Categorie: Smartphones

Voordat we onze persoonsgegevens delen met andere bedrijven, organisaties, en overheden vooral buiten de EER, moet we even stilstaan ​​bij de regels van de AVG.

8 Tips voor het delen van AVG-gegevens

Het delen van persoonsgegevens door organisaties binnen Europa valt onder de Algemene Verordening Gegevensbescherming (AVG). Het delen van gegevens is niet verkeerd. Er zijn legitieme redenen voor organisaties, overheden en bedrijven om persoonlijke informatie te delen.

Gerechtvaardigde redenen voor het delen van gegevens onder de AVG

Winkeliers kunnen klantadressen delen met een koerier voor bezorging.

Reisbureaus kunnen persoonlijke informatie met betrekking tot een boeking doorgeven aan een hotel.

Zorgverleners moeten de medische geschiedenis van een patiënt delen met een consulent die gereed is voor een operatie.

Een financieringsmaatschappij kan persoonsgegevens delen met een ratingbureau om de kredietwaardigheid vast te stellen.

Voordat u persoonlijke informatie deelt, is het van cruciaal belang ervoor te zorgen dat er een legitieme reden is om dit te doen, dat de beveiligingen adequaat zijn en dat er passende waarborgen zijn getroffen.

Er is veel veranderd sinds de invoering van de AVG, niet in de laatste plaats het Britse Brexit-referendum. Daarom is het de moeite waard om met een frisse blik te kijken hoe u compliant kunt blijven bij het delen van gegevens onder de AVG.

Tips voor het delen van AVG-gegevens

1. Overweeg legitimiteit

Waarom deel je in de eerste plaats gegevens? Wat is de wettelijke basis hiervoor? Wat hoop je te bereiken? Is het gerechtvaardigd? Is het delen van gegevens proportioneel? Welke en hoeveel gegevens worden er gedeeld? Met wie?

2. Weeg voordelen af ​​tegen risico’s

Wat zijn de voordelen en risico’s van het wel of niet delen van de informatie? Onthoud dat als er een hoog risico bestaat voor de rechten en vrijheden van betrokkenen, een gegevensbeschermings- of privacyeffectbeoordeling moet worden uitgevoerd.

3. Ga na of je het recht hebt om informatie te delen

Voor welk type organisatie werkt u bijvoorbeeld, welke relevante bevoegdheden of functies heeft zij, wat is de aard van de informatie die u van plan bent te delen (bijvoorbeeld is deze vertrouwelijk, bijzonder gevoelig, enz.), en is er een wettelijke verplichting (zoals een wettelijke verplichting, een gerechtelijk bevel, een bewaarplicht, enz.)?

4. Overweeg waar de gegevensoverdracht zich tussen bevindt:

Is het naar een land buiten de EER? Zo ja, valt de doorgifte dan onder een adequaatheidsbesluit dat de rechten en vrijheden van personen waarborgt?

Roadmap voor AVG-naleving

5. Wat te doen als er geen ‘adequaatheidsbesluit’ is?

Overweeg of andere waarborgen van toepassing zijn op de overdracht – bijvoorbeeld bindende bedrijfsregels (BCR’s), standaardcontractbepalingen (SCC’s) die zijn goedgekeurd door de Commissie, enz.

6. Controleer of een uitzondering de gegevensoverdracht dekt

Wat kunt u doen als u geen beschikking heeft over ’toereikendheid’ en geen passende waarborgen heeft? Wel, of u nu wel of niet de uitdrukkelijke toestemming van de persoon hebt, er zijn enkele uitzonderingen waarop u kunt vertrouwen.

Voorbeelden van uitzonderingen zijn:

Als u een contract heeft met de persoon;

Indien de doorgifte noodzakelijk is om redenen van algemeen belang;

Als de overdracht noodzakelijk is voor een rechtsvordering of;

Als de doorgifte noodzakelijk is ter bescherming van vitale belangen.

7. Ontwikkel protocollen en overeenkomsten voor het delen van gegevens

Zijn er momenteel deelprotocollen of overeenkomsten met de derde partij? Hoe vaak wordt informatie met hen gedeeld? Welke informatie geeft u hierover aan betrokkenen? Wanneer en hoe wordt dit gecommuniceerd? Welke specifieke maatregelen zijn er om de veiligheid te handhaven (bijvoorbeeld encryptie)?

8. Houd gegevens up-to-date en nauwkeurig

Hoe zorgt u ervoor dat de gegevens die u hebt gedeeld up-to-date en accuraat blijven? Wie is hiervoor verantwoordelijk (het bedrijf dat het delen doet of het ontvangende bedrijf)? Welke afspraken zijn er als betrokkenen er toegang toe willen hebben? Hoe lang moet elke partij gegevens bewaren en welke processen zijn nodig om ervoor te zorgen dat deze door alle partijen worden verwijderd wanneer ze niet langer nodig zijn?

Bedrijven, overheden en organisaties hebben ook als taak, het naleven van de privacywetgeving.

Elk bedrijf moet een privacybeleid beschikbaar stellen cq publiceren, dat aan klanten en medewerkers laat weten hoe en waarom ze persoonlijke informatie moeten verwerken, en hoe ze met uw data omgaan.

Wat is een privacybeleid?

Een privacybeleid is een wettelijke overeenkomst waarin wordt uiteengezet welke gegevens worden verzamelt, hoe deze gebruikt worden, hoe deze worden opgeslagen en wie er nog meer toegang toe heeft (als het iemand anders is). Het is een overeenkomst tussen het bedrijf, overheid, organisatie en u, over hoe er met gegevens wordt omgegaan als u contact met hun heeft of zaken met ze doet.

Bijvoorbeeld het cookie gebruik op de website. In een privacybeleid wordt uitgelegd waarvoor de cookies worden gebruikt, of u zich ervoor kunnen afmelden en hoe u zich kunt afmelden.

In sommige gevallen is het uitleggen van dit soort beleid zelfs wettelijk verplicht.

