Europese strategie voor data

Een Europese strategie voor data

De strategie voor data is gericht op het centraal stellen van mensen bij het ontwikkelen van technologie en het verdedigen en promoten van Europese waarden en rechten in de digitale wereld.

Gegevens zijn een essentiële hulpbron voor economische groei, concurrentievermogen, innovatie, het scheppen van banen en maatschappelijke vooruitgang in het algemeen.

De Europese strategie voor data is gericht op het creëren van een interne markt voor data die het wereldwijde concurrentievermogen en de datasoevereiniteit van Europa zal waarborgen. Gemeenschappelijke Europese dataruimten zullen ervoor zorgen dat er meer data beschikbaar komen voor gebruik in de economie en de samenleving, terwijl de bedrijven en personen die de data genereren de controle behouden.

Datagestuurde toepassingen zullen burgers en bedrijven op veel manieren ten goede komen. Ze kunnen:

de gezondheidszorg verbeteren

veiligere en schonere transportsystemen te creëren

nieuwe producten en diensten genereren

de kosten van openbare diensten verminderen

verbeteren van duurzaamheid en energie-efficiëntie

De Commissie heeft als onderdeel van haar datastrategie een verordening over Europese data governance voorgesteld. Deze nieuwe verordening zal een cruciale rol spelen bij het waarborgen van het leiderschap van de EU in de wereldwijde data-economie.

Op 23 februari 2022 heeft de Commissie een voorstel ingediend voor een verordening betreffende geharmoniseerde regels voor eerlijke toegang tot en gebruik van gegevens (gegevenswet). De Data Act is een belangrijke pijler van de Europese strategie voor data. Het belangrijkste doel is om van Europa een leider in de data-economie te maken door het potentieel van de steeds groter wordende hoeveelheid industriële data te benutten om de Europese economie en samenleving ten goede te komen.

Om het leiderschap van de EU in de wereldwijde data-economie verder te waarborgen, beoogt de Europese datastrategie:

wetgevingsmaatregelen aannemen inzake gegevensbeheer, toegang en hergebruik. Bijvoorbeeld voor business-to-government datadeling voor het algemeen belang;

gegevens op grotere schaal beschikbaar maken door hoogwaardige openbare datasets in de hele EU open te stellen en gratis hergebruik toe te staan;

€ 2 miljard investeren in een Europees High Impact Project om dataverwerkingsinfrastructuren, tools voor het delen van gegevens, architecturen en bestuursmechanismen te ontwikkelen voor een bloeiende datadeling en om energie-efficiënte en betrouwbare cloudinfrastructuren en aanverwante diensten te bundelen;

toegang tot veilige, eerlijke en concurrerende clouddiensten mogelijk maken door de oprichting van een inkoopmarktplaats voor gegevensverwerkingsdiensten te vergemakkelijken en duidelijkheid te scheppen over het toepasselijke regelgevingskader inzake cloudregels.

Bedrijven zullen door de datastrategie meer data tot hun beschikking hebben om te innoveren. De Europese Commissie heeft al een rapport gepubliceerd over Business-to-Government (B2G) data sharing. Het rapport, afkomstig van een deskundigengroep op hoog niveau, bevat een reeks beleids-, juridische en financieringsaanbevelingen die ertoe zullen bijdragen dat B2G-gegevensuitwisseling in het algemeen belang een schaalbare, verantwoorde en duurzame praktijk wordt in de EU.

Overleg openen

De openbare raadpleging over de Europese datastrategie liep van 19 februari tot 31 mei 2020. Het samenvattende rapport inventariseert de bijdragen en presenteert voorlopige trends die daaruit naar voren komen, met de nadruk op kwantitatieve aspecten.

De Commissie hield ook een openbare raadpleging over de datawet, een belangrijk onderdeel van de strategie voor data.

Connected

De houding en emoties van consumenten ten opzichte van niet-voertuigtechnologie, het delen van gegevens en gegevensprivacy spelen allemaal een belangrijke rol bij het vormgeven van hun behoefte aan en verlangen naar en waarschijnlijkheid om geconnecteerde voertuigdiensten te adopteren.

Consumenten brengen het grootste gedeelte van hun tijd buiten het voertuig door en als zodanig bepalen de technologiemerken en apparaten die ze gebruiken, de diensten waarop ze zich abonneren en hun houding ten opzichte van het delen van gegevens en privacy buiten het voertuig de beslissingen die ze in het voertuig nemen. Een duidelijk voorbeeld: van de consumenten die hun telefoon verbinden met hun auto zegt bijna de helft van de gebruikers dat ze in de toekomst geen auto zouden overwegen zonder deze functionaliteit en de meerderheid van de anderen gebruikers zou er de voorkeur aan geven.

De inkomsten uit connected voertuigservices stijgen nog ieder jaar. Er is bij veel consumenten duidelijk behoefte aan geconnecteerde diensten en functies in het voertuig, wat resulteert in een geweldige kans voor auto- en technologiebedrijven om geconnecteerde functies en functionaliteit in het voertuig te integreren. Maar er is ook een risico voor OEM’s dat consumenten hun technische ecosystemen in het voertuig brengen via mirroring-oplossingen, die door OEM’s geleverde connected services teniet kunnen doen en er inbreuk op kunnen maken.”

Terwijl auto- en technologiebedrijven worden uitgedaagd om nieuwe inkomstenstromen voor geconnecteerde voertuigen te creëren en te laten groeien, is er een omwenteling in de wensen en verwachtingen van consumenten naarmate consumenten meer technisch onderlegd worden, vooral als het gaat om gegevensprivacy.

Consumenten maken zich zorgen over alle soorten gegevens, waarbij financiële en beveiligingsgegevens bovenaan de lijst staan.

En meer de helft van de consumenten maken zich zorgen over gegevensprivacy, gelooft dat de waarde van hun gegevens in de loop van de tijd zal toenemen en maakt zich zorgen over de bescherming (en mogelijk het te gelde maken) van hun gegevens.

Bovendien bleek uit het onderzoek dat consumenten gemiddeld abonnementen hebben in vier categorieën (die binnen elke categorie meerdere abonnementen kunnen hebben), waarbij entertainment- en winkelabonnementen bijna alomtegenwoordig zijn. Toekomstige geconnecteerde diensten die gericht zijn op veiligheid, beveiliging en voertuigonderhoud zijn het meest wenselijk voor consumenten en zullen waarschijnlijk worden gedownload tegen redelijke abonnementskosten. De acceptatie van betaalde connected voertuigservices na de proefperiode in de branche blijft echter laag, met een laag percentage van de proefversies dat wordt omgezet in doorlopende abonnementen.

We worden overspoeld met abonnementen op elk gebied van ons leven, van entertainment tot eten en drinken en diensten. De abonnementsmoeheid van consumenten is reëel. We zien een hoge mate van interesse van consumenten in verschillende functiethema’s, wat een belangrijke kans biedt om op waarde gebaseerde oplossingen te creëren voor zowel auto- als technologiebedrijven. Het zal voor deze spelers van cruciaal belang zijn om zowel de waarde als de grondgedachte duidelijk te verwoorden waarom verbonden functies doorlopende abonnementen zouden moeten zijn, inclusief hoe en waarom services en functies doorlopende gegevens zullen gebruiken voor een betere gebruikers ervaring.

De sleutel tot het succesvol ontwikkelen en implementeren van connected voertuigservices en -functies is gericht op de juiste klant: degenen die bereid zijn zich aan te passen aan connected services en de juiste personatypes. Een derde van de consumenten de belangrijkste doelgroep voor connected voertuigoplossingen. Bovendien identificeerde de studie vijf belangrijke persona’s: verwenners, telers, leeglopers, uittreders en angstige ontduikers. Marketinginspanningen, productinnovatie en commerciële verkenning moeten gericht zijn op de groeidoelpersona’s – en niet alleen op bestaande kopers.

