Moeten we bezorgd zijn over onze privacy?

GDPR-naleving is een must voor vrijwel elk bedrijf dat gegevens van EU-ingezetenen verwerkt.

De Algemene Verordening Gegevensbescherming (AVG) is bedoeld om de privacy van EU-ingezetenen te beschermen. De verordening is van toepassing op bedrijven die persoonlijke gegevens verwerken van zelfs al is het maar één klant die in Europa woont. Bedrijven die de verordening overtreden, riskeren boetes tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat het hoogst is.

1. U heeft als EU-inwoner het recht om te weten wat er met u gegevens wordt gedaan.

De AVG legt duidelijk vast welke informatie gegevensbeheerders en gegevensverwerkers verplicht zijn te verstrekken op verzoek:

Wie bent u?

Waarom heeft u mijn gegevens?

Waar heeft u ze vandaan?

Hoe lang heeft u ze?

Hoe en waar worden ze verwerkt?

2. Stilte en inactiviteit zijn geen tekenen meer van toestemming voor het verwerken van persoonlijke gegevens

Onder de AVG moet toestemming vrijelijk worden gegeven en specifiek zijn voor elke verwerkingsactiviteit. Het moet een verklaring zijn van duidelijke permissieve actie.

3. Gevoelige persoonlijke informatie moet zorgvuldiger worden behandeld

Volgens de AVG is deze informatie extra gevoelig en mag deze niet vrij worden gebruikt, gedeeld en verwerkt zonder expliciete toestemming van de betrokkene:

Religieuze of filosofische overtuigingen.

Fysieke en mentale gezondheid.

Gegevens over seksleven.

Ras of etnische afkomst.

Vakbondslidmaatschap.

Politieke opvattingen.

Biometrische en genetische gegevens.

3. De termijn voor melding van een datalek is 72 uur

Zo moeten gebruikers binnen 72 uur op de hoogte worden gesteld van elk type datalek. Betrokkenen moeten rechtstreeks geïnformeerd worden als het resultaat van het lek hen aanzienlijke schade kan berokkenen (bijv. openbaarmaking van hun bankrekeninggegevens of gevoelige gegevens met betrekking tot hun kinderen).

4. Recht om vergeten te worden: u moet uit alle back-ups kunnen verdwijnen

De gebruiker kan op elk moment verzoeken om zijn of haar informatie te verwijderen. U moet alle records met persoonlijke gegevens verwijderen en deze nooit meer gebruiken. Dit omvat databaserecords, back-upkopieën, bestanden en alle kopieën die mogelijk naar een archief zijn verplaatst.

Volgens de wet is er minder dan een maand de tijd om dit te doen.

5. U heeft het recht om de gegevens naar een ander verwerkingssysteem over te dragen

Met andere woorden, u als betrokkene heeft het recht om je gegevens naar een concurrent over te dragen. Dit recht geeft individuen meer macht om over te stappen naar een andere gegevensbeheerder/verwerker.

1. IS ER OVERWOGEN OF ECHT ALLE GEGEVENS NODIG ZIJN

Controleer wat voor soort persoonlijke gegevens er over u zijn opgeslagen. Zijn deze gegevens echt nodig? De beste manier voor een privacybewuste toekomst is om alleen het absolute minimum aan persoonlijke gegevens te verzamelen.

2. VERSLEUTEL ALLE PERSOONLIJKE GEGEVENS

Versleuteling versleutelt gegevens op een manier die ze onbegrijpelijk maakt voor degenen die niet over de decoderingssleutels beschikken. Het woord “versleuteling” wordt slechts 4 keer genoemd in de GDPR-tekst:

“…maatregelen implementeren om die risico’s te beperken, zoals versleuteling.” (P51. (83))

“…passende waarborgen, waaronder encryptie” (P121 (4.e))

“…waaronder onder meer, indien van toepassing: (a) de pseudonimisering en encryptie van persoonsgegevens.” (P160 (1a))

“…onbegrijpelijk voor iedereen die niet bevoegd is om er toegang toe te krijgen, zoals encryptie” (P163 (3a))

Maar wat als er een ​​legitieme reden is, zoals kostenefficiëntie of prestatieverlies, dat encryptie niet gebruikt kan worden als onderdeel van gegevensbeschermingsbeleid?

In zo’n geval moet er ofwel voldoende bewijs verzamelen zijn om de beweringen te staven of alternatieve methoden gebruikt zijn, zoals pseudonimisering.

3. BESCHOUW HTTPS ALS EEN ESSENTIEEL ONDERDEEL VAN UW AANVRAAG

“Contactformulieren” bevatten vaak persoonlijke gegevens zoals e-mails, telefoonnummers of huisadressen. Als deze informatie wordt opgeslagen en verstuurd als platte tekst, wordt de deur geopend voor hackers en kwaadwillende.

Is er encryptie gebruikt voor de “contactformulieren”. Informeer hoe u gegevens worden opgeslagen en voor hoe lang.

Controleer of HTTPS is gebruikt, een veilige versie van het HTTP-communicatieprotocol.

Het versleutelt alle gegevens die tussen u en een server worden verzonden met behulp van de SSL/TLS-cryptografische protocollen. Wanneer een gebruiker een HTTPS-verbinding aanvraagt, wordt er een SSL-certificaat naar hem/haar verzonden, dat de sleutel bevat die nodig is om de beveiligde verbinding te starten.

Daarom is het belangrijk om een ​​SSL-certificaat van een betrouwbare certificeringsinstantie te ontvangen en dat deze correct geïnstalleerd is. En het certificaat niet vatbaar is voor de kwetsbaarheden van het protocol.

4. ZIJN TOESTEMMINGSFORMULIEREN OP ORDE

Vergeet alle vooraf aangevinkte vakjes. Men kan niet langer wegkomen met impliciete, opt-out toestemming. De AVG vereist “een verklaring van duidelijke bevestigende actie” of “een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming van de gebruiker”.

Toestemmingsformulieren moeten standaard op “nee” staan ​​of leeg zijn. Op die manier dwingt u gebruikers niet om zich actief af te melden.

5. VRAAG SPECIFIEK NAAR DE DERDE PARTIJEN

Als persoonlijke gegevens wordt doorgegeven aan derden, dan moeten deze geïdentificeerd zijn en benoem worden in de toestemmingsformulieren.

6. ZIJN DE ALGEMENE VOORWAARDENOVEREENKOMST GESCHEIDEN VAN ANDERE TOESTEMMINGSFORMULIEREN

De Algemene Voorwaardenovereenkomst staan apart en heeft geen binding met enige vorm van verwerking van persoonlijke gegevens.