Een bedrijf, overheid of organisatie heeft een privacybeleid nodig.

Omdat ze waarschijnlijk regelmatig de persoonlijke informatie van uw hun klant, potentiële klant of de bezoeker van hun website verzamelen en verwerken.

Dit kan zijn door financiële informatie te verzamelen om verkopen te voltooien, e-mailadressen om marketing-e-mails te verzenden en andere gerelateerde processen.

Wanneer dergelijke persoonlijke informatie wordt verzameld, treden privacywetten in werking en deze privacywetten vereisen consequent een privacybeleid.

Sommige van deze privacywetten die van toepassing kunnen zijn op activiteiten en een privacybeleid vereisen, omvatten, maar zijn niet beperkt tot:

* Canada’s PIPEDA

* Californische CPRA

* Europesche Unie AVG

Dus als er persoonlijke informatie wordt verzamelt, is men wettelijk verplicht om een ​​privacybeleid te publiceren waarin wordt uitgelegd hoe en waarom persoonlijke informatie wordt verzamelt en gebruikt.

Dit privacybeleid moet voldoen aan de vereisten van de privacywetten die van toepassing zijn op de plaats waar u woont. Dit kan een beetje ingewikkeld worden, vooral als een bedrijf, overheid of organisatie actief is in meerdere regio’s.

Echter de basisinformatie van elk privacybeleid blijft gelijk.

Hoe wordt persoonlijke informatie verzamelt.

Het privacybeleid moet uitleggen hoe persoonlijke informatie wordt verzamelt. In dit gedeelte van het privacybeleid worden alle verschillende soorten persoonlijke informatie die worden verzamelt geïdentificeerd.

Er zijn waarschijnlijk twee manieren waarop persoonlijke informatie verzamelt:

* Wanneer u deze vrijwillig verstrekken (bijvoorbeeld via bestelformulieren, e-mails, enz.)

* Wanneer het automatisch verzamelt (bijvoorbeeld via cookies en analysetools)

Naast de persoonlijke informatie die uw verstrekt, is er ook de persoonlijke informatie die automatisch wordt verzamelt van u bezoek aan de website. De manier waarop dit soort persoonlijke informatie wordt verzamelt, kan zijn:

* Cookies, pixels en webbakens

* Analyse

* Crashrapportage

De soorten persoonlijke informatie die op deze manier worden verzamelt, kunnen zijn:

* IP adres

* Cookie-ID

* Apparaat ID

* Besturingssysteem

* Browsertype

* Website- of app-gebruiksinformatie

* Plaats

* Verwijzingsinformatie (d.w.z. de website waar de bezoeker vandaan kwam)

Het zal u misschien verbazen dat sommige van dit soort gegevens worden vermeld als ‘persoonlijke informatie’. Persoonlijke informatie wordt echter zeer ruim gedefinieerd, vooral in plaatsen zoals Californië, Canada en de EU.

Kortom, het privacybeleid moet men gebruiken om alle soorten informatie die u wordt verzamelt, bekend te maken.

Er mag alleen persoonlijke informatie worden verzamelt als er een specifieke reden is om deze te verzamelen. Het privacybeleid moet uitleggen hoe elk type persoonlijke informatie wordt verzamelt, gebruikt.

Hoe cookies worden gebruikt

Als cookies worden gebruikt om gepersonaliseerde advertenties te laten zien, moet men u meer informatie geven over hoe en waarom men dit doet.

Het privacybeleid moet uitleggen:

* Wat zijn cookies?

* Waarom je ze gebruikt

* Welke soorten cookies worden er gebruikt

* Of er gebruik wordt gemaakt van tracking cookies die gebruikersactiviteit op andere websites hebben geregistreerd

* Hoe lang elk type cookie dat men gebruikt op uw apparaat blijft staan

* Hoe u cookies kunt uitschakelen

Derden met wie u persoonlijke informatie wordt gedeeld

Vrijwel elk bedrijf deelt persoonlijke informatie of staat andere bedrijven toe om namens het bedrijf persoonlijke informatie te verzamelen.

De kans is dus groot dat de persoonlijke gegevens van uw worden verwerkt door derden voor betalingen, antwoord op vragen of het uitleveren van spullen.

U persoonlijke informatie kan worden gedeeld met:

* E-mailmarketingbedrijven zoals MailChimp

* Online-enquêtebedrijven zoals SurveyMonkey

* Postvervoerders zoals PostNL

* Banken zoals de grote Nederlandse Banken

Uw applicaties, locatie, contacten, voicemailnummer en actieve abonnementen – dit is slechts een deel van de informatie die via je telefoon wordt verzameld.

Onlangs bleek nog dat er bij een populaire app voor sociale media, sprake van “buitensporige gegevensverzameling”.

Gezien de explosie in populariteit van Internet 2.0 wilde ze precies weten wat er werd verzameld over elk van de gebruikers.

“We moeten het soort informatie dat ze verzamelen controleren, omdat we niet kunnen bepalen hoe ze het gebruiken.”

“Met veel van de gegevens die ze verzamelen, gaan ze ofwel tot het uiterste of is het niet nodig”

“Daar is geen logische verklaring voor, behalve voor het verzamelen van gegevens.”

Verklaren meestal dat zijn gebruikersgegevens zijn opgeslagen in Europa en de VS. Echter onderzoek vond eerder echter meerdere subdomeinen over de hele wereld waar gegevens van de iOS-applicatie (Apple) naartoe konden worden verzonden, waaronder Baishan in China.

“Tijdens de analyse konden er niet met grote zekerheid worden bepaald wat het doel is van de diverse Server-verbinding, of waar gebruikersgegevens allemaal worden opgeslagen”

“De subdomein die verbonden zijn met de ‘diverse serververbindingen’ is opgelost op meerdere locaties over de hele wereld.