Over het algemeen zijn geconnecteerde diensten een bijzaak, waarbij consumenten zich afvragen: ‘Hoe pas ik technologie in mijn auto in?’ De komende jaren zullen we een verschuiving zien naar ‘Hoe past mijn voertuig in mijn persoonlijke technische ecosysteem?. Dit vereist een mentaliteitsverandering gericht op het ontmoeten van consumenten waar ze zijn. Autofabrikanten moeten anders nadenken over hoe consumenten nieuwe technologie en abonnementen zullen vinden en integreren in hun persoonlijke technische ecosystemen. Ondertussen hebben technische spelers de mogelijkheid om samen te werken met autofabrikanten om voertuigbezit en gebruikservaringen met toegevoegde waarde te creëren.

Gegevensuitwisseling

Slechte gegevensuitwisseling was ooit Europa’s schrikbeeld in de strijd tegen het terrorisme. Vandaag heeft die angst het blok misschien naar het andere uiterste geduwd, nu privacyonderzoekers een onderzoek starten naar het te veel delen van gegevens door EU-agentschappen.

De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onderzoek gestart naar het grensagentschap van de Europese Unie, Frontex, voor het automatisch delen van informatie uit ondervragingen van gedetineerde migranten en asielzoekers aan het EU-politiebureau Europol, zo kondigde het deze week aan na het afronden van een audit van Frontex.

“We hebben veel dingen gevonden die behoorlijk zorgwekkend waren”, zegt de Europese Toezichthouder voor gegevensbescherming Wojciech Wiewiórowski. “Met mensen die de grens oversteken, hebben we het gevoel dat de EU een probleem heeft met het vasthouden aan de waarden en principes waar ze trots op is.”

Het delen van gegevens is bedoeld om grensoverschrijdende misdaden zoals smokkel en terrorisme uit te roeien. Het programma dat bekend staat als “Processing of Personal Data for Risk Analysis” (PeDRA) werd gelanceerd een paar maanden nadat in 2015 een golf van terreuraanslagen Europa trof. de tragedies. “Er is een zwart gat aan informatie”, zei voormalig Europol-directeur Rob Wainwright destijds.

De interne privacywaakhond van de EU, EDPS, waarschuwt nu dat grote hoeveelheden gegevens van Europeanen en migranten waarschijnlijk illegaal worden gedeeld met Europol, dat de afgelopen jaren steeds machtiger is geworden als het gaat om het verzamelen en controleren van wetshandhavingsgegevens in de hele wereld. blok. De EDPS zei dat de brede automatische gegevensuitwisseling die door Frontex met Europol is opgezet, wijst op een schending van een EU-privacywet en de Europese grens- en kustwachtverordening.

Frontex houdt interviews met migranten in Europese detentiecentra om verschillende soorten informatie te verkrijgen, waaronder hun routes, mensen die hen mogelijk hebben geholpen en de identiteit van verdachten van grensoverschrijdende criminaliteit zoals smokkel en terrorisme. De grensdienst heeft sinds 2016 informatie over 13.000 mogelijke verdachten naar Europol gestuurd, zei de adjunct-directeur van Frontex, Uku Sarekanno, in november 2022.

“Het is in het belang van de Unie en haar burgers dat de twee agentschappen samenwerken, dat we simpelweg niet bovenop de informatie zitten die we hebben verkregen en deze niet delen met het andere bureau dat lidstaten helpt bij het aanpakken van de georganiseerde misdaad en grensoverschrijdend gedrag. grenscriminaliteit”, vertelde Sarekanno tijdens een hoorzitting in het Europees Parlement in 2022.

Maar de privacytoezichthouder daagt de gretigheid van Frontex uit om een hele reeks gegevens te verzamelen en te delen. Het zei dat een audit vorig jaar “ernstige twijfels” opriep dat de operaties van de grensdienst legaal waren en de grondrechten respecteerden. Hij hekelde de grensdienst voor het “systematisch, proactief en zelfstandig” verzamelen van informatie over potentiële verdachten tijdens interviews met migranten die “zeer kwetsbaar” waren.

De schat aan informatie die met Europol werd gedeeld, was waarschijnlijk ook relatief onbetrouwbaar en discriminerend, aldus de controle. Namen van ngo’s zijn verschenen in 1.058 documenten die debriefing-interviews met migranten documenteren, meldde de EU-zakenpublicatie EUobserver in april.

De privacysonde komt terwijl het Europese bewakingsapparaat gestaag uitbreidt.

Europol heeft vorig jaar aanzienlijke nieuwe bevoegdheden gekregen om grote hoeveelheden gegevens te verwerken en informatie uit te wisselen met particuliere bedrijven. De nieuwe wet verontrustte Wiewiórowski, die – in een ongekende beweging – in september het Europees Parlement en de Raad van de EU voor het Hof van Justitie van de EU daagde omdat ze hun eerdere handhaving tegen Europol effectief hadden geannuleerd.

Wojciech Wiewiórowski daagde het Europees Parlement en de Raad van de EU voor het Hof van Justitie wegens het annuleren van de eerdere tenuitvoerlegging tegen Europol | Europees parlement

De EDPS had het bureau een paar maanden eerder bevolen om gegevens te wissen van personen die geen vastgestelde link met een misdrijf hadden, nadat was vastgesteld dat de wetshandhavingsinstantie waarschijnlijk grote hoeveelheden persoonlijke gegevens verkeerd had behandeld.

Tijdens de Just Law-week stemde het Europees Parlement voor het starten van onderhandelingen over een wetsontwerp met de naam Prüm II met de EU-Raad om de toegang tot gegevens voor de EU-politieautoriteiten uit te breiden om biometrische informatie zoals gezichtsopnamen, vingerafdrukken, DNA en voertuigregistratie te delen. Europol zou ook toegang krijgen tot de gegevens en de nationale politie in staat stellen om toegang te krijgen tot haar eigen databanken met biometrische gegevens van buiten de EU.

Privacygroepen hebben ook gewaarschuwd dat een andere lopende EU-hervorming, bekend als EURODAC, de nationale politie en Europol in staat zou kunnen stellen migranten beter op te sporen en vingerafdrukken van kinderen te verzamelen.

De EDPS gaf Frontex tot het einde van het jaar om wijzigingen door te voeren om ervoor te zorgen dat zijn activiteiten voor het verzamelen en verwerken van gegevens aan de EU-grenzen legaal zijn en zei dat het resultaat van zijn onderzoek naar het delen van gegevens met Europol al in september zou kunnen komen.

In een reactie zei de persdienst van Frontex dat “het bureau ernaar zal streven om te voldoen aan de aanbevelingen en een actieplan zal ontwikkelen om de nodige veranderingen in onze operaties door te voeren.”

Een woordvoerder van Europol zei dat het een “solide werkrelatie” heeft met de EDPS en dat het bureau een onafhankelijke functionaris voor de grondrechten en een functionaris voor gegevensbescherming heeft om ervoor te zorgen dat de privacyregels worden nageleefd. De woordvoerder weigerde commentaar te geven op de EDPS-audit en het onderzoek naar Frontex.

Technologie

Hoewel technologie kan helpen bij het opsporen van bedrijven, organisaties en overheden die tekenen van dataverslaving vertonen, is het lastig om precies te vinden wat te meten en die gegevens te interpreteren.

DATA INZICHTEN

ONLINE VEILIGHEID

GEOFENCING

Naarmate meer landen online data verzamelen reguleren en de inkomsten exploderen, wenden we ons tot technologie om tekenen van verslaving onder bedrijven, organisaties en overheden te monitoren.