7. ZIJN DE ALGEMENE VOORWAARDENSECTIE ZEER ZICHTBAAR

Onder de AVG mogen de Algemene Voorwaarden niet langer verborgen of begraven zijn in de kleine lettertjes.

U moeten immers erkennen dat u de Algemene Voorwaarden hebt gelezen en ermee akkoord gaat voordat u toegang krijgt.

8. KIJK OF UW TOESTEMMING EENVOUDIG IN TE TREKKEN IS

Vanwege het nieuwe AVG-principe – heeft u het recht om vergeten te worden – en moet u zich op elk moment kunnen afmelden en u toestemming kunnen intrekken.

9. LET OP HET COOKIEBELEID

Het officiële AVG-document vermeldt cookies in de volgende context (overweging 30):

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren […] zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren […]. Dit kan sporen achterlaten die, met name in combinatie met unieke identificatoren en andere informatie die door de servers wordt ontvangen, kunnen worden gebruikt om profielen van de natuurlijke personen te maken en hen te identificeren.

Simpel gezegd, de cookies waarmee u wordt geïdentificeerd via je apparaten (advertentie-, analyse- en functionele cookies) vallen onder de AVG. Het gebruik van dergelijke cookies moet worden vermeden of er moet een wettelijke basis zijn voor het verzamelen en verwerken van persoonsgegevens:

Wettelijke verplichtingen.

Legitieme belangen (zolang ze geen inbreuk maken op individuele rechten).

Vereisten voor de uitvoering van een contract (d.w.z. het verzamelen van betalingsgegevens van contractanten).

Expliciete toestemming.

Volgens de AVG geeft het voor het eerst bezoeken van een website niet automatisch toestemming voor het verwerken van persoonsgegevens. Het weergeven van berichten als “Als u deze website gebruikt, accepteert u cookies” wordt niet beschouwd als een “vrijwillig gegeven toestemming” (Overweging 42).

Gedetailleerde toestemming is nog steeds van toepassing. Dus als men u gedrag wil volgen en u gegevens voor advertenties worden gebruikt , moet u toestemming geven voor elke activiteit.

Volgens de best practices van de AVG moet men u toestaan ​​u toestemming eenvoudig in te trekken. En de toegang voor gebruikers die hun toestemming onthouden, kunnen niet worden geblokkeerd. En nadat u bent uitgelogd, moeten de cookies en sessies vernietigen zijn/worden.

10. INFORMEER OVER LOGBOEKEN MET U IP-ADRESSEN

Controleer of systeem IP-adressen of locatiegegevens gebruikt zijn bij authenticatie. Als logboeken dergelijke gegevens bevatten, informeer dan naar de manier waarop ze opgeslagen zijn en hoe lang ze bewaard blijven. Vraag om versleuteling van de logs en zorg ervoor dat ze geen bijzonder gevoelige gegevens bevatten, zoals wachtwoorden.

11. ZIJN ALLE PERSOONLIJKE GEGEVENS VERWIJDERD NADAT ZE NAAR BETALINGSGATEWAYS ZIJN DOORGEGEVEN

Het gebruik van betalingsgateways betekent vaak dat er persoonlijke gegevens worden verzameld.

In de meeste gevallen blijven deze gegevens in systemen staan, wat illegaal is volgens de AVG. Een applicatie moet alle persoonlijke gegevens binnen een bepaalde periode verwijderen (bijv. 60 dagen).

12. ZIJN U GEBRUIKERSGEGEVENS VERWIJDERD TOEN U UITGESCHREVEN BENT

Volgens het recht om vergeten te worden van de AVG, ben u als gebruiker vrij om account te laten verwijderen, samen met al u persoonlijke gegevens. De taak van bedrijven is om duidelijk te laten zien dat deze gegevens inderdaad worden verwijderd en ook uit al de back-ups worden gewist.

Verstrekken van persoonsgegevens

Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dit verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Hiervoor gelden echter strenge eisen, waaraan niet snel zal worden voldaan.

1. Verstrekking moet verenigbaar zijn met doel
2. Bepalen of verstrekking verenigbaar is
3. Verstrekking is verenigbaar
4. Verstrekking is niet verenigbaar

Verstrekking moet verenigbaar zijn met doel

Wil een organisatie persoonsgegevens verstrekken aan een andere organisatie? Doorgaans zijn de persoonsgegevens niet (mede) met dat doel verzameld. Daarom zal dat vaak niet toegestaan zijn. Er moet immers een duidelijk doel zijn om persoonsgegevens te mogen verzamelen. En mogen de gegevens vervolgens niet voor een ander doel worden verwerkt (verstrekken is een vorm van verwerken). Dat is een van de hoofdregels voor de bescherming van persoonsgegevensen wordt ‘doelbinding’ genoemd.

Deze eis van doelbinding is streng, maar de AVG geeft wel wat ruimte: verdere verwerking van persoonsgegevens is toegestaan als die verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Dat houdt in dat er een concreet, logisch en nauw verband moet zijn tussen het oorspronkelijke doel en de verdere verwerking. En dat de verdere verwerking ook aansluit bij de verwachtingen van de betrokkene(n).

Is er voor de verstrekking van persoonsgegevens aan een andere organisatie geen toestemming gekregen van de betrokkene(n)? En volgt de verstrekking ook niet uit een wettelijke bepaling? Dan mogen de gegevens alleen worden verstrekt als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn.

Bepalen of verstrekking verenigbaar is

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

• Is er een verband met het doel waarvoor de gegevens zijn verzameld?
• Binnen welk kader zijn de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen de organisatie en de betrokkene(n)?
• Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
• Wat zijn de (mogelijke) gevolgen van een verstrekking?
• Zijn er passende waarborgen, zoals versleuteling of pheudonimisering van de gegevens?
• Wat zijn de verwachtingen van de betrokkene(n)?

Verstrekking van persoonsgegevens aan een andere organisatie zal hier echter niet snel aan voldoen. Want vaak:

• staat het doel van de verstrekking of van die andere organisatie juist ver af van het oorspronkelijke doel;
• kan verstrekking aan een andere organisatie juist wel vergaande gevolgen hebben;
• kan verstrekking voor de betrokkene(n) verrassend kan zijn. 

Verstrekking is verenigbaar

Is de verstrekking van persoonsgegevens toch verenigbaar? Dan mogen de gegevens verstrekt worden. Als dit op basis van dezelfde grondslag gebeurt als de grondslag op basis waarvan de gegevens verzameld zijn. Dan is er dus geen nieuwe grondslag nodig voor de verstrekking van de gegevens.

Verstrekking is niet verenigbaar

Is de verstrekking van persoonsgegevens niet verenigbaar? Dan mogen de gegevens alleen verstrekken als de betrokkene toestemming geeft om de gegevens (ook) voor de nieuwe doelstelling te verwerken. Of als de wetgever met het oog op specifieke, zwaarwegende belangen bepaald heeft dat de al verzamelde gegevens ook voor andere doeleinden mogen worden gebruikt. 