“Opmerking: alleen de iOS-versie had deze directe serververbinding met het niet vertrouwde bestemmingen. Er kon geen directe serververbinding met een nieuwe vertrouwde bestemming te vinden in de Android-versie van deze app.

“Daaronder is er een enorme hoeveelheid gegevens waarvan we niet beseffen dat we ze delen”

“De enorme hoeveelheid gegevens die op zulke ondoorzichtige manieren kan worden verzameld, hebben we nog nooit eerder in de menselijke geschiedenis gezien.”

Sommige bedrijven gebruiken opzettelijk, juridisch en politiek jargon om het voor gebruikers moeilijker te maken, om te weten welke gegevens worden verzameld en hoe deze kunnen worden gebruikt.

“Ongeacht of het in hun beleid is geschreven, die gegevens zullen worden verzameld. Als het in sommige landen toegankelijk is, dan is daar altijd een probleem.”

“Apps zijn er om op grote schaal data te verzamelen. Tenzij we voor de app betalen, verzamelt deze gegevens over u, ongeacht de privacy-instellingen die we kiezen .

“Misschien gebruik je een app voor je bedrijf of voor de lol, maar de realiteit is dat iedereen potentieel gevaar loopt.”

Hoewel je als gebruiker misschien onschuldige redenen hebt om nu berichten te posten, weet je niet wat voor soort privacy je in de toekomst nodig zou kunnen hebben.

“Je weet daarom nooit welke digitale broodkruimels je achterlaat, niet alleen van jezelf, maar ook van je vrienden en familie”

En als we een verandering willen zien in de manier waarop apps met onze gegevens omgaan?

“Zit er maar één ding voor ons op Verwijder de app die je niet vertrouwd”

“Uiteindelijk sturen wij zelf deze apps aan. Ontwikkelaars kunnen hun plannen alleen uitrollen, hts en pushen voor een toekomst die ze willen als wij dat toestaan, maar dat is niet de toekomst die wij zelf voor ogen hebben.”

We blijven informatie verzamelen om het datalandschap, te verfijnen en doelgerichter te maken. Data is de grote kans van onze tijd en biedt de mogelijkheid van een beter geïnformeerde en beter verbonden toekomst.

Gegevens moeten de kern vormen van onze inspanningen om de belangrijkste uitdagingen aan te pakken en de doelstellingen te halen. Het creëren van het juiste data-ecosysteem heeft het potentieel om bijna elk onderdeel van onze samenleving en economie te transformeren – van het stimuleren van handel en productiviteit tot het stimuleren van bedrijven en het scheppen van banen, het veiligstellen van wetenschappelijke doorbraken en het creëren van een betere en eerlijkere samenleving voor iedereen.

De realisatie van de waarde van data voor onze samenleving hangt niet alleen af ​​van de data zelf, maar ook van de richtlijnen die we inzetten voor de governance ervan. Vijf prioritaire prioriteiten, waarbij de nummer één: het ontsluiten van de waarde van data voor de hele samenleving. Als onderdeel van deze missie hebben we ons gecommitteerd aan het ontwikkelen van een weloverwogen model om te bepalen wat nodig is om de juiste voorwaarden te scheppen om gegevens bruikbaar, toegankelijk en beschikbaar te maken in de hele samenleving, terwijl de gegevensrechten van een ieder worden beschermd. intellectueel eigendom. In dit kader is vastgelegd hoe we hiermee omgaat met betrekking tot data in de private en andere sectoren. Wat aansluit bij de bredere doelen die we voor ogen hebben en omvat het werk dat we moeten doen om de data-economie te ondersteunen.

We begrijpen, dat dit van cruciaal belang zal zijn om wereldwijd concurrerend te blijven, opkomende mondiale normen te beïnvloeden en onze welvaart te behouden; onze positie op het gebied van wetenschap en technologie te behouden. Het is waarschijnlijk dat hiervoor voortdurende investeringen en actie nodig zullen zijn om onze positie veilig te stellen en onze ambities om een ​​wetenschappelijke en een leidende digitale voorsprong, te realiseren.

Om een basis te ontwikkelen die een ​​robuust en geïnformeerd kader faciliteert.

Er zijn steeds meer aanwijzingen dat de volledige waarde van gegevens niet wordt gerealiseerd, omdat essentiële informatie niet op de juiste plaats komt. Gegevens met veel potentieel blijven vergrendeld, wat leidt tot gemiste kansen voor groei en innovatie.

Het meer beschikbaar maken van die gegevens kan helpen het bereik te verbeteren, benchmarking en inzichten te ondersteunen, open innovatie te stimuleren, supply chain-optimalisatie te stimuleren, gereguleerde gegevensuitwisseling te omarmen, uitdagingen aan te pakken en vertrouwen op te bouwen. efficiëntiebesparingen, het ontwikkelen van nieuwe of het verbeteren van bestaande producten, het creëren van nieuwe of betere diensten, het oplossen van bestaande of toekomstige zakelijke problemen, of het verkrijgen van meer inzicht in de gegevens die we zelf bezitten.

Hoe kunnen de juiste voorwaarden worden geschept om data bruikbaar, toegankelijk en beschikbaar te maken in de hele economie, terwijl de datarechten van mensen en het intellectuele eigendom van een ieder toch worden beschermd?

Een eerlijkere samenleving voor iedereen creëren: gegevens kunnen de samenleving machtigen en voordelen opleveren die verder gaan dan de economie. Om ervoor te zorgen dat gegevens ten volle worden benut en de voordelen van gegevenstransformatie door iedereen in de samenleving gelijk word gevoeld, moeten we ervoor zorgen dat gegevens op een verantwoorde manier worden gebruikt en op een manier die mensen vertrouwen.

Door een gebrek aan prikkels om gegevens te delen, worden we mogelijk niet voldoende gestimuleerd om gegevens te delen of toegang te verlenen. Door daadwerkelijke risico’s van het schenden van gegevensbeschermingswetten, intellectuele eigendomsrechten of regelgevende vereisten die ons ervan weerhouden om gegevens te gebruiken of te openen.