De Europesche gemeenschap werkt samen met bedrijven, organisaties en overheden om rechten van gebruikers te identificeren en te helpen met behulp van verzamelde informatie over hun online gedrag. Het eerste initiatief in zijn soort zou vereisen dat platformexploitanten hun gegevens analyseren om te bepalen of ze tekenen vertonen van gedrag dat verband houdt met excessief verzamelen van data .

Het gebruik van technologie om problemen te identificeren en te verhelderen lijkt de logische volgende stap in het identificeren van dataverslaving. In een verklaring zeggen experts dat de gegevens die zijn verzameld en geanalyseerd door bedrijven, organisaties, overheden en experts zouden helpen “de vroege waarschuwingssignalen te zien en risicovolle bedrijven, organisaties en overheden te bereiken voordat ze in een data catastrofe terechtkomen.”

Hoewel het veelbelovend is om gegevens te gebruiken om te analyseren wie het risico loopt een probleemgebruiker te worden, hebben programma’s nog veel details om uit te werken. Het vaststellen van statistieken om problematisch online verzamelen van data te identificeren, blijft bijvoorbeeld een uitdaging, vooral omdat de inspanningen op overheidsniveau worden aangestuurd en er geen overheidssteun of financiering is.

Een initiatief voor verantwoord datagebruik specifieke parameters en gedragingen heeft vastgesteld waar bedrijven, organisaties en overheden op moeten letten, inclusief gebruikers van wie de schermtijd van week tot week toeneemt, gebruikers die zichzelf herhaaldelijk afkoelperiodes opleggen voor online gedrag, degenen die online zijn totdat ze minder dan één uur slaap hebben en gebruikers die regelmatig willen stoppen zonder zichzelf uiteindelijk uit te sluiten.

Maar meten of bedrijven, organisaties en overheden verslaafd zijn aan data kan een uitdaging zijn, maar dat gedrag kan hoe dan ook een rode vlag voor bedrijven, organisaties en overheden veroorzaken.

En terwijl dat normale verslavingen door experts worden beschouwd als een psychische aandoening, kan het ook als een comorbiditeit optreden.

Het kan effectief zijn om het traject van data gewoonten te volgen, maar zelfs dat kan problematisch zijn. Maar die escalatie kan ook een indicatie zijn dat bedrijven, organisaties en overheden de kneepjes van het vak aan het leren zijn voordat ze groter worden.

“Technologie is op dit moment duidelijk een baken van hoop om hiermee om te gaan, maar er blijven vragen”. “Wat moeten we meten? Wanneer moeten we het meten? Hoe moeten we het meten? Geen van die dingen is duidelijk beantwoord.”

Een gerelateerde kwestie is hoe bedrijven, organisaties en overheden op de hoogte moeten worden gebracht als ze tekenen van dataverslaving vertonen en hoe ze moeten wijzen op hun verantwoordelijkheid. Of een sms of e-mail effectiever is dan een telefoontje, staat nog steeds ter discussie, en hoewel het “zeer problematisch” is om ze op de hoogte te stellen, zou het ook een uitdaging zijn om die verantwoordelijkheid bij dataverzamelaars te leggen, maar het kan de beste weg vooruit zijn.

We kunnen geofencing mogelijk maken, waardoor gebruikers uit landen waar data verzamelen illegaal is, geen toegang krijgen tot websites van bedrijven, organisaties en overheden die te veel data verzamelen.

We zouden bedrijven, organisaties en overheden kaders kunnen geven waarbinnen zij aan bepaalde verwachtingen moeten voldoen. “Laat ze het dan maar uitzoeken,”. “Ze kennen hun verantwoordelijkheden; dit zijn zeer effectieve marketingmachines, en meer ter zake, zeer effectieve klantenservicemachines.”

Momenteel bieden bedrijven, organisaties en overheden gebruikers de mogelijkheid om zichzelf toe te voegen aan uitsluitlijsten, waardoor ze geen toegang hebben, terwijl er ook onvrijwillige uitsluitingslijsten zijn, in een poging de integriteit van data te beschermen. Een grotere consistentie en het delen van gegevens van die lijsten zou gebruikers ten goede komen, vooral degenen die niet iedere keer toestemming willen geven.

Bedrijven, organisaties en overheden lijken zich ook zorgen te maken over verantwoord data verzamelen over hun gebruikers. Om te begrijpen hoe de industrie, de overheid en andere vertegenwoordigers zouden reageren op verschillende scenario’s waarin het volgen van online gebruikers potentieel problematisch is.

Hoewel het “tekenen van een belofte” voor het gebruik van technologie om dataverslaving te beteugelen, het nog te vroeg is om met zekerheid te zeggen welke methoden het meest effectief zijn. Voor we “de overwinning claimen”, er meer werk in het verschiet ligt om erachter te komen wat werkt, in tegenstelling tot “wat ons gewoon een goed gevoel zal geven”.

Microtargeting

Microtargeting is een vorm van beïnvloeden waarbij op basis van data een zeer specifieke doelgroep wordt geselecteerd. Dit kan betekenen dat informatie alleen aan een bepaalde groep vertoond wordt, maar ook dat de ene gebruiker een net wat andere versie van dezelfde informatie krijgt dan de andere.

Het gebruik ervan is controversieel maar door sommigen gezien als een effectieve manier om personen te beïnvloeden Er zijn echter grote zorgen rondom privacy en microtargeting. Microtargeting kan ook gebruikt worden om mensen te misleiden.

Zo kan er andere informatie gepresenteerd worden aan bepaalde personen die daar gevoelig voor zijn. Verder vergroot het de macht van grote internetplatformen, omdat zij als poortwachter kunnen fungeren maar ook als aanbieder. En het draagt bij aan versplintering van het publieke debat, met polarisatie en desinformatie als potentiële gevolgen.

Microtargeting is een relatief nieuwe techniek waarbij persoonlijke data van personen worden gebruikt om op maat gemaakt boodschappen te maken. Een verpleegkundige krijgt dan bijvoorbeeld informatie te zien waarin goede gezondheidszorg wordt gepromoot, terwijl een docent juist informatie krijgt over zaken rond onderwijs.

Door microtargeting worden boodschappen relevanter voor de ontvanger en wordt daardoor de kans op overtuiging groter.

Microtargeting gebruikt via een slimme techniek persoonlijk data om profielen op te stellen en daar boodschappen op af te stemmen. Dat is data die je zelf aan een online profiel hebt toegevoegd, maar bijvoorbeeld ook locatiedata (het soort plekken dat je bezoekt) of betalingsdata (het soort producten dat je aanschaft), en natuurlijk je online surfgedrag.

In eerste instantie zegt deze data misschien niet zo veel, maar op grote schaal kun je hiermee gedragspatronen gaan herkennen en bepalen welke profielen voor welke informatie gevoelig zijn. En deze data kan iedereen kopen en is over bijna iedereen die op het internet surf beschikbaar.

Nu is beïnvloeding van personen van alle tijden, en op zich niet zo erg. Met op maat gemaakte informatie, deel je bijvoorbeeld ook informatie met personen die ze werkelijk relevant vinden. Hierdoor ze motiveren deel te nemen aan het proces en actief na te denken over hun gewoontes . Dat kan positief zijn, zo lang dit maar door legitieme actoren wordt gedaan die te goeder trouw zijn en op eerlijke wijze handelen.

Maar beïnvloeding wordt onacceptabel wanneer het overgaat in manipulatie, wanneer het misbruik maakt van de kwetsbaarheden van personen door vooral in te spelen op hun angsten, wanneer gebruik wordt gemaakt van onwaarheden of onrechtmatig verkregen persoonlijke data en wordt uitgevoerd wordt door niet-legitieme actoren.

