Privacy, From No to Know

Share this post:

(dit artikel verscheen eerst op de weblog van iBestuur)

Aandacht voor privacy is begrijpelijk en nodig. Het is een tijdperk van meer regels en meer dreigingen. En ook van meer potentiële kosten, in reputatieschade en op te leggen sancties. Gelijktijdig neemt het privacy- bewustzijn bij burger en consument toe. Hoe kunnen we de privacy beschermen zonder de innovatie te remmen? Schets van een aantal ontwikkelingen.

De zogenaamde ‘Digital Convergence’, waarin de ontwikkelingen rond Big Data, het Internet of Things, Analytics, Cognitieve Systemen en Cloud bij elkaar komen, lijkt soms als één grote golf op ons af te komen. Wordt privacy in die ontwikkeling een belemmerende factor (NO) of is daar, uiteraard op een verstandige manier, een mouw aan te passen? (KNOW).

KNOW: De mogelijkheid om productiviteitsstijgingen en kostenbesparingen te realiseren door met zoveel mogelijk en zo toepasbaar mogelijke data aan de slag te gaan.

NO: Beperkingen die privacy-regels of –zorgen opwerpen.

Zoals het ontbreken van transparantie en controleerbaarheid, onduidelijkheid waar ‘mijn’ data is opgeslagen en hoe er mee wordt omgegaan. Ook met het eventuele verplaatsen van data: welke locaties, welke landen zijn geschikt?

Be prepared

Het wordt tijd om een brug te slaan tussen de wereld van de wet- en regelgeving en die van de technologie. Be prepared! De befaamde basketbal-coach John Wooden zei ooit: “Als je al geen tijd hebt om het de eerste keer (goed) te doen, wanneer heb je dan de tijd om het óver te doen?” Vaak worden privacy- en beveiligingswaarborgen áchteraf toe- gevoegd, als de noodzaak daartoe op vervelende wijze is geble- ken. Dat leidt tot hogere kosten en grote implementatie-complexiteiten. Hoeveel verstandiger is het niet om van te voren stil te staan bij te nemen maatregelen? Privacy en Security moet een vanzelfsprekendheid zijn, en in het DNA van een organisatie aanwezig zijn. Privacy by Design dus.

Onderdeel van een tijdige aanpak is een programma voor de beveiliging van kritieke data en daarbinnen van de echte ‘kroonjuwelen. Beoordeel de eigen securityprocessen en/of –controles en maak een gap-analyse. Werk met hypotheses. Op bestuurlijk niveau heeft onder ander de Taskforce BID (Bestuur en Informatieveiligheid Dienstverlening) daar op behartenswaardige wijze aandacht voor gevraagd.

Een belangrijk uitgangspunt is om maatregelen fit-for-purpose’ toe te passen. Waar data gebruikt wordt voor initiële of verkennende doelstellingen past een ander en soepeler beleid dan wanneer data gebruikt wordt voor het ondersteunen van bedrijfskritische beslissingen.

Digitale waakhond

IBM Research werkt aan het concept van de ‘Digital Guardian’, met als doel de kernvraag te kunnen beantwoorden: bent u ‘U’ wel? Door slimme analysetools te gebruiken kunnen we waarnemen of en hoe er contact wordt gemaakt met bedrijfs- middelen en bouwen we een risicopro el op voor elk van deze bedrijfsmiddelen. Data mining-technieken, machine learning en cognitive computing worden gebruikt om modellen te bouwen, normale gedragingen vast te leggen en afwijkende activiteiten te signaleren. We noemen dat Security 360. Het geheel wordt vervolmaakt met een scala van security-controls die elk moment op risico’s kunnen anticiperen. Zo verraadt de misbruiker van de verloren smartphone zich bijvoorbeeld door zijn afwijkende manier van bedienen. En zo kan een lage afrekening bij een tankstation de alarmbel doen rinkelen omdat de digitale waak- hond weet dat uw tank nog bijna vol is, en dat u nooit tankt als uw tank nog meer dan een kwart gevuld is. Daarbij: u bent toch op kantoor terwijl de transactie wordt geregistreerd?

Lerende systemen

Dergelijke lerende systemen kennen u, helpen u en bescher- men u. Ze worden bovendien steeds doeltreffender omdat we steeds meer van ons leven digitaal documenteren. Een eerste generatie van dergelijke systemen noemen we ‘Cognitive Security’: beveiligingssystemen die herkennen, redeneren en leren van dreigingen. Eigenlijk hebben we het over het inbouwen van beveiligingsinstincten en – expertise. Die expertise wordt gevoed door geautomatiseerde analyse van onderzoeks- rapporten, webteksten, dreigingsdata en andere relevante gestructureerde en vooral ongestructureerde data. Precies zoals cybersecurity-analisten elke dag doen, maar dan op een nog nimmer vertoonde schaal. En al deze opgedane kennis kan weer worden gedeeld met de menselijke analisten. Dat is de kern van Cognitive Security.

Privacy Based Access Control

Een laatste ontwikkeling waarin voortgang wordt geboekt: Privacy Based Access Control. Wie leest de gebruikersvoorwaarden van die nieuwe app? Bijna niemand natuurlijk. We drukken op de AKKOORD-knop om snel verder te kunnen. Dat moet dus anders, zeker als het om contact tussen burger en overheid gaat of om zaken doen: privacy based consent management. Daarbij leg je als gebruiker vast welk niveau van informatie je wilt delen met wie, mét inzicht in de data-elementen die gedeeld worden. Geen lange en ingewikkelde privacy statements meer de niemand begrijpt. De gebruiker beheert zelf tot op welk niveau de app data verzamelt deelt door op eenvoudige wijze de eigen voorkeuren vast te leggen. Dat werkt op basis van tevoren geformuleerde gebruiksregels (‘policies’).

Een zeer wenkend perspectief!

IBM nominated as ICT service supplier – Computable Awards 2017

Privacy issues are changing and the new legislation is leading. In May 2018, the new GDPR legislation will become effective, with new requirements for processing and processing personal data. IBM is one of the largest data processors and has acquired the necessary knowledge with previous privacy laws. It has resulted in a GDPR-specific architecture framework that IBM offers as a service. The main purpose of the GDPR assessment is a roadmap that prepares an organization for this GDPR legislation and to test risk factors in the organization of the client.

The complete jury report (in Dutch)

Vote for ICT service supplier of the year – IBM – Computable Awards 2017!

Leer hier meer over IBM’s Consent and Privacy Policy Management oplossing

Clients are responsible for ensuring their own compliance with various laws and regulations, including the European Union General Data Protection Regulation. Clients are solely responsible for obtaining advice of competent legal counsel as to the identification and interpretation of any relevant laws and regulations that may affect the clients’ business and any actions the clients may need to take to comply with such laws and regulations.  The products, services, and other capabilities described herein are not suitable for all client situations and may have restricted availability. IBM does not provide legal, accounting or auditing advice or represent or warrant that its services or products will ensure that clients are in compliance with any law or regulation.
Learn more about IBM’s own GDPR readiness journey and our GDPR capabilities and offerings to support your compliance journey here.