Een gebrek aan kennis. Het kan zijn dat we onvoldoende kennis hebben over het mogelijke gebruik van onze gegevens, terwijl gegevensgebruikers onvoldoende kennis hebben van welke gegevens beschikbaar kunnen worden gesteld en hoe.

Commerciële, reputatie- en ethische risico’s. Het waargenomen of daadwerkelijke risico om concurrentievoordeel te verliezen, reputatieschade te lijden door gegevensgebruik dat het vertrouwen van anderen schendt, of het mogelijk maken van ethisch twijfelachtig gebruik van gegevens, kan de toegang tot en het delen van gegevens ontmoedigen.

Maar mogelijk zijn we gewoon niet bereid zijn om gegevens beschikbaar te stellen?

Vanwege de beperkte informatie die kan worden verkregen uit datasets, of gebrek aan tijd/middelen om dergelijke informatie te beoordelen. We weten misschien ook niet hoe we de kwaliteit en interoperabiliteit van de gedeelde of verkregen gegevens moeten beoordelen of waarborgen.

Op termijn zal het belangrijk zijn om te begrijpen hoe en waar we de ​​maximale impact bereiken. En parallel ontwikkelen we een basis om dit te identificeren en te onderbouwen.

Vertrouwelijkheid, integriteit en beschikbaarheid, ook wel de BIV classificatie genoemd, is een model dat is ontworpen om het beleid voor informatiebeveiliging binnen een organisatie te sturen. Hoewel elementen van de classificatie drie van de meest fundamentele en cruciale cyberbeveiligingsbehoeften zijn, gaan er stemmen op om een upgrade uit te voeren om effectief te blijven.

In deze context wordt vertrouwelijkheid dan uitgebreid met een reeks regels die de toegang tot informatie beperken, integriteit is de verzekering dat de informatie betrouwbaar en nauwkeurig is, en beschikbaarheid is een garantie voor betrouwbare toegang tot de informatie door bevoegde personen.

Vertrouwelijkheid, integriteit, beschikbaarheid

Het volgende is een uitsplitsing van de drie belangrijkste concepten die de BIV classificatie vormen:

Beschikbaarheid betekent dat informatie consistent en gemakkelijk toegankelijk moet zijn voor gebruiker, eigenaar of bevoegde partijen. Het gaat om het goed onderhouden van hardware en technische infrastructuur en systemen die de informatie vasthouden en weergeven.

Integriteit omvat het handhaven van de consistentie, nauwkeurigheid en betrouwbaarheid van gegevens gedurende de gehele datacyclus. Gegevens mogen tijdens het transport niet worden gewijzigd en er moeten maatregelen worden genomen om ervoor te zorgen dat gegevens niet door onbevoegden kunnen worden gewijzigd (bijvoorbeeld bij schending van de vertrouwelijkheid).

Vertrouwelijkheid is ongeveer gelijk aan privacy. Vertrouwelijkheidsmaatregelen zijn ontworpen om te voorkomen dat gevoelige informatie ongeautoriseerde toegangspogingen tot gevolg heeft. Het is gebruikelijk dat gegevens worden gecategoriseerd op basis van de hoeveelheid en het type schade dat zou kunnen worden aangericht als het in verkeerde handen zou vallen. Op basis van die categorieën kunnen dan min of meer stringente maatregelen worden genomen.

Vertrouwelijkheid, integriteit en beschikbaarheid worden samen beschouwd als de drie belangrijkste begrippen binnen informatiebeveiliging.

Het samen beschouwen van deze drie principes in het kader van de “classificatie” kan helpen bij de ontwikkeling van beveiligingsbeleid voor organisaties. Bij het evalueren van behoeften en gebruiksscenario’s voor potentiële nieuwe producten en technologieën, helpt organisaties om gerichte vragen te stellen over hoe waarde wordt geleverd op deze drie gebieden.

Door de drie concepten van de  BIV-classificatie samen te beschouwen als een onderling verbonden systeem, in plaats van als onafhankelijke concepten, kunnen organisaties de relaties tussen de drie begrijpen.

Deze kenmerken zijn essentieel: het is een instellingsbrede kwestie. Bedrijven zijn verantwoordelijk. het wordt gezien als een institutionele vereiste (kosten van zakendoen) en het is gebaseerd op risico’s.

Beheer van informatiebeveiliging is het maken van back-ups, het bewaken van cloud computing-services en het controleren van firewalls; het is het grootste deel van het dagelijkse werk van uw it-afdeling. governance is de reeks brede principes en waarden die de manier waarop een organisatie wordt bestuurt, begeleid. het gaat om de visie, missie en waarden. Gegevens overheidsbeleid. een beleid voor gegevensbeheer is een document dat formeel beschrijft hoe gegevens van de organisatie zullen worden beheerd en gecontroleerd.

Data governance is het strategische programma dat de rollen, regels, processen en best practices definieert die een organisatie zal volgen om de veiligheid, kwaliteit en correct gebruik van haar data te waarborgen. data governance biedt een blauwdruk van controles om het effectieve beheer van gegevens op ondernemingsniveau te waarborgen. de input voor data governance is standaard.

Gegevensbeheer is de reeks processen en procedures die organisaties gebruiken om hun gegevens te beheren, gebruiken en beschermen. in deze context kunnen gegevens verwijzen naar een subset van de digitale of hardcopy-activa van een bedrijf. het definiëren van wat gegevens voor een organisatie betekenen, is een van de belangrijkste best practices voor gegevensbeheer. Data governance richt zich op technische data-infrastructuur, terwijl information governance zich richt op bedrijfsprocessen rondom data en fysieke informatie. veelgebruikte tools voor gegevensbeheer zijn toepassingen, databases, streamverwerking, mdm, beveiliging en noodherstel. veelvoorkomende rollen op het gebied van informatiebeheer omvatten bedrijfsrisico’s.