Het verzamelen of delen van andermans persoonsgegevens om die persoon te intimideren is sinds 1 januari 2024 strafbaar. Dit wordt ook wel doxing genoemd. De overheid neemt verschillende maatregelen om doxing tegen te gaan.

Persoonlijke informatie delen strafbaar

Vanaf 1 januari 2024 is doxing strafbaar. Doxing komt veel voor en heeft vaak grote impact. Zeker als privégegevens op het internet blijven staan. Slachtoffers kunnen bijvoorbeeld hun werk niet meer normaal doen of voelen zich thuis niet meer veilig. Doxing is vaak gericht tegen journalisten, politici, rechters of hulpverleners. Maar ook andere mensen kunnen ermee te maken krijgen.

Een adres of telefoonnummer delen om iemand bang te maken of lastig te vallen?

Sinds 1 januari 2024 is dat officieel strafbaar.
Deze vorm van criminaliteit noemen we doxing.
Doxing betekent het delen van persoonsgegevens om iemand te intimideren.

Dat komt van dropping docs. Documenten lekken, dus.

Denk aan het delen van een telefoonnummer,  
informatie over iemands werk of een adres.

Hoe doxers aan die gegevens komen?
Bijvoorbeeld via sociale media of online registers.

Veel gegevens zijn vindbaar.

Het doel van het delen?
Iemand lastigvallen of intimideren.

Doxing kan grote gevolgen hebben voor slachtoffers.

Ze voelen zich vaak angstig en onveilig en dat kan lang duren.
Zeker als de gegevens op het internet blijven staan.

Slachtoffers kunnen beroemdheden, politieagenten, hulpverleners, politici…
en journalisten zijn.

Iemand is het dan niet eens met hun mening of wat ze doen…
en verspreidt privé-informatie.

Maar ook andere mensen kunnen ermee te maken krijgen.

Misschien heb je ruzie met iemand en  deelt diegene je adres op het internet?  

Of heb je een boze ex die een intieme foto van jou verspreidt via WhatsApp…
met je telefoonnummer erbij?

Misschien krijg je zo’n bericht wel  eens doorgestuurd van iemand?

Dat mag dus niet.
Sinds 1 januari 2024 kan doxing leiden  tot een gevangenisstraf of een geldboete.

Ben je zelf slachtoffer van doxing, dan  kun je aangifte doen bij de politie.
Die probeert de dader te vinden.

Het helpt om screenshots te maken en tekstberichten en e-mails te bewaren.

Je kunt ook proberen de informatie offline te halen.

Doe dat zelf bij het online platform.

Of vraag hulp bij HelpWanted.
Zoek ook steun bij familie, vrienden of de huisarts.

Weten wat je zelf kunt doen tegen doxing of hoe je een slachtoffer helpt?

Ga naar rijksoverheid.nl/doxing

Maatregelen tegen doxing

Vanaf 1 januari 2024 zijn er meer mogelijkheden om doxing te bestrijden. Zo kunnen:

• slachtoffers aangifte doen van doxing;
• daders makkelijker vervolgd en bestraft worden;
• politie en het Openbaar Ministerie na een aangifte direct een opsporingsonderzoek starten. Eerder kon dit alleen als er ook andere strafbare feiten waren gepleegd, zoals bedreiging;
• slachtoffers gerichter hulp krijgen bij het verwijderen van gegevens, bijvoorbeeld via HelpWanted of door een bevel van de officier van justitie;
• platforms makkelijker beoordelen of persoonsgegevens verwijderd moeten worden.

Maximale straf voor doxing

Voor doxing staat maximaal 2 jaar gevangenisstraf of een geldboete van € 22.500. De maximale gevangenisstraf kan met een derde verhoogd worden, als de doxing gericht is tegen personen met een specifiek beroep. Zoals politici, rechters, journalisten of hulpverleners. 

Doxing, ofwel het delen van iemands persoonsgegevens met als doel deze persoon te intimideren. We zien het steeds vaker en in steeds extremere vormen. Tegen politieagenten, journalisten, hulpverleners, politici. De mensen die dagelijks strijden voor onze veiligheid en onze rechtsstaat kunnen hierdoor niet meer onbezorgd hun mening verkondigen, of zijn niet meer in staat hun werk te doen. Maar ook andere mensen krijgen ermee te maken. Denk bijvoorbeeld aan iemand met een boze ex, die erachter komt dat persoonlijke gegevens online zijn gedeeld om hen angst aan te jagen. Daar mag je niet zomaar mee wegkomen. Daarom is doxing vanaf nu strafbaar.

Wat betekent dit? 

Heel concreet betekent het strafbaar stellen het volgende: als je iemand doxt, bijvoorbeeld om diegene bang te maken, veel last te bezorgen, of moeilijkheden te geven in hun werk, dan kun je daarvoor een gevangenisstraf of een geldboete krijgen.

Doe je dit bij mensen met bepaalde specifieke beroepen, zoals journalisten, advocaten, of politieagenten, dan kan dat ertoe leiden dat je straf zwaarder wordt.

Waarom is deze wet zo belangrijk? 

We leven in een land waarin iedereen het recht heeft om zijn of haar mening te uiten. Als je dat doet en je vrijheden vervolgens worden ingeperkt omdat je gegevens op straat komen te liggen, dan mogen we dat niet accepteren. Veel intimiderend gedrag is al strafbaar, maar het delen van persoonsgegevens was dat niet. Tot nu dus! Met deze nieuwe wet kunnen politie en Openbaar Ministerie eerder en makkelijker optreden tegen doxing.

Als jij gedoxt wordt, bedenk dan dat je er niet alleen voor staat. Zoek hulp en doe in elk geval aangifte bij de politie.

Het gebruik van data voor Intelligentie , een systeem dat generatieve AI gebruikt om onze ervaringen te verbeteren. Echter hoe kan de privacy behouden worden bij het gebruik van AI-tools, die vaak kunnen leiden tot grotere risico’s voor persoonlijke gegevens. Het gaat om het verwerken van gebruikersgegevens en het vragen om geïnformeerde toestemming. Intelligentie in een breder gesprek over hoe het ware potentieel van persoonlijke AI-agenten kan worden ontsloten.

En hoe we gebruikersgegevens veilig houden bij het gebruik van AI-tools. Indien mogelijk zal de verwerking daarvan gedaan worden op de smartphone zelf worden uitgevoerd in plaats van naar een datacenter te worden gestuurd, waar de kans op een datalek groter is. Voor verzoeken die meer vermogen vereisen, zou een privécloudnetwerk gecreëerd worden voor verwerking buiten smartphone , waar alleen de gebruiker zelf toegang toe tot zou hebben. Een buurt cloud die gegevens in de directe omgeving van de gebruiker verwerkt.