Ter geruststelling, ons dagelijks leven is een complexe gebeurtenis en een dergelijke complexe gebeurtenis beïnvloeden is mogelijk, maar om ons in de gewenste richting en op een gecontroleerde manier beïnvloeden is gelukkig lastiger.

Echter naarmate de technologie voortschrijdt, komen er nog slimmere technieken die personen zelfs op hun persoonlijkheid kunnen targeten door onder andere analyses van taalgebruik. Dan kunnen er specifieke informatie worden gemaakt voor bijvoorbeeld introverte versus extraverte personen. Als persoon heb je dan niet meer door dat het om een op maat gemaakte boodschap gaat.

Digitale vingerafdruk

Digitale vingerafdrukken zijn een verraderlijke manier waarop we online wordt gevolgd? Inmiddels weten we waarschijnlijk dat onze web activiteit bij vrijwel elke stap wordt bijgehouden. Dingen zoals ons IP-adres, een nummer dat is gekoppeld aan onze verbinding met onze internetprovider en cookies, kleine bestanden die door onze webbrowser worden verzameld, identificeren ons voor de websites, adverteerders en iedereen die voldoende geïnteresseerd is in onze gegevens om ervoor te betalen.

Deze verzameling van uiteenlopende gegevens van groepen gebruikers, en soms zelfs aan een enkele gebruiker, wordt een digitale vingerafdruk genoemd. is het mogelijk om een verrassend nauwkeurig beeld te krijgen van wat een specifieke gebruiker online doet, soms tot een bijna volledige geschiedenis van hun internetgebruik.

Een digitale vingerafdruk is geen enkel bestand of gegevenspunt. In tegenstelling tot een trackingcookie of een IP-adres, is het een brede en gevarieerde set informatievariabelen die worden verzameld van uw apparaten (smartphones, laptops en desktops, zelfs zaken als smart-tv’s of apparaten) terwijl u internet gebruikt. Door al deze gegevens te combineren, kan een enkele gebruiker worden gevolgd en een logboek van hun activiteit worden verzameld.

Digitale vingerafdrukken kunnen specifieke gebruikers lokaliseren door een grote verscheidenheid aan gegevenstypen te combineren.

Het slechte nieuws is dus dat er geen magische pil is of een enkele methode om te voorkomen dat al deze gegevens worden verzamelt. Je kunt niet zomaar de incognitomodus inschakelen en ervan uitgaan dat iemand niet bij je gegevens kan.

Het betekent dat als we willen voorkomen dat we worden gecontroleerd, er een systematische aanpak moet worden gevolgd om onze informatie en activiteiten te beschermen. Dat geldt voor elk apparaat dat we gebruiken, wanneer we het ook gebruiken.

Welke gegevens worden er verzameld? Een enorme verscheidenheid, waarvan we het misschien nooit had kunnen voorstellen dat ze werden verzameld. Voor de hand liggende dingen zoals het type webbrowser en het besturingssysteem dat we gebruiken, zijn enkele van de eerste gegevens die worden verzamelt, maar met moderne webtechnologie kunnen sites gegevens verzamelen, zoals welke browserextensies we hebben geïnstalleerd (zoals adblockers of wachtwoordmanagers), welke programma’s of apps op onze apparaten zijn geïnstalleerd, de taal waarop uw systeem op draait of zelfs de specifieke lettertypen die we hebben geïnstalleerd.

Hier is een lange, maar zeker niet definitieve, lijst van de verschillende soorten gegevens die kunnen worden gecombineerd om een digitale vingerafdruk te vormen:

Onze locatie, verzameld op basis van gegevens zoals het IP-adres, landrapportage en de tijdzone-instelling van het apparaat dat verbonden is met het internet. Het type apparaat, de fabrikant, het besturingssysteem en zelfs het versienummer van het besturingssysteem.

Onze webbrowser (gerapporteerd door de user-agent), versienummer van de browser en instellingen zoals “Niet volgen” en standaardtaal? De in uw browser geïnstalleerde plug-ins en extensies, zoals een pdf-viewer of adblocker.

De weergave van informatie op het apparaat, inclusief resolutie, grootte en zelfs de beschikbare weergave voor de webpagina zelf. De hardwaremachtigingen van het apparaat die aan de browser zijn verleend, zoals camerabesturing, microfoon of versnellingsmeter. De basishardwaregegevens van het apparaat, zoals het batterijniveau of het beschikbare RAM-geheugen? De geïnstalleerde video- en audioformaten voor het afspelen van beschikbare media? De standaard toetsenbordindeling en of er een touchscreen gebruikt wordt of niet! geïnstalleerde lettertypen

Complexe browserinformatie, waaronder HTTP-headers, beschikbare API’s, CSS-info en JavaScript-objecten.

Sommige systemen kunnen zelfs nog complexer worden. Een ingebed stukje script kan bijvoorbeeld de CPU van uw apparaat vragen om een snelle cryptografische functie uit te voeren, iets wat het altijd in minder dan een seconde doet. Maar door te meten hoe snel je gadget rekent en het te vergelijken met alle andere apparaten die dezelfde test uitvoeren, kan het een benchmark van je processor krijgen en raden welk type en model het is.

Er is een reden dat al deze informatie in de eerste plaats wordt gedeeld, en dat het meestal onschadelijk is. Moderne websites moeten bijvoorbeeld de schermgrootte en resolutie kennen om tekst te laten zien die we gemakkelijk kunnen lezen, en deze zo opmaken dat deze op het scherm past, zodat deze geen andere elementen van de pagina bedekt. Maar adverteerders en andere actoren hebben ingenieuze manieren gevonden om deze gegevens te verzamelen en te combineren tot ongelooflijk complexe volgsystemen die geen ouderwetse cookies of IP-nummers nodig hebben.

Omdat onze moderne apparaten zo complex zijn en wij als gebruikers die altijd online zijn de neiging hebben om onze computers en gadgets zo te gebruiken, is het gemakkelijk om al deze datapunten te combineren. En als we geen specifieke stappen hebben ondernomen om onszelf te maskeren, is onze digitale vingerafdruk waarschijnlijk uniek: een verzameling gegevens die zo complex en specifiek zijn dat ze alleen betrekking hebben op onszelf, en alleen onszelf.

AmIUnique.org

coveryourtracks.eff.org

Het is niet verwonderlijk dat beide tools hebben vastgesteld dat ik een volledig unieke digitale vingerafdruk achterlaat bij meer dan een kwart miljoen enquêteresultaten. Het is mogelijk, en zelfs vrij waarschijnlijk, dat een adverteerder mijn unieke gebruikersprofiel kan lokaliseren tussen al het webverkeer op de planeet.

Dat betekent niet dat mijn digitale vingerafdruk specifieke dingen over mij persoonlijk vertelt. Het kan mijn leeftijd, nationaliteit, ras, geslacht, huisadres, telefoonnummer, enz. niet weten – tenminste, niet zonder verbinding te maken met een andere database met opgeslagen informatie. Maar wat het KAN doen, is de websites volgen die ik bezoek en wat ik daar doe.

Dat komt omdat websites en adverteerders digitale vingerafdrukken doorgeven als ruilkaarten. Met een voldoende breed netwerk dat websites en advertenties verzamelt, met name de meest bezochte sites, een bijna volledig overzicht opbouwen van wat ik op internet doe.

Gekoppeld aan persoonlijke informatie, tenminste als ik ben ingelogd op een site die over die informatie beschikt. Vormt dat een meer dan klein gevaar voor zaken als identiteitsdiefstal of meer uitgebreide pogingen tot schade, zoals phishing.

Omdat een digitale vingerafdruk uit zoveel gegevenspunten bestaat, is het vrij moeilijk om sites en adverteerders er volledig van te weerhouden om ons ermee te volgen. De basis dingen zoals het vervalsen van onze locatie met een VPN en het blokkeren van cookies zijn gewoon niet genoeg, hoewel ze het voor de tracker een stuk moeilijker maken om gegevens te beperken tot een specifieke internetgebruiker.

