentieel aan mogelijkheden is vergroot.