Waarbij verschillende AI-tool kunnen worden ingezet zoals OpenAI, dat complexere verzoeken kan verwerken. Gebruikers moeten echter expliciet toestemming geven voor het gebruik van OpenAI, wat betekent dat ze volledig op de hoogte zijn van wie de antwoorden komen en hoe de gegevens worden verwerkt.

Een opwindende stap voorwaarts in AI voor persoonlijk gebruik en in het garanderen dat AI-tools veilig worden gebruikt. Beperkingen in de manier waarop gegevens momenteel worden opgeslagen, door de meeste systeemhuizen, betekenen echter dat het gebruik geïsoleerd is en beperkt tot een paar veelvoorkomende use cases.

De kracht komt voort uit het gebruik ervan in een persoonlijke context: de tool kan je e-mails en berichten doorneemt en informatie synthetiseert, of zelfs ideeën of content genereert. De gegevens verwerking, is echter beperkt tot de gegevens die op het mobiele apparaat zijn opgeslagen: de AI-agent zou veel krachtiger zijn als deze persoonlijke gegevens uit andere contexten zou kunnen gebruiken, zoals financiële gegevens, medische gegevens of winkelgeschiedenis.

Een mechanisme om extra context te gebruiken om AI-uitvoer te formeren, kan door de query naar een AI-tool als OpenAI te sturen, maar deze tool gebruikt internetkennis die is verzameld door het internet te scrapen en biedt geen manier om geselecteerde persoonlijke gegevens te gebruiken voor extra context. Als gevolg hiervan is de kwaliteit en reikwijdte van de gegevens die worden gebruikt beperkt.

Hoewel een aantal basismechanismen voor toestemming gebruikt worden om OpenAI een verzoek te laten verwerken, kunnen gebruikers alleen in- of uitschrijven voor een dergelijke service: ze kunnen geen gedetailleerde toestemming geven waarin sommige gegevens kunnen worden gebruikt en andere gegevens niet.

De beperkingen in de mogelijkheden van AI-technologie komen niet voort uit de AI-tools zelf, maar uit fundamentele hiaten in de huidige datapraktijken en infrastructuren. Door gegevens te koppelen aan applicaties beperken we onze blik en kunnen we alleen diensten afnemen op basis van de gegevens waarvoor we toestemming hebben gegeven.

In plaats van een AI-agent te creëren die beperkt is tot één tool, en dus beperkt tot een paar diensten, zouden we moeten investeren in interoperabele datawallets. Deze wallets maken het mogelijk om data te hergebruiken op apparaten, applicaties en diensten, en ontsluiten nieuwe waarde voor zowel individuen als organisaties. Met een interoperabele data wallet kan een AI-agent toegang krijgen tot alle data van een gebruiker via een aantal services, en weloverwogen aanbevelingen doen, helpen bij het invullen van formulieren of het delen van vertrouwelijke gegevens met een vertrouwde provider.

De sleutel tot interoperabele data wallets is het standaardiseren van de onderliggende protocollen, datamodellen en interfaces. Solid, een W3C-standaard, kan dit nieuwe dataparadigma mogelijk maken en ondersteunen.

Het Solid-protocol legt al de basis voor interoperabele data wallets en veilig delen van data, en drijft een datamodel aan dat zowel voor organisaties als individuen aantrekkelijk is.

Wat zijn gevoelige persoonlijke gegevens?

De AVG (Algemene Verordening Gegevensbescherming) maakt onderscheid tussen ‘persoonsgegevens’ en ‘gevoelige persoonsgegevens’.

Hoe ze verschillen en wat je moet weten over gevoelige gegevens als deze worden verwerkt.

Wat zijn ‘persoonsgegevens’ onder de AVG?

De Verordening definieert ‘persoonsgegevens’ als:

Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”).

Met andere woorden: alle informatie die duidelijk over een bepaalde persoon gaat.

Afhankelijk van de omstandigheden kan dit alles omvatten, van iemands naam tot zijn fysieke verschijning.

Eerder hebben we meer uitgelegd over persoonlijke gegevens en het belang ervan.

Wat zijn ‘gevoelige persoonsgegevens’?

In de meest basale definitie zijn gevoelige gegevens een specifieke reeks ‘speciale categorieën’:

Genetische gegevens
Politieke meningen
Ras of etnische afkomst
Gegevens over gezondheid
Lidmaatschap van een vakbond
Religieuze of filosofische overtuigingen
Gegevens over seksleven of seksuele geaardheid
Biometrische gegevens (indien verwerkt om iemand uniek te identificereny)

Wanneer mogen gevoelige gegevens worden verwerkty?

Artikel 9 van de AVG verbiedt de verwerking van bijzondere gegevens, tenzij men zich kan beroepen op een vrijstelling.

Net als bij niet-gevoelige persoonsgegevens, zoals namen en adressen, mogen gevoelige gegevens alleen verwerken als men zich daarvoor kan beroepen op een wettelijke grondslag (op grond van artikel 6):

Toestemming
Publieke taak
Vitale belangen
Wettelijke verplichting
Gerechtvaardigde belangen
Contractuele verplichting

De zes rechtsgrondslagen nader toegelicht.

Voor gevoelige gegevens legt de AVG echter extra regels op: er moet een wettelijke grondslag op grond van artikel 9 zijn en deze moet worden gedocumenteerd.

Wat zijn de wettige grondslagen op grond van artikel 9?

Er mag alleen gevoelige informatie worden verwerkt als een uitzondering genoemd onder artikel 9 van toepassing is.

Hieronder hebben we ze opgesomd, waar mogelijk gegroepeerd op relevantie voor de wettelijke grondslagen van artikel 6.

Toestemming

U heeft uitdrukkelijk toestemming gegeven voor de verwerking.

Publieke taak

De verwerking is noodzakelijk voor een ‘wezenlijk’ publiek belang.
De verwerking is noodzakelijk om taken van algemeen belang op het gebied van de volksgezondheid te voltooien, zoals de bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of het waarborgen van hoge normen voor de kwaliteit en veiligheid van de gezondheidszorg, of van geneesmiddelen of hulpmiddelen.
De verwerking is noodzakelijk voor archiveringsdoeleinden van algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden.

Vitale belangen

De verwerking is noodzakelijk om de vitale belangen van een individu te beschermen.

Wettelijke verplichting

De verwerking is noodzakelijk om verplichtingen uit te voeren of de rechten van de betrokkene uit te oefenen op het gebied van arbeidsrecht, sociale zekerheid en/of sociale bescherming.
De verwerking is noodzakelijk om juridische claims vast te stellen, uit te oefenen of te verdedigen.
Verwerking is noodzakelijk voor een rechtbank om in haar rechterlijke hoedanigheid te kunnen optreden.