Het blokkeren van JavaScript met een tool als NoScript beperkt veel van de datapunten die worden verzameld. Maar net als het volledig blokkeren van cookies, kan dat ervoor zorgen dat veel websites gewoon niet werken, vooral complexere webservices en tools. Het gebruik van een adblocker stopt ook sommige, maar niet alle, verzameling van vingerafdrukgegevens.

Sommige browsers hebben systemen die proberen de hoeveelheid gegevens die toegankelijk is voor vingerafdrukken te beperken—Firefox blokkeert in ieder geval een deel ervan, en meer op privacy gerichte browsers zoals Tor, Brave, Mullvad en DuckDuckGo blokkeren de gegevens of verzenden generieke, niet-specifieke informatie zodat het nemen van vingerafdrukken moeilijker wordt.

Geen bezwaar

Voordat je toestemming geeft.

Zoekmachines gebruiken cookies en gegevens voor het volgende:

  • Services leveren en onderhouden
  • Uitval bijhouden en bescherming bieden tegen spam, fraude en misbruik
  • Doelgroepbetrokkenheid en sitestatistieken meten om inzicht te krijgen in hoe onze services worden gebruikt en de kwaliteit van die services te verbeteren

Als je Alles accepteren kiest, gebruiken ze cookies en gegevens ook voor het volgende:

  • Nieuwe services ontwikkelen en verbeteren
  • Advertenties laten zien en de effectiviteit ervan meten
  • Gepersonaliseerde content laten zien (afhankelijk van je instellingen)
  • Gepersonaliseerde advertenties laten zien (afhankelijk van je instellingen)

Als je Alles afwijzen kiest, gebruiken ze cookies niet voor deze aanvullende doeleinden.

Niet-gepersonaliseerde content wordt beïnvloed door factoren zoals de content die je op dat moment bekijkt, activiteit in je actieve zoeksessie en je locatie. Niet-gepersonaliseerde advertenties worden beïnvloed door de content die je op dat moment bekijkt en je algemene locatie.

Gepersonaliseerde content en advertenties kunnen ook relevantere resultaten, aanbevelingen en op jou toegespitste advertenties omvatten die zijn gebaseerd op eerdere activiteit van deze browser, zoals uitgevoerde zoekopdrachten.

Ze gebruiken cookies en gegevens ook om te zorgen dat de functionaliteit geschikt is voor je leeftijd, als dit relevant is.

Zoekresultaten zijn verschillend op verschillende computers. Er zijn veel factoren die van invloed zijn op de zoekresultaten die je ziet.

Redenen waarom je zoekresultaten verschillend zijn is het streven naar de beste resultaten voor een individuele gebruiker.

Dit betekent dat zoekresultaten verschillen van persoon tot persoon en dat voor mensen die op hetzelfde zoeken, verschillende zoekresultaten kunnen zien. Je fysieke locatie is daarvoor ook bepalend. Of je nu een mobiele telefoon of een webbrowser gebruikt, zoekmachines, hebben een goed idee waar je bent en zullen je afhankelijk van die factoren verschillende zoekresultaten voor hetzelfde zoekwoord tonen, op basis van je fysieke locatie.

Elke apparaat dat op het internet is aangesloten, krijgt een uniek nummer genaamd een internetprotocol (IP) -adres. Zoekmachines identificeren je IP-adres en proberen de meest relevante resultaten te leveren die overeenkomen met de locatie. Dus zoekt je op het zoekwoord ‘pizza’ of ‘loodgieter’ vanuit een locatie in Breda, zal hele andere zoekresultaten krijgen dan iemand die op dezelfde zoekwoorden in Haarlem zal zoeken.

Zoekmachines personaliseren de zoekresultaten van iedereen die de zoekmachine gebruikt, op basis van de zoekopdrachten die zijn uitgevoerd en de resultaten die je in het verleden hebt bekeken.

Door te kijken naar wat je zoekt en wat je uit deze resultaten selecteert, leert een zoekmachine dat je bepaalde sites veel bezoekt en kan daardoor de meest relevante en nuttige zoekresultaten aan je bieden. Dus als je vaak zoekt en klikt op bepaalde links die verschijnen in de zoekresultaten, leert de zoekmachine dat je dat interessant vind. Dit betekent dat je meer en meer dezelfde informatie ziet.

Dit komt omdat het de meest bezochte informatie bovenaan de pagina plaatst. Dus als je vaak op je website komt is het heel goed mogelijk dat deze bij jou in de toppositie staat terwijl dat voor anderen die op dezelfde zoekwoorden zoeken niet zo hoeft te zijn.

Beveilig persoonlijke gegevens

De AVG bepaalt dat gegevensbeheerders en gegevensverwerkers passende technische en organisatorische maatregelen moeten nemen om een op het risico afgestemd beveiligingsniveau van persoonsgegevens te waarborgen.

De volgende informatie bevat de basisvoorzorgsmaatregelen die moeten worden overwogen door organisaties die persoonsgegevens verwerken (d.w.z. gegevensbeheerders en gegevensverwerkers). Het is niet de bedoeling om een volledige lijst te geven van maatregelen die kunnen worden geïmplementeerd om persoonsgegevens in alle contexten te beschermen. Verwerkingsverantwoordelijken en verwerkers moeten deze maatregelen aanpassen aan de context (rekening houdend met de stand van de techniek, de context van de verwerking en het risico voor individuen).

De gevolgen van een gebrek aan beveiliging kunnen ernstig zijn: bedrijven kunnen hun imago aangetast zien worden, het vertrouwen van hun consumenten verliezen, grote sommen geld moeten betalen om te herstellen van een beveiligingsincident (bijvoorbeeld na een datalek) of hun activiteit gestopt. Veilige persoonsgegevens zijn in het belang van zowel individuen als de organisaties die de gegevens verwerken.

Om de risico’s van elke verwerking te beoordelen, is het raadzaam om eerst de mogelijke impact op de rechten en vrijheden van de betrokken personen te identificeren. Hoewel organisaties hun (persoonlijke of niet-persoonlijke) gegevens voor hun eigen belang moeten beschermen, richt de volgende informatie zich op de bescherming van de gegevens van individuen.

Gegevensbeveiliging heeft drie hoofdcomponenten: de integriteit, beschikbaarheid en vertrouwelijkheid van de gegevens beschermen. Daarom moeten organisaties de risico’s voor het volgende beoordelen:

ongeoorloofde of onopzettelijke toegang tot gegevens – schending van de vertrouwelijkheid (bijvoorbeeld identiteitsdiefstal na openbaarmaking van de loonstroken van alle werknemers van een bedrijf);
ongeoorloofde of onopzettelijke wijziging van gegevens – inbreuk op de integriteit (bijv. een persoon valselijk beschuldigen van een overtreding of misdrijf als gevolg van de wijziging van toegangslogboeken);
verlies van gegevens of verlies van toegang tot gegevens – schending van beschikbaarheid (bijv. het niet detecteren van een geneesmiddelinteractie vanwege de onmogelijkheid om toegang te krijgen tot het elektronische dossier van de patiënt).
Het is ook raadzaam om de risicobronnen te identificeren (d.w.z. wie of wat kan de oorzaak zijn van elk beveiligingsincident?), rekening houdend met interne en externe menselijke bronnen (bijv. IT-beheerder, gebruiker, externe aanvaller, concurrent), en interne of externe niet-menselijke bronnen (bijv. waterschade, gevaarlijke materialen, niet-gericht computervirus).

