Het begint erop te lijken alsof ICT uit weinig anders meer bestaat dan data en alles wat daarmee samenhangt. De veelgehoorde uitspraak ‘Data is de nieuwe olie’ typeert de hype rondom (big) data. Ondanks de gouden bergen die data en de geavanceerde analyse daarvan belooft, blijft privacy aandacht vragen. Of is dat slechts een generatiekwestie?
Tijdens de Teradata Universe in Nice, begin april, stak ICT/Magazine haar licht op over de beveiliging van data. Senior Director van Teradata, Martin Wilcox, staat bekend als een van de meest invloedrijke mensen in de datagedreven bedrijfsvoering van de UK. We vroegen hem of dataprivacy voor de nieuwe en huidige jonge generaties nog steeds een issue is. “Volgens mij wel. Als je mij dit enkele jaren geleden had gevraagd, had ik waarschijnlijk ‘nee’ geantwoord. Maar de komst van GDPR (in het Nederlands: Algemene Verordening Gegevensbescherming, AVG) verandert het spel ingrijpend. Als je kijkt naar de geschiedenis, dan bestaat het concept van privacy pas twee tot drie eeuwen. Tot aan de late Middeleeuwen bestond zoiets als privacy helemaal niet in Europa. Je woonde in een dorp en iedereen daar wist tot in detail wat je deed. De huidige digitalisering lijkt ons weer terug te brengen naar die situatie. Iedereen kan zien of achterhalen wat jij doet, alleen is dat dorp nu uitgegroeid tot de hele wereld.”
Principes GDPR
Enkele van de principes van de GDPR zijn: transparantie: de betrokken persoon weet dat zijn/haar gegevens worden verwerkt, en heeft hiervoor toestemming gegeven (‘informed consent’); doelbeperking: persoonsgegevens worden voor een bepaald gewettigd doel verzameld, en voor niets anders; gegevensbeperking: uitsluitend de gegevens noodzakelijk voor het beoogde doel mogen worden verzameld; juistheid: de persoonsgegevens moeten correct zijn en blijven; bewaarbeperking: persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel; integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging; verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.
Transparantie
Volgens Wilcox zal de verordening – ervan uitgaande dat het wordt nageleefd en gehandhaafd zoals gepland – privacy nieuw leven inblazen. “Ik zal niet zeggen dat de GDPR privacy zal resetten naar hoe het was, want dat is niet mogelijk. Verwachtingen omtrent privacy zijn nu eenmaal cultuurgebonden. Een oudere vrouw op het platteland kijkt waarschijnlijk anders naar privacy dan een puber die opgroeit in California USA. Jongere generaties zijn veel vertrouwder met het delen van gegeven, maar ook daar leven bepaalde verwachtingen. De uitwisseling van waarde die hun gedeelde persoonlijke informatie genereert – bij de Amazons en Facebooks van deze wereld – is asymmetrisch. De gratis toegang tot hun platform staat niet in verhouding tot de inkomsten die Facebook genereert uit hun gerichte marketing. Je kunt beargumenteren dat er niets aan de hand is zolang iedereen akkoord is met deze gang van zaken. Maar ook dit spel zal met de komst van GDPR ingrijpend veranderen, in ieder geval in Europa. Het argument van de Facebooks en Gmails dat hun gebruikers akkoord zijn met de 90 pagina’s of meer juridische kleine lettertjes, zal geen stand houden met het transparantieprincipe (zie kader). Dus als deze bedrijven in Europa willen blijven doen wat ze nu doen, moeten ze veel meer transparantie bieden over wat ze doen en hoe ze het doen. En hun klanten zullen veel meer gelegenheid moeten krijgen om daar bezwaar tegen aan te tekenen.”
Uitdaging
Zoals altijd heeft ieder nadeel zijn voordeel. Zorgverzekeraars kunnen dankzij data-analyses mensen met een hoog risicoprofielen weren. “Dat is niet goed voor onze samenleving”, aldus Wilcox, “en overheden en toezichthouders hebben hier een taak. Toch kun je ook beargumenteren dat veel mensen die erg ongezond leven er ten onrechte vanuit gaan dat iemand anders de rekening van hun levensstijl wel zal betalen. Wellicht dat de nadelen in dit voorbeeld een stimulans zijn voor mensen om gezonder te leven. De uitdaging is dat de technologie zich veel sneller ontwikkelt dan deze ethische discussies.”
Welke kant het ook op gaat, Teradata stimuleert haar klanten om de volgende drie dingen te doen: 1) Bescherm de data over jouw klanten alsof het jouw eigen persoonlijke data betreft. De vraag is niet langer óf je datalek zult krijgen, maar wanneer het lek boven komt. Wanneer dat gebeurt wil je als bedrijf tegen de media kunnen zeggen dat je alles eraan hebt gedaan om de schade van dat lek te beperken. Ja, er was een lek en de weinige data die is geroofd is zo sterk geëncrypt dat het praktisch waardeloos is. 2) Wees transparant omtrent jouw datagebruik. Nog maar weinig organisaties hebben hier serieus over nagedacht, maar GDPR geeft hen een stevige duw in de rug in die richting. 3) Deel de waarde – die wordt gecreëerd met het verzamelen, opslaan en analyseren van data – met de eindconsument.
Tot slot wijst Wilcox op een specifiek onderdeel van de GDPR dat zijns inziens nog niet helemaal wordt begrepen door de industrie. “Om te kunnen voldoen aan de diverse principes, moet je verdraaid goed weten waar alle data zich bevindt en in welke vorm. Als je bijvoorbeeld 5000 kopieën van dezelfde persoonlijke en identificeerbare informatie zodanig over je organisatie hebt verspreid dat je er totaal geen zicht meer op hebt, kun je onmogelijk compliant zijn. In het kader van GDPR is het van essentieel belang dat je de controle over deze waardeketen herkrijgt.”
