Wat is de belangrijkste ontwikkeling in de laatste jaren geweest? En wat heeft dit betekend voor privacy en dataprotectie in het algemeen?
De fenomenen Big Data en Cloud Computing zijn twee ontwikkelingen die zich in de laatste jaren steeds verder en sneller zijn gaan ontwikkelen.
Big Data.
Veel (grote) bedrijven gaan steeds meer het nut inzien van het analyseren van verschillende beschikbare gegevens van klanten/werknemers. Door middel van profiling krijgen de bedrijven een beter inzicht in de wensen en gedragspatronen van hun klanten/medewerkers, op basis waarvan zij hun marketing strategieën kunnen aanpassen. Echter, waar nog te weinig bij stil wordt gestaan is de aard van deze gegevens. Vaak wordt gebruik gemaakt van persoonsgegevens en soms zelfs van gevoelige gegevens. Daarnaast is het koppelen van verschillende datasets ook risicovol. Zo kunnen enkele, op zichzelf staande data elementen, misschien niet herleidbaar zijn tot een individueel persoon, echter wanneer verschillende datasets worden gekoppeld kan dit wel het gevolg en gevaar zijn. Ook mag een bedrijf niet zomaar voor elk willekeurig doel de gegevens gebruiken. Persoonsgegevens mogen namelijk alleen worden verwerkt indien er een wettelijk bepaald doeleinde aan ten grondslag ligt. Deze ontwikkeling heeft tot gevolg gehad dat er meer nadruk is komen te liggen op de bescherming van persoonsgegevens en is de Telecommunicatiewet aangepast(artikel 11.7a).
Cloud Computing
Meer en meer bedrijven verkennen de mogelijkheid om gegevens op te slaan in de cloud. De cloud brengt verschillende voordelen met zich mee; zo zijn de kosten laag, zijn de gegevens altijd beschikbaar, vindt de opslag van de gegevens niet meer (fysiek) plaats bij het bedrijf, onderhoud vindt automatisch plaats bij de provider etc. Maar ook aan Cloud Computing zitten risico’s. Zo is het niet altijd duidelijk waar de gegevens zich bevinden (in welk continent) en welk wettelijke regime er van toepassing is (ingeval van grensoverschrijdende cloud diensten). Deze vraag wordt helemaal interessant wanneer Amerika mogelijk toegang tot de gegevens heeft. Amerikaanse autoriteiten kunnen op grond van de Patriot Act vergaande bevoegdheden ontlenen om toegang krijgen tot opgeslagen gegevens in de cloud indien:
- het bedrijf of door haar gecontroleerde ondernemingen activiteiten in de Verenigde Staten zouden ontplooien zodanig dat kan worden gesproken van het voortduren en systematisch onderhouden van contacten met de Verenigde Staten; en/of
- aan het bedrijf gelieerde ondernemingen die activiteiten verrichten in de Verenigde Staten bezit, bewaring of controle hebben over de bij het bedrijf berustende Nederlandse persoonsgegevens.
In dit kader is het dus van belang om (juridisch) onderzoek te doen naar de achtergrond en structuur van het desbetreffende bedrijf, om te controleren of er aanknopingspunten met Amerika bestaan. Indien deze aanknopingspunten worden gevonden, dat kan er een juridisch spagaat ontstaan tussen het voldoen aan Europese privacywetgeving en het opvolgen van Amerikaanse wetgeving (Patriot Act).
Hoe ziet privacy en dataprotectie er over 20 jaar uit?
Over 20 jaar zal de wereld nog meer ‘hyperconnected’ zijn dan nu. Iedereen staat dan waarschijnlijk met alles in contact, we zullen steeds meer data genereren en steeds meer partijen zullen deze gegevens interessant gaan vinden. Het zal een uitdaging zijn en blijven om een evenredige verhouding te vinden tussen enerzijds de bescherming van persoonsgegevens van het individu en anderzijds de vrije stroom van informatie en gegevens en de ontwikkeling van nieuwe gadgets en diensten.
Vraagstelling 3: Welk advies rondom privacy wilt u meegeven aan deelnemende organisaties in Nederland?
Privacy by Design.
Voor bedrijven wordt het van cruciaal belang om vanaf het startpunt van een (ICT) proces of project, al te denken aan het implementeren van privacy waarborgen. Op deze manier kunnen bedrijven vooruit gaan lopen op mogelijke juridische vereisten, maar ook valkuilen. Door privacy al vanaf stap 1 van een proces of project mee te nemen in de ontwikkeling daarvan, is het later gemakkelijker om kleine aanpassingen te doen of om eventuele fouten te herstellen. Als er in het gehele proces of project nog nooit aan privacy(wetgeving) is gedacht, dan kost het veel meer tijd en geld om deze tekortkomingen te herstellen. Een dergelijke tekortkoming of fout kan leiden tot reputatieschade (zie Diginotar). Dit kan enorme gevolgen hebben voor een bedrijf.
auteur: mr. Annika Sponselee – Senior Manager Security en Privacy Deloitte
Alles weten over de stand van zaken rondom de Europese Privacy Verordening en de (inter)nationale gevolgen?
Bezoek het congres Dataprotectie en Privacy