Deze identificatie van de risicobronnen stelt u in staat om de potentiële bedreigingen te identificeren (d.w.z. onder welke omstandigheden kan een beveiligingsincident optreden?) op ondersteunende bedrijfsmiddelen (bijv. hardware, software, communicatiekanalen, papier, enz.), die kunnen zijn:

op een ongepaste manier gebruikt (bijv. misbruik van rechten, afhandelingsfout);
gewijzigd (bijv. insluiting van software of hardware – keylogger, installatie van malware);
verloren (bijvoorbeeld diefstal van een laptop, verlies van een USB-stick);
waargenomen (bv. observatie van een scherm in een trein, geolocatie van apparaten);
verslechterd (bijv. vandalisme, natuurlijke achteruitgang);
overbelast (bijv. volle opslageenheid, denial of service-aanval).
niet beschikbaar (bijvoorbeeld in het geval van een ransomware).
Het is ook raadzaam om:

de bestaande of geplande maatregelen bepalen om elk risico aan te pakken (bijv. toegangscontrole, back-ups, traceerbaarheid, beveiliging van gebouwen, encryptie);
de ernst en waarschijnlijkheid van de risico’s inschatten op basis van bovenstaande elementen (voorbeeld van een schaal die gebruikt kan worden voor de inschatting: verwaarloosbaar, matig, significant, maximaal);
implementeer en verifieer geplande maatregelen als bestaande en geplande maatregelen passend worden geacht, zorg ervoor dat ze worden uitgevoerd en gecontroleerd;
voer periodieke beveiligingsaudits uit: elke audit moet resulteren in een actieplan waarvan de uitvoering moet worden gecontroleerd op het hoogste niveau van de organisatie.
De AVG introduceert het begrip “gegevensbeschermingseffectbeoordeling (DPIA)”, die verplicht is voor elke verwerking van persoonsgegevens die waarschijnlijk een hoog risico voor personen met zich meebrengt. Een DPIA (Data Protection Impact Assessment) moet de beoogde maatregelen bevatten om de geïdentificeerde risico’s aan te pakken, waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te waarborgen

Werknemer gegevens

De organisaties, bedrijven en overheden van vandaag hebben meer gegevens over hun werknemers dan ooit tevoren, en het volume en de verscheidenheid aan toegankelijke informatie blijft groeien. Er zijn twee belangrijke drijfveren achter deze verschuiving.

De beschikbaarheid van gegevens de afgelopen jaren enorm toegenomen.

Toen organisaties overgingen op werken op afstand en het hybride werken, creëerden ze nieuwe digitale werkmethode die konden worden gemonitord en gevolgd. (Denk aan teams-berichten in plaats van gesprekken op kantoor.)

Uit een recent onderzoek blijkt dat meer de helft van de organisaties nu gegevens verzamelt die ze vóór de pandemie niet verzamelden: een kwart is in de afgelopen drie jaar begonnen met het loggen van e-mailactiviteiten, eenvijfde verwerkt nu gegevens over met wie werknemers het vaakst praten en werken en iets minder van de organisaties, bedrijven en overheden is begonnen met het analyseren van gegevens van virtuele vergaderingen.

Dit alles omdat ze worden geconfronteerd met een hogere mate van verantwoordelijkheid voor de gezondheid en het welzijn van werknemers. Zo werden de gezondheidsgegevens van individuen voor de pandemie misschien als uiterst precaire en privé beschouwd, maar tijdens de pandemie deelden werknemers routinematig informatie over blootstelling aan Covid of de vaccinatiestatus als een basisvereiste voor het werken op kantoor.

En terwijl meer de meerderheid van de werknemers wil dat hun organisatie hen behandelt als mensen, niet alleen als werknemers. Vereist effectieve persoonlijke ondersteuning veel gegevens, over alles van familie, zorgtaken tot behoeften op het gebied van geestelijke gezondheid en die gegevens kunnen een aantal zeer reële privacy inbreuken veroorzaken.

Aangezien organisaties, bedrijven en overheden meer mechanismen hebben om persoonlijke gegevens te verkrijgen en steeds meer gemotiveerd worden om er gebruik van te maken. Zijn er betere richtlijnen nodig om dit op een verantwoorde manier te doen. Vooral omdat deze trend al steeds meer regelgeving naar zich toe trekt.

Maar eerlijke, transparante omgang met werknemersgegevens is niet alleen een nalevingsmandaat. Het is ook de eerste stap naar het creëren van een op vertrouwen gebaseerde samenwerking die zowel werknemers als hun werkgevers nodig hebben om te gedijen in deze complexere gegevensomgeving. Van de werknemers die hun organisatie data toevertrouwen presteert eenvijfde beter en is aanzienlijk deel gemotiveerd om hun baan te behouden dan werknemers die hun organisaties niet vertrouwen met hun data. Wanneer werknemers partners zijn, niet alleen doelen, bij het verzamelen en gebruiken van gegevens, werkt dat voor iedereen gewoon beter.

Een duidelijk databeleid voor werknemersgegevens geeft organisaties een reeks basisprincipe. Die de manier waarop de gegevens van werknemers worden verzameld en gebruikt, zelfs als technologieën of zakelijke behoeften veranderen. Hoewel werkplekken kunnen werken met verschillende wettelijke beperkingen of technologische mogelijkheden, zouden vier basisprincipes de verwachting moeten bepalen voor hoe werkgevers informatie over hun personeel gebruiken:

Het recht op doel: de organisatie heeft een legitiem en specifiek zakelijk doel voor alle gegevens die zij verzamelt.

Dit houdt in dat organisaties duidelijk hebben omschreven waarom ze om werknemersgegevens vragen voordat deze daadwerkelijk worden verzameld. Werkgevers moeten zich afvragen waarom ze nieuwe gegevens verzamelen, hoe ze deze zullen verwerken en hoe lang ze deze moeten bewaren om hun kerndoel te bereiken.

Het recht op doel bouwt zowel vertrouwen op bij werknemers als helpt analyseteams om te voorkomen dat gegevens worden verzameld en opgeslagen die eigenlijk geen waarde opleveren. Het kan ook voorkomen dat mogelijk onethische use-cases binnensluipen. Als een organisatie bijvoorbeeld met een stappenteller controleert om het efficiënt gebruik van kantoorruimte te garanderen, zou het het recht op doel schenden als die gegevens werden gedeeld met managers om de prestaties te beoordelen op basis van hoeveel tijd dat medewerkers niet achter hun bureau zitten. Dit betekent niet dat organisaties gegevens die ze al hebben niet opnieuw kunnen gebruiken, maar het nieuwe doel moet expliciet worden gedefinieerd en ook transparant worden gecommuniceerd met werknemers. Een bedrijf dat oorspronkelijk begon met het monitoren van de agendagegevens van werknemers om bijvoorbeeld te helpen bepalen wanneer kantoorruimtes open zouden moeten zijn, zou waarde kunnen hechten aan het gebruik van diezelfde gegevens om managers te helpen voorkomen dat hun teams opbranden door te veel vergaderingen.

Het recht op minimalisatie: de organisatie zal niet meer gegevens verzamelen dan nodig is om haar legitieme zakelijke doel effectief te vervullen.

Zodra een specifiek zakelijk doel is gedefinieerd, vereist het recht op minimalisatie dat organisaties de gegevens die ze verzamelen beperken tot wat echt nodig is. Dat betekent kritisch beoordelen hoeveel organisaties verzamelen en hoe gevoelig die gegevens zijn. Als een organisatie bijvoorbeeld de productiviteit van werknemers op afstand wil volgen, kunnen ze gebruikmaken van gebruiksgegevens van gebruikte applicaties in plaats van te vertrouwen op meer invasieve methoden zoals het monitoren doormiddel van de webcams van werknemers.