De Data Sharing Coalition is een open en groeiend, internationaal initiatief waarin een grote verscheidenheid aan organisaties samenwerken om de waarde van cross-sectoraal data delen te ontsluiten.

Met als missie om privacybestendige data-analyse eenvoudig en schaalbaar te maken. Ze stellen bedrijven, organisaties en overheden om datagedreven inzichten te verkrijgen uit gedeelde datasets – zonder daadwerkelijk gevoelige data te delen – terwijl ze de volledige controle behouden over wat ze met wie delen, onder welke voorwaarden. Hoe? Door de cryptografische kracht van veilige multi-party computation (MPC) in combinatie met unieke gedecentraliseerde databeheer.

MPC is een overkoepelende term voor cryptografische technologie die berekeningen op gegevens mogelijk maakt terwijl de gegevens versleuteld blijven. Voorbeelden van de technologieën die we gebruiken zijn geheim delen, private set intersectie en homomorfe versleuteling. Elke technologie heeft zijn sterke en zwakke punten, dus bieden ze een platform waarmee gebruikers het juiste protocol voor hun gebruik kunnen selecteren. Anders zou het mogelijk te veel informatie over individuen binnen die subset kunnen delen. Alle bewerkingen en wijzigingen aan deze governance-instellingen worden vastgelegd in een onveranderlijke audit trail, zodat organisaties achteraf kunnen aantonen dat ze hieraan voldoen.

Momenteel wordt privacy vaak gezien als een obstakel voor het verkrijgen van de gegevens die nodig zijn om ons zorgsysteem, ons sociale systeem, enz. te verbeteren. Zo geloven we dat privacy en samenwerking op het gebied van gegevens niet hand in hand kunnen gaan.

Het delen van data is van enorm belang.

Tech-gerelateerde trends laten zien, dat privacy-by-design encryptietechnologieën, zoals homomorfe encryptie, geheim delen en private set-kruising, snel operationeel worden.

Versleuteld delen maakt het mogelijk om informatie in drie (of meer) blokken te knippen. Informatie in elk blok blijft een geheim, maar je kunt er wel analyses op uitvoeren in de drie blokken, alsof ze één zijn. Dit helpt om modellen te trainen zonder de onderliggende data op te delen.

De toekomst van het delen van gegevens is een toekomst waarin elke organisatie betrokken bij een enorm netwerk van vele strategische en operationele gegevenssamenwerkingen, maar waar de hoeveelheid gevoelige gegevens die daadwerkelijk binnen die samenwerkingen wordt gedeeld, wordt beperkt tot een absoluut minimum. Privacybehoudende technologieën, zoals MPC maar ook Federated Learning en Synthetic Data, zullen gemeengoed worden.

Bij het maken van een Data Protection Impact Assessment (DPIA) hoeft men niet uit te leggen dat er privacybeschermingstechnologieën worden gebruikt, zoals dat nu het geval is. Nu deze technologieën beschikbaar zijn, lijkt dat moment dichterbij te komen.

Om deze toekomst te realiseren, moet er bewustzijn worden gecreëerd over het potentieel en de praktische toepasbaarheid van deze technologieën, terwijl er tegelijkertijd het aanbod elke dag verbeteren om te voldoen aan de behoeften bij gegevens samenwerkingen.

De Wet Data Governance biedt een kader om het vertrouwen in het vrijwillig delen van gegevens ten behoeve van bedrijven en burgers te vergroten.

Hergebruik van bepaalde categorieën gegevens. Het economische en maatschappelijke potentieel van data is enorm: het kan nieuwe producten en diensten mogelijk maken op basis van nieuwe technologieën, de productie efficiënter maken en instrumenten bieden om maatschappelijke uitdagingen aan te gaan.

Dit potentieel wordt echter niet gerealiseerd. Het delen van gegevens in de EU blijft beperkt vanwege een aantal obstakels (waaronder weinig vertrouwen in het delen van gegevens, problemen in verband met het hergebruik van overheidsgegevens en gegevensverzameling voor het algemeen belang, evenals technische obstakels).

Om dit enorme potentieel echt te benutten, moeten er meer gegevens beschikbaar worden gesteld, met vertrouwen worden gedeeld en technisch eenvoudig te hergebruiken.

De Data Governance Act (DGA) is een sectoroverschrijdend instrument dat tot doel heeft meer gegevens beschikbaar te maken door het hergebruik van openbare/bewaarde, beschermde gegevens te reguleren, door het delen van gegevens te stimuleren door regulering van nieuwe gegevenstussenpersonen en door het delen van van gegevens voor altruïstische doeleinden. Zowel persoonsgegevens als niet-persoonsgebonden gegevens vallen onder het toepassingsgebied van de DGA en waar het om persoonsgegevens gaat, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Naast de AVG zullen ingebouwde waarborgen het vertrouwen in het delen en hergebruiken van gegevens vergroten, een voorwaarde om meer gegevens op de markt beschikbaar te maken.

Wat zijn de belangrijkste doelen?

De Open Data Richtlijn regelt het hergebruik van openbare/beschikbare informatie in het bezit van de publieke sector. De publieke sector beschikt echter ook over grote hoeveelheden beschermde gegevens (bijv. persoonsgegevens en commercieel vertrouwelijke gegevens) die niet kunnen worden hergebruikt als open gegevens, maar die wel kunnen worden hergebruikt op grond van specifieke EU- of nationale wetgeving. Uit dergelijke gegevens kan een schat aan kennis worden gehaald zonder afbreuk te doen aan het beschermde karakter ervan, en de DGA voorziet in regels en waarborgen om dergelijk hergebruik mogelijk te maken wanneer dit op grond van andere wetgeving mogelijk is.

Hoe werkt het in de praktijk?