Ander

De betrokkene heeft de gegevens ‘kennelijk’ openbaar gemaakt.
De verwerking maakt deel uit van legitieme activiteiten of een non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel.
De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, of een medische diagnose.
De verwerking is noodzakelijk om de arbeidsgeschiktheid van een medewerker te beoordelen.
Verwerking is noodzakelijk om gezondheidszorg- of socialezorgsystemen en -diensten te kunnen leveren.

Daar buiten zijn er in de Europese Unie verdere voorwaarden of beperkingen voor de verwerking van gevoelige gegevens – de bovenstaande lijst weerspiegelt alleen de vereisten van de EU AVG.

De NAVO-Bondgenoten zijn overeengekomen een nieuw centrum op te richten om zich beter te kunnen beschermen tegen steeds geavanceerdere cyberdreigingen.

Het NAVO Integrated Cyber ​​Defense Center (NICC) zal de bescherming van NAVO- en bondgenootschappelijke netwerken en het gebruik van cyberspace als operationeel domein verbeteren. Het Centrum zal informeren over mogelijke dreigingen en kwetsbaarheden in cyberspace, inclusief particuliere civiele kritieke infrastructuren die nodig zijn om activiteiten te ondersteunen.

Het Centrum zal civiel en militair personeel uit de hele NAVO-onderneming, de geallieerde landen en deskundigen uit de industrie samenbrengen. Het zal gebruik maken van geavanceerde technologieën om ons situationeel bewustzijn in cyberspace te vergroten en de collectieve veerkracht en defensie te verbeteren.

In overeenstemming met de gedeelde waarden en internationale verplichtingen van de Bondgenoten zal het Centrum een ​​op normen gebaseerde, voorspelbare en veilige benadering van cyberspace bevorderen.

Cyberbedreigingen voor de veiligheid zijn complex, destructief en dwingend, en komen steeds vaker voor. Cyberspace wordt te allen tijde betwist en kwaadaardige cybergebeurtenissen vinden elke dag plaats, van aanvallen op laag niveau tot technologisch geavanceerde aanvallen. Reageren door het vermogen te versterken om kwaadaardige cyberactiviteiten op te sporen, te voorkomen en erop te reageren. Daarbij vertrouwen we op een sterke en veerkrachtige cyberdefensie om de drie kerntaken: afschrikking en verdediging, crisispreventie en -beheersing, en coöperatieve veiligheid. Het moet voorbereid zijn om netwerken en operaties te verdedigen tegen de toenemende verfijning van de cyberdreigingen waarmee het wordt geconfronteerd.

De focus op het gebied van cyberdefensie ligt op het beschermen van netwerken, het opereren in cyberspace, het helpen om veerkracht te vergroten en het bieden van een platform overleg en collectieve actie.

Cyberspace staat voortdurend ter discussie, omdat kwaadaardige actoren steeds vaker proberen landen te destabiliseren door kwaadwillige cyberactiviteiten en -campagnes in te zetten. Potentiële tegenstanders proberen kritieke infrastructuur te degraderen, zich te bemoeien met overheidsdiensten, inlichtingen te verkrijgen, intellectueel eigendom te stelen en activiteiten te belemmeren. Het actief bestrijden van het groeiende aantal substantiële en aanhoudende cyberdreigingen, voor democratische systemen en kritieke infrastructuren.

Hoe DORA de financiële toekomst van ons allemaal versterkt met een nieuwe kijk op operationele veerkracht

Over iets meer dan een half jaar komen we, oog in oog komen te staan ​​met de Digital Operational Resilience Act (DORA). De nieuwste poging om ​​diensten met elkaar te verweven.

DORA streeft ernaar de gefragmenteerde digitale waarborgen te verenigen

Hoe groot en ingewikkeld ook, DORA is een nieuw kader dat is opgesteld om vooral de digitale operationele veerkracht te versterken.

Op 17 januari volgend jaar, moeten we zo in staat zijn te bewijzen en in de praktijk te brengen dat we verstoringen of bedreigingen kunnen voortkomen, weerstaan, erop reageren en ervan te herstellen.

Hoewel de financiële dienstverlening nog steeds een van de sterkst gereguleerde en streng gecontroleerde sectoren ter wereld is, is het misschien ook wel een van de snelst evoluerende. En daarmee moet elke poging om een ​​nieuwe manier van doen te introduceren zeer berekend, breed toepasbaar en grondig doordacht zijn.

Het concept werd met name voor het eerst op de agenda gezet, toen de Europese Commissie het belang benadrukte van een operationeel veerkrachtige financiële sector, evenals de potentiële gevolgen van de besmetting van ICT-gerelateerde verstoringen, cybercriminaliteit en andere digitale gevaren.

Dit werd gevolgd door een oproep van de Europese Bankenautoriteit (EBA) voor een coherente aanpak van ICT-risico’s in de financiële sector, met onder meer een effectief raamwerk voor risicobeheer dat tijdige incidentrapportage en risico’s van derden kan ondersteunen. verzachting.

In september 2020 werd het eerste ontwerp van DORA gepubliceerd, als onderdeel van het bredere pakket voor digitale financiën, voordat het raamwerk in januari 2023 juridisch bindend werd, met een implementatieperiode van twee jaar.

Nu de implementatieperiode langzaam maar zeker ten einde loopt, hebben bedrijven de opdracht gekregen om de basis te leggen voor een reeks maatregelen gericht op het waarborgen van de continuïteit van ICT-systemen, gezonde integraties van derden en een sector zonder fraude.

Voor DORA betekent digitale operationele veerkracht eenvoudigweg “het vermogen van een financiële entiteit om haar operationele integriteit en betrouwbaarheid op te bouwen, te verzekeren en te herzien door, direct of indirect, door gebruik te maken van diensten die worden geleverd door externe ICT-dienstverleners, de het volledige scala aan ICT-gerelateerde capaciteiten die nodig zijn om de veiligheid te garanderen van de netwerk- en informatiesystemen die een financiële entiteit gebruikt, en die de voortdurende levering van financiële diensten en de kwaliteit ervan ondersteunen, ook tijdens verstoringen”.

De implementatie van deze maatregelen is er niet alleen op gericht om het voor financiële toezichthouders gemakkelijker te maken om specifieke zwakke punten in de sector op te sporen, maar ook om de middelen te bieden om risico’s te identificeren die buiten de grenzen van de regelgeving komen, met cloud- en andere technologiedienstverleners worden benadrukt in de focus.