Om dit goed te krijgen, moet soms worden beoordeeld welke gegevens “leuk om te hebben” zijn en welke essentieel zijn. Deze vraag is vooral relevant nu kunstmatige intelligentie tools, die afhankelijk zijn van grotere hoeveelheden hoogwaardige gegevens, steeds gebruikelijker en capabeler worden. Het recht op minimalisering houdt in dat wordt overwogen of vastgesteld welke informatie de organisatie in staat effectiever te zijn, en of dat opweegt tegen het risico voor het vertrouwen van werknemers.

Het recht op eerlijkheid: de organisatie zal gegevens gebruiken op manieren die de rechtvaardigheid van het personeelsbestand versterken.

De kern van een effectief gegevenspartnerschap tussen werkgevers en werknemers is ervoor te zorgen dat beide partijen profiteren van de gegevens die worden verzameld. Naarmate organisaties steeds gevoeligere gegevens gebruiken (waaronder gegevens met betrekking tot gezondheid, gezinsverplichtingen, locatie en ras en genderidentiteit) om werknemers beter te ondersteunen of om diversiteits- en inclusiedoelstellingen te halen, neemt het risico op bewuste of onbewuste vooringenomenheid bij de besluitvorming toe. De nieuwe schat aan gegevens waarover organisaties beschikken, zou de gelijkheid van toegang, kansen en behandeling moeten vergroten, niet beperken.

De meest effectieve manier om het recht op transparantie na te leven, is door het vanaf het begin in besluitvormingsprocessen in te bouwen. Door gebruik te maken van een robuuste gegevensanalyses om een inclusieve kandidatenpool te garanderen.

Het recht op bewustwording: De organisatie maakt medewerkers duidelijk welke gegevens voor welke doeleinden worden gebruikt.

Het recht op bewustzijn is het belangrijkste ingrediënt dat ervoor zorgt dat de andere rechten werken. Het betekent dat werknemers begrijpen welke gegevens over hen worden verzameld, hoe deze worden gebruikt en waar mogelijk hoe ze toegang kunnen krijgen tot die informatie. Zonder bewustzijn kunnen het vertrouwensniveau en de perceptie van rechtvaardigheid van werknemers niet veranderen.

Dat gezegd hebbende, hoeven werknemers geen datawetenschappers te zijn om te weten dat hun rechten worden gerespecteerd. Er moet een solide communicatieplan zijn, inclusief op maat gemaakte communicatie om ervoor te zorgen dat berichtgeving relevant is voor de rollen en ervaringen van werknemers. Bij het verzamelen van mogelijk gevoelige zelfidentificatiegegevens, kan een organisatie bijvoorbeeld een bedrijfsbrede boodschap combineren om de toewijding van de organisatie te versterken en uit te leggen hoe de gegevens zullen worden gebruikt met meer gerichte communicatie. Over hoe data-geïnformeerde beslissingen hen ten goede zullen komen. Alle communicatie over werknemersgegevens moet eenvoudig en actueel zijn en worden geleverd via een communicatiekanaal dat toegankelijk en gebruiksvriendelijk is.

Feedback is ook een cruciaal onderdeel van bewustwording. Werknemers moeten over mechanismen beschikken om vragen te stellen en zorgen te melden. Natuurlijk mogen sommige gegevens in de context van de werkgever-werknemerrelatie gewoon niet worden gedeeld (zoals prestatie-evaluatiegegevens of gezondheidsdossiers).

Het gebruiksrecht voor werknemersgegevens in de praktijk

Een beleid voor werknemersgegevens is niet bedoeld als abstracte principe. Organisaties moeten hun eigen lijst met gebruiksrechten voor gegevens van werknemers codificeren en delen, als aanvulling op de vier kernconcepten.

Leidinggevende moeten ook verantwoordelijk worden gehouden voor het naleven van de door werknemers opgestelde gegevensrechten. Eén passend evenwicht tussen zakelijke voordelen en persoonlijke privacy bij het gebruik van gegevens door medewerkers. Waarbij data-ethiek zorgt voor regelmatig controleren van de benadering van werknemersgegevens.

De grenzen tussen persoonlijke en werknemersgegevens zullen blijven vervagen naarmate de technologie voortschrijdt en de verwachtingen van werknemers verschuiven. Een databeleid voor werknemersgegevens, welke consequent wordt gehandhaafd en transparant wordt gecommuniceerd. Kan organisaties helpen het volledige potentieel van gegevensbronnen te benutten om zowel werknemers als mensen te ondersteunen en hun zakelijke doelen te bereiken.

10 stappen AVG

10 stappen voor de naleving van de AVG

De Algemene Verordening Gegevensbescherming is een verordening inzake gegevensbescherming en -beveiliging die door de EU is aangenomen en op 25 mei 2018 in werking is getreden. De AVG legt verplichtingen op aan iedereen die persoonsgegevens van EU-ingezetenen verzamelt en verwerkt, ook als deze buiten de EU opereren.

De AVG geeft EU-inwoners controle over hun persoonsgegevens en verplicht tot;

* Legaal en volgens strikte regels persoonsgegevens verzamelen, verzamelen en beheren

* Bescherm persoonlijke gegevens tegen misbruik, uitbuiting en compromittering

* Respecteer de rechten van individuen om hun gegevens te beheren

De twee belangrijkste aandachtsgebieden van de AVG zijn persoonsgegevens en gegevensverwerking:

Het is ook belangrijk om bekend te zijn met specifieke AVG-termen voor het definiëren van rollen die verband houden met gegevensverwerking: gegevensbeheerders, betrokkenen en gegevensverwerkers.

Iedereen die persoonlijke informatie van EU-ingezetenen opslaat of verwerkt, is verplicht om te voldoen aan de AVG, ook al ben je buiten de EU gevestigd.

De AVG beschermt momenteel persoonsgegevens van inwoners van de volgende landen:

  Oostenrijk Estland Italië Portugal

  België Finland Letland Roemenië

  Bulgarije Frankrijk Litouwen Slowakije

  Kroatië Duitsland Luxemburg Slovenië

  Cyprus Griekenland Malta Spanje

  Tsjechië Hongarije Nederland Zweden

  Denemarken Ierland Polen Verenigd Koninkrijk(UK-GDPR gelijk aan de AVG)

De AVG-vereisten beschermen klant- en werknemersgegevens

De AVG stelt hoge eisen aan de beveiliging van persoonsgegevens en verplicht gegevensbeheerders en verwerkers om gevoelige persoonsgegevens te beschermen. Zorgen voor veilige gegevensverwerking is een betrouwbare manier om het risico op beveiligingsincidenten te minimaliseren.

Het negeren van de regelgeving inzake gegevensprivacy kan gevolgen hebben voor de reputatie. Het ervaren van een datalek zal bijvoorbeeld leiden tot onderzoeken, boetes en mogelijke rechtszaken. Door te voldoen aan de vereisten van de AVG kunt u datalekken voorkomen en de status van een betrouwbare en professionele verwerker in de openbaarheid behouden.

Mensen willen weten dat hun gegevens veilig zijn en dat ze er controle over hebben. Er wordt eerder gekozen voor een AVG-conforme dienstverlener of onderaannemer dan voor een niet-conforme.

Niet-naleving van de AVG kan leiden tot onderzoeken, boetes en zelfs datalekken. Boetes voor niet-naleving van de regelgeving kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet of € 20 miljoen (welke van de twee het hoogste is). De hoogte van een boete is afhankelijk van meerdere factoren, waaronder:

* De duur en ernst van de overtreding

* De mate van samenwerking met de toezichthouder

* De betrokken categorieën persoonsgegevens

Privacy-checklist voor gegevensbescherming, kijkt naar de fundamentele principes achter de AVG

1. Zorg voor rechtmatigheid en transparantie van gegevensverwerking

De AVG vereist het vaststellen van een wettelijke basis voor en een transparante wijze van gegevensverwerking.