Technische vereisten voor de publieke sector: de lidstaten zullen technisch moeten worden uitgerust om ervoor te zorgen dat de privacy en vertrouwelijkheid van gegevens volledig worden gerespecteerd in situaties van hergebruik. Dit kan een scala aan tools omvatten, van technische oplossingen, zoals anonimisering, pseudonimisering of toegang tot gegevens in beveiligde verwerkingsomgevingen (bijv. datarooms) onder toezicht van de publieke sector, tot contractuele middelen zoals vertrouwelijkheidsovereenkomsten die zijn gesloten tussen het openbare lichaam en de hergebruiker.

Als een openbaar lichaam geen toegang kan verlenen tot bepaalde gegevens voor hergebruik, moet het de potentiële hergebruiker helpen bij het vragen van de toestemming van de persoon om zijn persoonsgegevens te hergebruiken) of de toestemming van de gegevenshouder wiens rechten of belangen kunnen door het hergebruik worden geschaad. Bovendien mag vertrouwelijke informatie (bijv. handelsgeheimen) alleen worden vrijgegeven voor hergebruik met een dergelijke toestemming of toestemming.

Om nog meer openbare gegevens beschikbaar te hebben voor hergebruik, beperkt de DGA het vertrouwen op exclusieve overeenkomsten voor hergebruik van gegevens (waarbij een overheidsinstantie een dergelijk exclusief recht aan één bedrijf verleent) tot specifieke gevallen van openbaar belang.

Redelijke vergoedingen: openbare lichamen mogen vergoedingen in rekening brengen voor het toestaan ​​van hergebruik, zolang deze vergoedingen de noodzakelijke gemaakte kosten niet overschrijden. Bovendien moeten overheidsinstanties het hergebruik voor wetenschappelijk onderzoek en andere niet-commerciële doeleinden, alsook door kmo’s en startende ondernemingen stimuleren door heffingen te verminderen of zelfs uit te sluiten.

Een overheidsinstantie heeft maximaal 2 maanden de tijd om een ​​beslissing te nemen over een hergebruikverzoek.

De lidstaten kunnen kiezen welke bevoegde instanties de openbare lichamen ondersteunen die toegang verlenen tot het hergebruik, bijvoorbeeld door deze een veilige verwerkingsomgeving te bieden en door hen te adviseren over de beste manier om gegevens te structureren en op te slaan om ze gemakkelijk toegankelijk te maken.

Om potentiële hergebruikers te helpen relevante informatie te vinden over welke gegevens door welke overheidsinstanties worden bewaard, zullen de lidstaten worden verplicht één enkel informatiepunt op te richten. De Commissie zal een Europees centraal toegangspunt creëren (met een doorzoekbaar register van de door nationale informatiepunten samengestelde informatie) om het hergebruik van gegevens in de interne markt en daarbuiten verder te vergemakkelijken.

Inbreuk in verband met persoonsgegevens
Sedert 12 december 2018 hebben alle Europese instellingen en organen krachtens Verordening (EU) 1725/2018 de plicht om bepaalde soorten inbreuken in verband met persoonsgegevens aan de EDPS te melden. Elke EU-instelling moet dit, indien mogelijk, doen binnen 72 uur nadat ze op de hoogte is gesteld van de inbreuk. Als de inbreuk waarschijnlijk een hoog risico met zich meebrengt dat de rechten en vrijheden van individuen worden geschaad, moet de EU-instelling de betrokken individuen ook onverwijld informeren.

EU-instellingen moeten ervoor zorgen dat ze over preventie- en opsporingsmechanismen voor inbreuken in verband met persoonsgegevens beschikken, evenals over onderzoeks- en interne rapportageprocedures. Ze moeten er ook voor zorgen dat wanneer ze een inbreuk in verband met persoonsgegevens vaststellen, ze effectief kunnen reageren om de negatieve effecten van de inbreuk op de personen van wie de gegevens zijn gecompromitteerd, te verzachten. Ze moeten ook een register bijhouden van alle inbreuken op persoonsgegevens, inclusief alle details over de inbreuk, ongeacht een eventuele meldingsplicht aan de EDPS.

Hoe moeten EU-instellingen en -organen reageren op een inbreuk in verband met persoonsgegevens?

De EDPS heeft richtsnoeren gepubliceerd voor de melding van inbreuken in verband met persoonsgegevens voor de EU-instellingen en -organen. Deze geven praktisch advies over hoe u aan de verordening kunt voldoen. De richtlijnen schetsen de aanpak die u moet volgen om adequaat te reageren op een inbreuk in verband met persoonsgegevens. Wij adviseren u deze richtlijnen goed door te lezen voordat u een inbreuk in verband met persoonsgegevens meldt.

Een inbreuk in verband met persoonsgegevens melden aan de EDPS

U kunt een inbreuk in verband met persoonsgegevens melden door het online formulier in te vullen of door het formulier te downloaden en naar het volgende e-mailadres te sturen: DATA-BREACH-NOTIFICATION@edps.europa.eu.

Alle communicatie moet versleuteld zijn. Daarom moeten alle bijlagen bij het verzenden van een e-mail over een inbreuk in verband met persoonsgegevens naar het e-mailadres voor de melding van gegevensinbreuken van de EDPS worden gecodeerd (zip) en moet het wachtwoord op alternatieve manieren met de EDPS worden gedeeld (per sms of telefoongesprek). Vermeld in uw e-mail een apart telefoonnummer waarmee we contact met u kunnen opnemen voor het wachtwoord.

Als u een inbreuk in verband met persoonsgegevens wilt melden kan dat via een online webformulier.

Als de eerste melding om welke reden dan ook onvolledig was, kan men verdere informatie te verstrekken zodra deze beschikbaar is. Maar in het dat geval het zich om een nieuw kennisgevingsformulier handeld wel onder vermelding van het door de EDPS verstrekte zaakreferentienummer.

De bijgewerkte meldingen naar de eerder genoemde mailbox versturen, neem dan de volgende informatie op in de onderwerpregel van de e-mail: [Bijgewerkte melding van inbreuk] [Naam EU-instelling/-instantie] [Zaakreferentienummer]

Kennisgeving gegevensbescherming

Er zijn specifieke regels van toepassing op het beheer van datalekken met betrekking tot operationele persoonsgegevens bij Europol in overeenstemming met de artikelen 34 en 35 van Verordening 2016/794.