Onder DORA moeten financiële bedrijven “een pakket documenten presenteren waaruit blijkt dat ze klaar zijn om te herstellen van verstoring wanneer deze zich voordoen”.

Risicobeheer komt als de eerste van de drie. Hierin onderstreept DORA de oprichting van een raamwerk voor ICT-risicobeheer, dat “strategieën, beleid, procedures, ICT-protocollen en hulpmiddelen moet omvatten die nodig zijn om alle informatiemiddelen en ICT-middelen naar behoren en adequaat te beschermen”, om de continuïteit van de dienstverlening te garanderen. in geval van schade en/of onbevoegde toegang.

DORA benadrukt dat dit raamwerk “passend moet zijn bij de omvang van de operaties”doormiddel van intensieve trainingsprogramma’s, juridische en regelgevende experts inzet en geavanceerde technologische oplossingen implementeert om effectief aan de wettelijke normen te voldoen.”

Het gaat erom waar data voor worden gebruikt en wat de impact kan zijn van het niet beschikbaar zijn van deze data, communicatie en veerkracht. Dit is een zeer bewuste aanpak van de toezichthouders.

Veerkracht heeft alles te maken met de veronderstelling dat een cyberaanval werkelijkheid zal worden, daar kun je niet omheen. En hoe zeker de cyberbeveiligingsprogramma’s zijn, aanvalsscenario’s zullen vruchten afwerpen.

“DORA is dus eigenlijk gebaseerd op de veronderstelling dat de aanval ooit succesvol zal zijn.”

De belofte van continuïteit van de dienstverlening door middel van reputatievoordelen zou veel groter kunnen zijn dan de implementatiekosten die bedrijven maken bij hun voorbereidingen op DORA.

Deze voordelen, zullen zich niet alleen uitstrekken tot de eindgebruikers, maar ook tot partnerschappen met derden.

Derde partijen zullen minder bereid zijn samen te werken als dit niet serieus wordt genomen en er niet wordt gekeken hoe de risico’s in de toeleveringsketen kunnen worden beheerst.

Er valt ongetwijfeld veel te doen om vóór januari volledige naleving van DORA te bewerkstelligen, en hoewel de voorbereidingen ongetwijfeld van bedrijf tot bedrijf zullen verschillen, zullen ze allemaal op het juiste moment te maken krijgen met dezelfde oproep om de problemen op te lossen. Want nu zijn er geen storingen meer en is veerkrachtig zijn de nieuwe naam van het spel.

Kunstmatige intelligentie (AI) brengt beide risico’s met zich mee, maar biedt ook een unieke kans om impliciete systematische discriminatie te bestrijden.

In het publieke discours over AI en de bijbehorende risico’s van discriminatie wordt vaak over het hoofd gezien dat menselijke beslissingen onbewust gebaseerd kunnen zijn op niet-objectieve criteria.

Als gevolg hiervan komen vormen van impliciete systematische discriminatie voor in de meeste grote organisaties. HR-beslissingen die ‘op instinct’ worden genomen, kunnen bijvoorbeeld gebaseerd zijn op ondoordachte voorkeuren. Onderzoek heeft aangetoond dat we de neiging hebben om meer vaardigheden toe te schrijven aan mensen die we aantrekkelijk vinden. Dit en andere besluitvormingstools kunnen leiden tot vooroordelen die discriminerende resultaten veroorzaken.

Bovendien kunnen irrelevante criteria zoals onze eigen huidige staat van welzijn ook van invloed zijn op onze besluitvorming. Zo kunnen de vonnissen van rechters in strafrechtbanken variëren, afhankelijk van of ze vóór of na de lunch worden uitgesproken. Deze niet-objectieve factoren, bekend als ‘ruis’, dragen bij aan discriminerende resultaten.

Het risico is dat AI-gestuurde automatisering van besluitvormingsprocessen kan leiden tot de proliferatie van dergelijke discriminerende effecten als de AI-systemen worden getraind met gegevens van eerdere menselijke beslissingen. Tegelijkertijd kan dit risico worden gecompenseerd door de enorme kans om menselijke discriminatie in al zijn vormen aanzienlijk te verminderen door middel van een goede kwaliteitscontrole van de trainingsgegevens. In de regel neemt de mate van statistische onjuistheid af (wordt steeds meer “genormaliseerd”) met het volume en het aantal trainingsgevallen.

Om het doel van het verminderen van menselijke discriminatie te bereiken, is het noodzakelijk om de impliciete discriminatie die ten grondslag ligt aan de trainingsgegevens transparant te maken. Hiervoor is vaak het verzamelen van gevoelige gegevens over de betrokkenen vereist, waarvan de gegevens deel uitmaken van de trainingsgegevens. Dit omvat onder andere de religieuze overtuiging of seksuele geaardheid van de betrokkenen.

Het verwerken van gevoelige gegevens met het oog op de bestrijding van discriminatie roept echter juridische zorgen op onder de Algemene Verordening Gegevensbescherming (AVG). Dit komt omdat de AVG nog steeds uitgaat van de veronderstelling dat discriminatie op basis van gevoelige gegevens zoals seksuele geaardheid of etniciteit voorkomen kan worden door in de eerste plaats geen gevoelige gegevens te verzamelen, wat grotendeels een “ik zie geen kleur”-benadering is. We bespreken dit onderwerp uitgebreider in ons artikel.

Met de AI Act heeft de EU-wetgever voor het eerst erkend dat deze veronderstelling onjuist is. De wet staat uitdrukkelijk het gebruik van gevoelige gegevens toe voor zover dit absoluut noodzakelijk is om discriminerende vooroordelen in AI-systemen met een hoog risico tegen te gaan. Deze AI-systemen met een hoog risico omvatten met name AI-systemen die werkgerelateerde beslissingen ondersteunen, bijvoorbeeld door werknemers te evalueren.

De AI Act staat de verwerking van gevoelige gegevens alleen toe onder strikte aanvullende voorwaarden. Deze voorwaarden geven prioriteit aan het beschermen van de belangen van de betrokkenen onder de wetgeving inzake gegevensbescherming.

