Hervorming van gegevensbescherming en privacy. In plaats van een uitgebreide wettelijke bescherming voor persoonlijke gegevens,
De helft van alle consumenten gelooft dat hun persoonlijke informatie nu minder veilig is dan vijf jaar geleden, ontnuchterend hoe weinig vertrouwen we hebben in organisaties, de overheid als geheel en de particuliere sector, om onze gegevens te beschermen. Individuen worden gedwarsboomd over welke actie ze eventueel kunnen ondernemen om hun digitale activa en identiteit te beschermen.
Maar intussen recordbrekende gegevensinbreuken en ontoereikende handhaving op het gebied van gegevensbescherming. We hebben dan wel uitgebreide wettelijke beschermingen voor persoonlijke gegevens ingevoerd, maar geen enkele van de meest geavanceerde en grootste technologie- en databedrijven ter wereld, heeft echt grote stappen gemaakt op het gebied van onze privacy. We lijden onder deze ongelijke benadering: omdat onze gegevens niet voldoende worden beschermd.
De regie ontbreekt en een alomvattende raamwerk dat het verzamelen en gebruiken van persoonlijke informatie regelt is niet aanwezig. In plaats daarvan wordt privacy en veiligheid benaderd door verschillend beleid, bepaald door sectoren en soorten van gevoelige informatie (bijvoorbeeld gezondheid en financieel), waardoor overlappende en tegenstrijdige beleid ontstaat.
Wijdverbreide verzameling van persoonlijke informatie brengt de privacy en veiligheid van [personen] in gevaar.
Met name de wetgeving met betrekking tot datalekken lijkt niet goed te werken. Daarbij moeten we erkennen dat wijdverbreide verzameling van persoonlijke informatie, de privacy en veiligheid van consumenten in gevaar brengt. Wetten hebben verschillende en soms onverenigbare bepalingen met betrekking tot welke categorieën en soorten persoonlijke informatie bescherming rechtvaardigen, welke entiteiten worden gedekt en zelfs wat een inbreuk vormt. De meldingsvereisten variëren tot het niet op de hoogte brengen van instanties voordat een getroffen personen wordt geïnformeerd.
De handhaving van de wet is ook ingewikkeld door beperkte jurisdictie over banken, verzekeringsmaatschappijen, non-profitorganisaties en zelfs sommige internetserviceproviders.
Zelfs de meest geavanceerde organisaties zullen uiteindelijk een inbreuk ervaren. Zelfs organisaties met meerdere lagen van digitale en fysieke beveiliging zijn kwetsbaar. Perfecte beveiliging is onmogelijk en de informatieschade die het gevolg kan zijn van het verzamelen en (mis)gebruiken van gegevens is voortdurend aanwezig.
Als gevolg hiervan steeds meer regels voor het melden van gegevensinbreuken en voorstellen voor de bescherming van consumenten voor datalekken. Wetten voor het melden van overtredingen die de verantwoording voor melding leggen bij de personen van wie de informatie is gecompromitteerd.
Dit is een veelvoorkomende retoriek na elke inbreuk in de krantenkoppen, maar het aannemen van meer wetgeving inzake inbreuk op gegevens, hoewel goed bedoeld, zal waarschijnlijk leiden tot weinig zinvolle verbetering voor gegevensbeveiliging. Hoewel wetten voor het melden van inbreuken bedrijven die inbreuken zelf niet openbaar maken, beschamen, leggen ze uiteindelijk de last op de personen van wie de informatie verzameld is. We moeten voortdurend alert blijven op identiteits- en andere fraude, waarvan sommige jaren na het eerste inbreuk kunnen plaatsvinden.
Duidelijke regels moeten bedrijven kunnen stimuleren om gegevens te beveiligen. De meeste datalekken, zelfs met de kosten van openbaarmaking en reactie en de daarmee gepaard gaande reputatieschade, leiden niet tot aanzienlijke financiële schade voor bedrijven. Zelfs wanneer toezichthouders erbij betrokken raken, is de kans op een geldboete klein. Er is een uitgebreider wettelijk kader nodig voor een betere beveiliging, openbaarmakingen van inbreuk en individuele bescherming van privacy.
Met de herziene Algemene Verordening Gegevensbescherming (AVG) is de Europese Unie het middelpunt geworden van de wereldwijde dialoog over individuele gegevensprivacy. In tegenstelling tot de meeste bestaande wereldwijde wetgeving beschermt de EU-wetgeving alle persoonsgegevens, ongeacht wie ze verzamelt of hoe ze worden verwerkt.
Gegevensbescherming maakt niet alleen deel uit van maatschappelijk verantwoord ondernemen, het is ook een substantieel risico als een essentiële compliancefunctie voor elke organisatie die persoonlijke informatie of andere potentieel gevoelige consumentengegevens verzamelt, gebruikt of deelt.
Informatie is gevoelig, ongeacht of deze wordt ingevoerd in een consumententoepassing, wordt gegenereerd door een draagbaar apparaat of wordt doorgegeven aan een professional.
Openbaarmaking achteraf helpt alleen de juridische en compliance-industrieën die zijn opgedoken in de nasleep van recente inbreuken. Tegen de tijd dat een inbreuk wordt onthuld, kan er al schade zijn toegebracht aan honderdduizenden, zo niet miljoenen individuen.
Bedrijven moeten gebruiksvriendelijke individuele toegangs-, correctie- en verwijderingsmechanismen bieden voor gebruikersgegevens, en gedocumenteerde risicobeoordelingen en andere nalevingsvereisten, die een papieren spoor achterlaten. Wanneer deze mechanismen door de wet worden ondersteund, worden bedrijven erop gewezen dat ze prioriteit moeten geven aan gegevensbeveiliging, wat op zijn beurt privacy- en beveiligingsprofessionals en consumentenadvocaten meer invloed geeft om te streven naar betere naleving.
Wetgevers en rechtbanken erkennen de schade van inbreuken, maar de definitie van “privacyschade” moet worden uitgebreid. Identiteitsdiefstal is zo’n schade, maar dat geldt ook voor de ongemakken van getroffen individuen en hun knagende gevoel dat ze geen controle hebben over hun ‘digitale zelf’. Deze minder kwantificeerbare schade die het gevolg is van het blootleggen van bits en bytes van het persoonlijke leven van individuen, moet wettelijk worden erkend: aangezien de diepte van deze schade in de loop van de tijd wordt opgespoord en aangepakt, moeten individuen een privaat vorderingsrecht krijgen om bedrijven verantwoordelijk te houden , en regelgevers moeten de mogelijkheid hebben om entiteiten te straffen die hun plicht om verantwoordelijke beheerders van persoonlijke informatie te zijn.