Het vragen om toestemming van gebruikers heeft enkele nuances. Het is belangrijk dat de gebruiker akkoord gaat met de verwerking van zijn gegevens, dus zorg ervoor dat er toestemming is via een opt-in-actie, zoals het aanklikken van een selectievakje.

Geef duidelijke en beknopte informatie over het verzamelen, opslaan en verwerken van gegevens. Al deze informatie moet gemakkelijk toegankelijk zijn.

2. Controleer het gegevensbeschermingsbeleid

Het ontwikkelen en implementeren van een AVG-conform gegevensbeschermingsbeleid, controleer dat regelmatig.

Het gegevensbeschermingsbeleid al het andere beveiligingsbeleid verenigt in een beleid en volgens het privacy by design-principe, wat inhoudt dat privacy standaard een integraal onderdeel van de IT-infrastructuur moet zijn.

Overweeg om regelmatig zelfcontroles uit te voeren met betrekking tot de naleving van de AVG. Het doel hier is om te valideren dat persoonlijke gegevens veilig worden verzameld, opgeslagen en verwerkt en niet toegankelijk zijn voor meer personen dan nodig is. Controleer ook of de systemen alleen de categorieën persoonsgegevens verwerken die nodig zijn voor specifieke doeleinden.

3. Voer een effectiviteitsbeoordeling uit

Een gegevensbeschermingseffectbeoordeling (DPIA) is een proces dat is ontworpen om de risico’s die voortvloeien uit het verzamelen en verwerken van persoonsgegevens te identificeren en te beperken. Een goed begrip van de risico’s op het gebied van gegevensprivacy kan helpen bij het kiezen van de juiste beveiligingsmaatregelen en het ontwikkelen van relevant cyberbeveiligingsbeleid.

Een DPIA begint met een inventarisatie van alle processen die te maken hebben met het verzamelen en verwerken van persoonsgegevens. Dan is er de beoordeling van risico’s voor de rechten en vrijheden van betrokkenen.

4. Implementeer goede maatregelen voor gegevensbeveiliging

Geen gegevens zijn veilig zonder relevante controles en beschermingsmechanismen. Maatregelen voor cyber beveiliging verdienen speciale aandacht, omdat ze de basis vormen voor uw gegevensbescherming.

5. Zorg voor de privacyrechten van gebruikers

Definieert de rechten van betrokkenen die moeten worden gewaarborgd om naleving van de AVG te waarborgen.

Zorg ervoor dat u de privacyrechten doorneemt om te controleren of zij gemakkelijk aan het volgende voldoen:

Overweeg om de rechten op te nemen in het privacybeleid. Eventuele wijzigingen in het privacybeleid moeten via e-mail aan betrokkenen worden meegedeeld.

6. Documenteer uw naleving van de AVG

Een andere essentiële vereiste van de AVG is het kunnen aantonen van naleving aan toezichthoudende autoriteiten en kunnen aantonen dat alle gegevens legaal worden verwerkt en dat alle mogelijke beveiligingsmaatregelen zijn toegepast.

Overweeg om documentatie bij te houden over hoe naleving en beveiliging van persoonlijke gegevens wordt garandeert. Dit kan in de vorm van een AVG-dagboek dat de gegevensstroom in organisaties in kaart brengt die wordt bijgehouden om naleving aan auditors te bewijzen. In het geval van een datalek kan AVG-dagboek ook worden gebruiken als referentie voor het verbeteren van de beveiliging.

7. Stel een functionaris voor gegevensbescherming aan

Een functionaris voor gegevensbescherming (DPO) is een interne of uitbestede specialist die toeziet op de naleving van IT-vereisten en weet hoe hij GDPR-compatibel moet zijn. Een DPO rapporteert ook aan het management over eventuele risico’s op datalekken.

De AVG vereist dat er een DPO wordt ingehuurd als er aan een van de volgende drie criteria wordt voldaan:

* Je bent een openbaar lichaam of autoriteit, er is vrijstellingen verleend aan rechtbanken en andere onafhankelijke instanties en gerechtelijke autoriteiten

* Je voert grootschalige, regelmatige verwerkingen van persoonsgegevens uit

* Je verwerkt gegevens binnen bijzondere categorieën

8. Bepaal de toezichthoudende autoriteit

Elke EU-lidstaat moet een of meer onafhankelijke overheidsinstanties aanwijzen die verantwoordelijk zijn voor het toezicht op de naleving van de AVG.

Een Gegevensbeschermingsautoriteit (DPA) genoemd, is een relevante toezichthoudende autoriteit die zal dienen als het primaire aanspreekpunt voor alle AVG-vragen.

Van de gegevensbeschermingsautoriteiten wordt verwacht dat zij:

* Toezicht houden op de toepassing van de AVG

* Geven van deskundig advies over gegevensbeschermingskwesties

* Klachten afhandelen met betrekking tot schendingen van de AVG

* Boetes opleggen bij niet-naleving aan verwerkingsverantwoordelijken en verwerkers

7 best practices voor naleving van cyberbeveiliging in banken en financiële instellingen Digital Operational Risk Act (DORA).

9. Meld datalekken direct

De AVG verplicht elke verwerkingsverantwoordelijke om een inbreuk in verband met persoonsgegevens binnen 72 uur na ontdekking te melden, tenzij het onwaarschijnlijk is dat het incident de rechten en vrijheden van de betrokkenen schaadt.

De verordening stelt ook dat gegevensverwerkers gegevensbeheerders moeten informeren over inbreuken op persoonsgegevens als dit gebeurt. Als derden toegang hebben tot gevoelige gegevens, zorg er dan voor dat zij op de hoogte zijn van deze AVG-vereiste.

Melding aan de toezichthoudende autoriteit moet bevatten:

* Beschrijving van de aard van het lek in verband met persoonsgegevens

* Categorieën en het geschatte aantal betrokkenen en persoonlijke records

* Mogelijke gevolgen van het datalek

* Maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorstelt te nemen om het lek in verband met persoonsgegevens aan te pakken en mogelijke gevolgen te beperken

* Contactgegevens van de functionaris voor gegevensbescherming of een andere persoon die meer informatie kan verstrekken

Zorg ervoor dat de details gedocumenteerd zijn van alle inbreuken op de beveiliging van persoonsgegevens en de maatregelen die in dit verband zijn genomen, aangezien dit kan helpen om naleving van de AVG te bewijzen.

10. Leid personeel op voor een veilige gegevensverwerking

Om de risico’s van datalekken en GDPR-schendingen te minimaliseren, moet ervoor gezorgd dat alle medewerkers op de hoogte zijn van de GDPR-vereisten, mogelijke cyberbeveiligingsbedreigingen, persoonlijke gegevensprivacy en mogelijke gevolgen van niet-naleving.

Zorg voor een goed bewustzijn van gegevensverwerking door regelmatig trainingen voor medewerkers te organiseren. Overweeg om het trainingsmateriaal regelmatig bij te werken wanneer zich nieuwe cyberbeveiligingsrisico’s voordoen. Het is ook belangrijk om relevante voorbeelden van inbreuken op de cyberbeveiliging aan het personeel te laten zien en mogelijke incidentresponsscenario’s te bespreken.

Het is essentieel om uw personeel niet alleen de juiste cyberbeveiligingsmaatregelen mee te delen, maar ook de redenen om deze toe te passen. Het is mogelijk dat werknemers bepaalde cyberbeveiligingscontroles of -procedures niet begrijpen en deze gemakshalve negeren.

Het is essentieel om uw personeel niet alleen de juiste cyberbeveiligingsmaatregelen mee te delen, maar ook de redenen om deze toe te passen. Het is mogelijk dat werknemers bepaalde cyberbeveiligingscontroles of -procedures niet begrijpen en deze gemakshalve negeren.