Meer specifiek moet het gebruik van gevoelige gegevens noodzakelijk zijn voor het detecteren en corrigeren van vooroordelen. Synthetische of geanonimiseerde gegevens zijn hiervoor niet voldoende. Bovendien moeten gevoelige gegevens worden beschermd door de hoogste veiligheidsmaatregelen. Dit omvat strikte toegangscontrole en documentatie van alle toegangen. Bovendien moeten de gevoelige gegevens gepseudonimiseerd worden, zodat de betrokkenen niet direct geïdentificeerd kunnen worden. Tot slot mogen de gevoelige gegevens niet aan derden worden overgedragen en moeten ze worden verwijderd zodra ze niet langer nodig zijn voor het detecteren en corrigeren van vooroordelen. Dit alles moet op de juiste manier worden gedocumenteerd. De AI-wet maakt het gebruik van gevoelige gegevens mogelijk om discriminatie te bestrijden. Deze paradigmaverschuiving is een uiting van een fundamenteel optimisme dat onze maatschappelijke realiteit op een duurzame manier kan worden verbeterd door middel van goed gereguleerde AI. In het bijzonder zal de AI-wet toestaan ​​dat AI-systemen met een hoog risico die worden gebruikt bij werkgerelateerde beslissingen, worden getraind met behulp van gevoelige gegevens binnen de bovengenoemde grenzen om niet-discriminerende beslissingen mogelijk te maken.

Onze bezadigde wereld, traditioneel datagestuurd en risicomijdend, wordt geconfronteerd met een mogelijke paradigmaverschuiving. 

Kunstmatige intelligentie.

* Hoe generatieve AI werkstromen stroomlijnt, risicobeoordeling verbetert en zelfs producten personaliseert.

* Uitdagingen en overwegingen, waaronder databias en de verklaarbaarheid van AI-beslissingen.

* Praktische generatieve AI en de implementatie van generatieve AI-oplossingen.

* Potentiële langetermijnimpact van generatieve AI en de rol ervan bij het vormgeven van een efficiëntere toekomst.

De moderne wereld wordt geconfronteerd met een groot aantal uitdagingen. Oudere systemen kunnen omslachtig zijn, data-analyses zijn vaak tijdrovend en het nauwkeurig inschatten van risico’s in een dynamische wereld wordt steeds complexer.

Generatieve AI biedt een potentiële oplossing met het vermogen om grote hoeveelheden gegevens te verwerken en nieuwe inzichten te creëren. Op welke gebieden gebruiken we generatieve AI om uitdagingen aan te pakken en mogelijk activiteiten te transformeren.

Verbeterde efficiëntie en productiviteit, klantenservice, kostenbesparingen, groeimogelijkheden.

De grootste kostenbesparingen zullen waarschijnlijk echter voortkomen uit het gebruik van generatieve AI bij de automatisering. Het vermogen van AI om gegevens te analyseren en inzichten te genereren zou de kosten aanzienlijk kunnen verlagen.

Generatieve AI kan enorme hoeveelheden informatie analyseren die verder gaat dan de gebruikelijke bronnen. Stel je voor dat je weerpatronen, verkeersgegevens en zelfs sociale-media-activiteiten (met de juiste toestemming) opneemt om een ​​uitgebreider beeld te creëren.

Dit maakt genuanceerdere risicoprofielen mogelijk, waardoor mogelijk deuren worden geopend voor voorheen onverzekerbare demografische groepen en tot eerlijkere prijzen voor iedereen.

Generatieve AI werkt perfect bij het analyseren van een schat aan gegevens, waaronder demografische gegevens, het gebruik van smart home-apparaten en data uit het verleden, om automatisch op maat gemaakte producten te genereren. Dit zou kunnen leiden tot relevantere opties, waardoor mogelijk de kosten met een laag risico kunnen worden verlaagd en ervoor kan worden gezorgd dat de producten daadwerkelijk individuele behoeften weerspiegelen.

24/7 klantenservice en betrokkenheid altijd en overal beschikbaar.

Genatieve AI kan chatbots aandrijven die 24 uur per dag vragen kunnen beantwoorden, afspraken kunnen plannen en zelfs gepersonaliseerde aanbevelingen kunnen geven op basis van individuele behoeften.

Generatieve AI kan datasets analyseren om potentiële risico’s te identificeren voordat ze zich voordoen. Stel je voor dat generatieve AI weerpatronen voorspelt.

U proactief informeert en preventieve maatregelen aanbied, waardoor toekomstige ongelukjes geminimaliseerd worden, en we een proactieve en risico bewuste leven opbouwen.

Hoewel generatieve AI veel voordelen lijkt te hebben, brengt de implementatie ervan ook hindernissen met zich mee.

Gegevenskwaliteit en beschikbaarheid: Generatieve AI gedijt op hoogwaardige, diverse datasets. Er moet veel geïnvesteerd worden in het verzamelen en opschonen van gegevens om nauwkeurige en onbevooroordeelde AI-modellen te garanderen.

Begrijpen hoe AI-modellen tot beslissingen komen is van cruciaal belang. Zonder transparantie kan het een uitdaging zijn om door AI gegenereerde aanbevelingen te vertrouwen, vooral voor kritieke taken zoals risicobeoordeling.

Het garanderen van naleving van de regelgeving op het gebied van gegevensprivacy en ethische AI-praktijken vereist zorgvuldige overweging bij de implementatie van generatieve AI-oplossingen.

AI-modellen kunnen maatschappelijke vooroordelen in hun trainingsgegevens gebruiken. We moeten waakzaam zijn bij het verminderen van vooringenomenheid om een ​​eerlijke en ethische behandeling voor iedereen te garanderen.

De uitdagingen bij het implementeren van generatieve AI zijn reëel maar beheersbaar.

Investeer in dataverzamelingsstrategieën die hoogwaardige, diverse datasets verzamelen. Reinig en onderhoud gegevens regelmatig om vertekening te minimaliseren en de nauwkeurigheid van AI-modellen te garanderen.

Ontwikkel interpreteerbare AI-modellen die menselijk toezicht en begrip van het besluitvormingsproces mogelijk maken. Dit schept vertrouwen en transparantie in door AI gegenereerde aanbevelingen.

Werk samen met juridische en regelgevende experts om ervoor te zorgen dat de regelgeving voor gegevensprivacy en ethische AI-praktijken gedurende het hele implementatieproces worden nageleefd.

Overweeg een gefaseerde aanpak in plaats van een volledige revisie. Begin met het integreren van generatieve AI-oplossingen met specifieke processen binnen bestaande systemen om verstoringen te minimaliseren en een soepele transitie te garanderen.

Informeer over generatieve AI en de mogelijkheden ervan. Bevorder een cultuur van verantwoord AI-gebruik waarin eerlijkheid, transparantie en ethische overwegingen prioriteit krijgen in alle fasen van de implementatie.

Generatieve AI is een snel evoluerend vakgebied en de impact ervan op is nog maar net begonnen.

Generatieve AI zou de creatie van ultra-op maat gemaakte producten mogelijk kunnen maken die zijn afgestemd op individuele risicoprofielen en zelfs realtime situaties.

Generatieve AI kan worden gebruikt om zeer realistische simulaties te maken van potentiële risico’s, zoals natuurrampen of cyberaanvallen. Dit zou kunnen leiden tot nauwkeurigere risicobeoordelingen en de ontwikkeling van innovatieve producten om opkomende bedreigingen te beperken.