EDPS-ENISA-conferentie: op weg naar toegang tot het risico van inbreuken op persoonsgegevens

De Europese Toezichthouder voor gegevensbescherming en ENISA heeft in het verleden conferenties georganiseerd in Brussel over het melden van inbreuken op persoonsgegevens.

Deze conferentie had tot doel het aspect van de beoordeling van het risico van inbreuken op persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG) – (EU) 2016/679 en de Verordening (EU) 1725/2018 voor de verwerking van persoonsgegevens door EU-instellingen en lichamen.

Vanaf morgen zijn er weer verschillende sessies op de conferentie van de Europesche Toezichthouder.

Op 16 en 17 juni 2022 zal de EDPS een conferentie organiseren in Brussel waar wereldwijde belanghebbenden uit de digitale regelgevingswereld samenkomen om na te denken over en te discussiëren over de huidige benaderingen van handhavingsmodellen.

Gegevensgebieden

Welke zijn er?

Over het algemeen verwijst de term ‘dataruimte’ naar een soort gegevensrelatie tussen vertrouwde partners die zich houden aan dezelfde hoge normen en richtlijnen als het gaat om gegevensopslag en -deling. Een cruciaal aspect van het begrip dataruimte is echter dat gegevens niet centraal worden opgeslagen, maar veeleer bij de bron en dus alleen worden overgedragen (via semantische interoperabiliteit) als dat nodig is. De gegevens in de dataruimten in de Gaia-X-context worden uitsluitend bewaard door de leden van de Vereniging.

Een dataruimte is de som van alle deelnemers – dat kunnen dataproviders, gebruikers en intermediairs zijn. Dataruimten kunnen genest en overlappend zijn, zodat een dataprovider bijvoorbeeld aan meerdere dataruimten tegelijk kan deelnemen.

Datasoevereiniteit en vertrouwen zijn essentieel om dataruimten te laten werken en relaties tussen deelnemers te ondersteunen. Om dit te garanderen, heeft de International Data Spaces Association (IDSA), een van de oprichters van de Gaia-X Association, een referentiearchitectuurmodel voor deelnemers voorgesteld. Elke dataruimte levert specifieke data op en vormt daarmee een stevige basis voor elk ecosysteem. De software die nodig is om dataruimten te implementeren, draait op cloud/edge cloudinfrastructuren.

Welke dataruimten zijn er?

Industrie 4.0/Kleine tot middelgrote ondernemingen

Meer dan 50 deelnemers hebben zich aangesloten bij de Industry 4.0/SME-dataruimte, die gestaag groeit. Deze dataruimte omvat momenteel zes use-cases die voortkomen uit productiescenario’s, waaronder collaboratieve productie- en supply chain-processen, machines met virtuele avatars en interfaces tussen twee afzonderlijke industrieën, zoals supply chains, transport en gezondheid.

Gezondheid

The Health Data Space werkt aan de opbouw van een consortium van overheidsinstanties en particuliere bedrijven om het gebruik van digitale technologieën en cloudoplossingen te promoten die de gezondheidssector zullen transformeren. Het beveiligde Gaia-X-ecosysteem zal enkele van de problemen aanpakken die door de Covid-19-pandemie naar voren zijn gebracht, waaronder de afwezigheid van interoperabiliteit tussen systemen en de prevalentie van silo’s met gezondheidsgegevens.

Onderwijs en vaardigheden

De Education and Skills-dataruimte (DaSES) zal een dataruimte creëren ten behoeve van de onderwijsgemeenschap. Uitgaande van een Frans initiatief in 2021, waarbij publieke en private belanghebbenden werden bijeengebracht, heeft DaSES verschillende werkgroepen opgericht en nodigt het nu ook andere landen uit om een ​​Europese routekaart op te stellen om een ​​open en interoperabel digitaal ecosysteem van transparante en ‘vertrouwde’ gegevens te promoten , voor kwaliteitsonderwijs en levenslang leren.

Energie

Een vertrouwde dataruimte die energiediensten ondersteunt en samenwerking tussen alle belanghebbenden bevordert, is een hoeksteen van het koolstofarm maken van de energiesector.

Tegenwoordig heeft een brede vertegenwoordiging van Europese energiebedrijven en academische en technologische partners zich bij Gaia-X aangesloten om de Europese energiedataruimte te bouwen.

Op een transparante en veilige manier pakt de energiedataruimte de volgende uitdagingen aan, dankzij de mogelijkheden voor het delen van gegevens:

Versnel de implementatie van koolstofarme energieoplossingen

Bevorderen van energie-efficiëntie en sectorkoppeling (integratie van stroom, gassen, waterstof in gebouwen/verwarmingssystemen, mobiliteit en industrie…)

Meer flexibiliteit mogelijk maken om hernieuwbare energie te integreren in het Europese elektrische systeem

Versnel de digitalisering van het energiesysteem

Handhaving van de technologische soevereiniteit en het mondiale concurrentievermogen van de Europese Unie in de energiesector.

We ontwikkelen gebruiksscenario’s voor acht belangrijke energiethema’s: hernieuwbare energiebronnen, waterstof, kernenergie, energie-efficiëntie, elektrische voertuigen, lokale energiegemeenschappen, netwerken en naleving en traceerbaarheid.

We nodigen alle Europese bedrijven, inclusief start-ups, leveranciers en energieproducenten uit de energiesector uit om zich bij ons aan te sluiten!