Generatieve AI zou mogelijk complexe taken kunnen automatiseren die momenteel door mensen worden afgehandeld, zoals de reconstructie van een scène of het beoordelen van. Hoewel menselijke expertise waarschijnlijk cruciaal blijft, zou AI het processen aanzienlijk kunnen versnellen.

Generatieve AI zou een cruciale rol kunnen spelen in de groei die gebruik maakt van blockchain en andere disruptieve technologieën.

Stelt u zich een toekomst voor waarin producten naadloos in ons dagelijks leven integreren, zich proactief aanpassen aan onze behoeften en realtime bescherming bieden. Generatieve AI zou een tijdperk van zeer gepersonaliseerde, efficiënte en toegankelijke producten voor iedereen kunnen inluiden. Het is echter van cruciaal belang om te onthouden dat ethische overwegingen en verantwoorde ontwikkeling voorop blijven staan.

Als we onze focus op transparantie, eerlijkheid en menselijk toezicht houden, kan generatieve AI een krachtig hulpmiddel worden Wat zorgt voor een veiligere en veerkrachtigere toekomst, waarbij we ervoor zorgen dat vooruitgang altijd in ons belang is.

Uw smartphone kan gegevens delen met je verzekeringsmaatschappij

Hoe we rijden, is iets wat onze verzekeringsmaatschappij graag zou willen weten, en sommige bestuurders geven die informatie graag op in de hoop lagere premie te betalen. Maar zelfs zonder je toestemming wordt je rijgedrag gedeeld via je smartphone en niet altijd met je toestemming.

Een OBD-sensor die wordt gebruikt om je gedrag als bestuurder te monitoren. Blijkt door autofabrikanten gebruikt om gegevens te verzamelen over het rijgedrag van miljoenen automobilisten. Verzekeraars gebruikten de informatie op hun beurt om tarieven vast te stellen. In de meeste gevallen bleek dat chauffeurs geen idee hadden dat ze werden gemonitord.

Na de onthulling beloofde autofabrikanten dat ze zou stoppen met het monitoren van de eigenaren van de door hun verkochte auto’s. Maar dat betekent niet dat het rijgedrag niet wordt gemonitord en verkocht aan verzekeringsmaatschappijen, waarschijnlijk ook nog zonder je medeweten. In dit geval blijkt dat de leverancier van deze gegevens je smartphone is.

Daarbij zijn er een toenemend aantal smartphone-apps die je rijgeschiedenis volgen en gegevens delen met verzekeringsmaatschappijen.

Omdat de verzekeringssector, hongerig is naar inzichten in hoe we rijden, waarvoor ze zich hebben gewend tot autofabrikanten en smartphone-apps om je rijgedrag te volgen. De informatie die wordt verzameld kan onder meer betrekking hebben op de vraag of je te hard rijdt, of je de neiging hebt om op de rem te trappen, zelfs of je de neiging heeft om tijdens het rijden op uw telefoon te kijken.

Een aantal smartphone-apps kunnen die gegevens nu bijhouden opslaan op je smartphone en op een geschikt moment doorgeven aan de verzekeringsmaatschappijen.

Verschillende apps kunnen je gedrag volgen, waarvan sommige je misschien verrassen. Bijvoorbeeld een dienst die is ontworpen om je te helpen de beste plekken te vinden om goedkoop te tanken door de brandstofprijzen bij nabijgelegen tankstations weer te geven. Maar het biedt verschillende andere functies, waaronder de mogelijkheid om uw brandstofefficiëntie te vergroten. Daarbij wordt aan de hand van het rijgedrag bepaald of je de laagst mogelijke verbruik kan halen.

Je rijgedrag speelt ook een rol in de premie van een autoverzekering.

Verschillende autobedrijven, volgen met externe apps je gedrag achter het stuur en verkopen deze gegevens vervolgens aan data-aggregators. 

Deze informatie kan eenvoudig worden gebruikt om te bepalen hoe je rijdt en vervolgens een score te creëren die helpt bij het bepalen van je verzekeringspremie.

Ondanks dat de meeste fabrikanten vertelden dat je de mogelijkheid hebt om om je af te melden voor het gegevensverzamelingsproces, is dit niet altijd het geval. En zelfs als ze ogenschijnlijk de mogelijkheid hebben om het delen van gegevens te weigeren, weten we misschien niet dat we worden gevolgd, noch hebben we enig idee hoe we dat proces kunnen stoppen.

Een voorbeeld is de brandstofefficiëntie-tracker. Er wordt wel opgemerkt dat de functie ‘mogelijk wordt gemaakt door een app developer’, maar details worden in een klein grijs lettertype geplaatst onder een grote rode knop.

Waarop we klikken om de app te installeren. Er is niets waaruit blijkt waar we het er mee eens zijn dat onze informatie wordt gedeeld. Afmelden voor de trackingfunctie op smartphone-apps kan volgens lastig zijn. In sommige gevallen kan het lastig zijn om simpelweg te achterhalen waar we dit kunnen uitschakelen.

Acht autofabrikanten zijn inmiddels betrokken misbruik van consumentengegevens. Een verkoopargument voor het gebruik van apps van deze fabrikanten was dat de apps kunnen helpen om het aantal ongevallen te verminderen als gevolg van het veranderingen in je gedrag.

Daarbij zijn er genoeg automobilisten die bereid zijn hun rijgedrag weg te delen. Verschillende bedrijven, pitchen openlijk programma’s waarmee je, je kunt aanmelden voor een op gedrag gebaseerde verzekeringspolis.

Dergelijk polis vereist doorgaans dat je een volgapparaat in de OBD II-poort van een je auto installeert. De stekker die wordt normaal gesproken wordt gebruikt om problemen te diagnosticeren, zoals een defecte motorcontroller.

Maar de gegevensstroom biedt ook doorlopende gegevens over hoe het voertuig wordt bestuurd. Smartphones kunnen aanvullende informatie bijhouden, bijvoorbeeld of de smartphone wordt gebruikt terwijl het voertuig in beweging is, een teken dat we mogelijk afgeleid worden tijdens het rijden.

De wijdverbreide uitwisseling van gegevens leidt tot veranderingen in de manier waarop deze worden verzameld en verwerkt.

Verschillende bedrijven vertelde ons dat ze geen gegevens van derden kopen of gebruiken om tarieven te bepalen. En beweren dat ze alleen op tracking gebaseerde gegevens toepassen als ze specifiek kiezen voor het gebruik van door het bedrijf geleverde trackingapparatuur of smartphone-apps.

Volgens de AVG kunnen automobilisten alle gegevens opvragen die zijn verzameld door bedrijven die hen volgde via trackingapparatuur of smartphone-apps.