Mobiliteit

De Mobility Data Space zal de gebruikerservaring van mobiliteit verbeteren en tegelijkertijd nieuwe zakelijke kansen creëren voor haar leden. Bij het aanpakken van de uitdaging die reisgegevens op veel verschillende plaatsen en door een breed scala aan actoren zoals luchtvaartmaatschappijen en hotels hebben, is de belangrijkste vraag hoe gegevenssoevereiniteit kan worden gewaarborgd, privacy kan worden gegarandeerd en handel kan worden gestimuleerd, terwijl deze sector zich in een staat van van flux.

Financiën en verzekeringen

De Finance and Insurance-dataruimte is opgericht door de Franse en Duitse banken, Europese cloudserviceproviders, openbare instellingen en verzekeringsmaatschappijen, en breidt zich nu uit naar Italië, Luxemburg, België, Finland, Oostenrijk en Polen. Ook andere landen zijn welkom om mee te doen.

Ruimte

Eind november 2020 is een dataruimte opgericht gericht op Ruimtevaart. Gezien de mate waarin ons dagelijks leven afhankelijk is van ruimtegegevens, is het van cruciaal belang dat deze gegevens veilig en efficiënt kunnen worden verwerkt, waardoor de Europese gegevenssoevereiniteit wordt gewaarborgd.

Anonimisering van de AVG versus de-identificatie van CCPA

De anonimisering van de Europese Algemene Verordening Gegevensbescherming (AVG) en de de-identificatievereisten van de California Consumer Protection Act (CCPA) zijn beide manieren om de privacy van betrokkenen te beschermen.

De-identificatie is een proces dat in de VS kan worden gebruikt om te voldoen aan de CCPA. Daarentegen wordt AVG-anonimiseren gebruikt als alternatief voor CCPA-de-identificatie in Europa om te voldoen aan de AVG-regelgeving.

De twee processen zijn vergelijkbaar, maar hebben enkele cruciale verschillen in het beschermen van persoonlijke informatie tegen openbaarmaking door de toegang tot en het gebruik van geïdentificeerde of identificeerbare informatie te beperken.

De CCPA definieert “geanonimiseerde informatie” als:

“Gegevens die redelijkerwijs niet kunnen worden geïdentificeerd, betrekking hebben op, beschrijven, in verband kunnen worden gebracht met of direct of indirect kunnen worden gekoppeld aan een bepaalde consument.”

Dit betekent dat de persoonlijke identifiers zijn verwijderd met de bedoeling dat ze niet meer aan een specifieke persoon worden gekoppeld. Als een bedrijf geanonimiseerde informatie gebruikt, moet het vier organisatorische en operationele stappen nemen om ervoor te zorgen dat gegevens niet opnieuw worden geïdentificeerd of verspreid.

Aan de andere kant is het anonimiseringsconcept van de AVG strenger dan de de-identificatievereiste van de CCPA, aangezien de AVG eist dat de identificeerbare informatie van een persoon “onomkeerbaar wordt verhinderd” om te worden gebruikt.

Tegelijkertijd verplicht de CCPA bedrijven alleen om identificatiegegevens “redelijkerwijs” te verwijderen.

Een ander duidelijk verschil is dat onder de CCPA geaggregeerde gegevens ook niet “redelijkerwijs” kunnen worden gekoppeld aan een individu of kleine groep, terwijl de AVG “pseudonimisering” vereist, wat resulteert in een langere lijst met informatie die bedrijven onomkeerbaar moeten voorkomen dat ze in verband worden gebracht met specifieke individuen.

De volgende soorten informatie worden allemaal beschouwd als directe identifiers onder de AVG:

Naam

Adres

Postcode

Telefoon nummer

Foto of afbeelding

Andere unieke persoonlijke kenmerken

Bedrijven en derden kunnen indirecte identifiers onder de AVG gebruiken samen met andere informatiebronnen om een ​​persoon te identificeren. Ze kunnen zijn (maar zijn niet beperkt tot) dingen als:

Werkplaats

Functietitel

Salaris

Werkgeschiedenis

Diensten en goederen gekocht door het individu

Medische diagnoses

Geolocatie

Apparaat ID

Zodra de informatie volledig geanonimiseerd is, valt deze niet meer onder de eisen van de AVG. Het wordt dus data die veel gemakkelijker te gebruiken is voor bedrijven.

Gegevens uitwisselen

Gegevensuitwisseling is een techniek die wordt gebruikt om gevoelige gegevens, zoals namen en burgerservicenummers, om te wisselen met pseudoniemen of gerandomiseerde waarden. Het zijn de centrale componenten van anonimiseringstechnieken die helpen beschermen tegen onbedoelde openbaarmaking zonder in te boeten aan nauwkeurigheid.

Gegevensswaps kunnen ook voor andere doeleinden worden gebruikt, waaronder fraudedetectie, preventie van risicobeheer, nalevingshandhaving en meer.

Bijvoorbeeld: Als uw bedrijf twee databases heeft; een met informatie over klanten die onlangs een creditcard hebben aangevraagd en een andere met informatie over alle werknemers in de organisatie (inclusief salarisgegevens), misschien wilt u gegevensuitwisseling gebruiken bij toegang tot beide sets gegevens, zodat er geen kans is dat een werknemer per ongeluk trekt hun eigen personeelsdossiers opmaken als ze klantprofielen bekijken.

Gegevensverstoring

Gegevensverstoring is het proces waarbij ruis of andere gegevens aan een gegevensset worden toegevoegd, zodat deze niet uniek kan worden geïdentificeerd.

Op deze manier zou er, zelfs als uw bedrijf werd gehackt en een indringer alle informatie zou krijgen die u opslaat over klanten (namen, adressen, inkomensniveaus) evenals de salarissen en telefoonnummers van werknemers, nog steeds geen gemakkelijke manier voor hen zijn. om erachter te komen wie iemand is.

Synthetische gegevens

Synthetische gegevens worden gemaakt op basis van een reeks verschillende variabelen, zoals leeftijd, inkomensniveaus, geslacht en andere kenmerken. Dit kan worden gecombineerd met de gegevens uit de echte wereld over uw klanten om combinaties te maken die in werkelijkheid niet bestaan.