29/11/2018
Inleiding
Met de inwerkingtreding van de Algemene Gegevensverordening (GDPR) zijn de plichten van ondernemingen met betrekking tot het beheer van gegevens aanzienlijk uitgebreid. Enerzijds ten gevolge van de uitbreiding van de rechten van de betrokken wiens gegevens worden verwerkt met bijvoorbeeld het recht op beperking, recht op dataportabiliteit en recht om niet het voorwerp te zijn van geautomatiseerde beslissingen. Anderzijds omwille van de implementatie van de idee dat ondernemingen in eerste lijn verantwoordelijk zijn voor de organisatorische beveiliging, uitvoeren van risicoanalyses en het zorg dragen voor privacy by design en by default, dit alles binnen het wetgevend kader van gegevensbescherming en onder controle van de gegevensbeschermingsautoriteit die in principe tweede lijn een rol speelt. Privacy en gegevensbescherming staat dan ook hoger aangeschreven bij ondernemingen sinds de GDPR van kracht is. Om compliance te verwezenlijken berust de GDPR op zelfregulering door Privacy Enhancing Technologies (PETs) maar ook op geldboetes. Om de voordelen van PETs ten volle te begrijpen worden GDPR-boetes hieronder eerst besproken.
GDPR-boetes
Binnen de GDPR context merken we op dat de potentieel enorme boetes die de GDPR mogelijk maakt in de praktijk niet steeds voldoende daadkracht hebben om privacy en gegevensbescherming effectief te verbeteren. De boetes kunnen in theorie oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet van het voorgaande boekjaar van de onderneming in kwestie. Echter moeten deze geldboetes ook proportioneel zijn. Daarbij zullen de nationale toezichthouders meestal rekening houden met de grootte van de onderneming, de geleverde inspanningen en kosten om bijvoorbeeld een datalek te verhelpen en de mate van samenwerking en transparantie ten opzichte van de toezichthouder zelf. Zo heeft een Duits sociaal netwerk vorige week een boete ontvangen van 20.000 euro nadat persoonsgegevens van 330.000 gebruikers gestolen werden. Meer bepaald werden wachtwoorden en e-mailadressen, en andere gegevens in juni bij een hack gestolen. De jaaromzet van deze betreffende onderneming anno 2016 was 1.707.073,89 euro. Daartegenover is 20.000 euro procentueel uitgedrukt slechts 0,01%. Dan rijst vanzelfsprekend de vraag of het aanvaardbaar dat zo veel persoonsgegevens voor een spreekwoordelijke habbekrats op straat komen te liggen en nog beter: zijn er alternatieven om data privacy te beschermen?
Preventieve aanpak
Tegenover dit ex post boetebeleid, waarbij boetes na de feiten worden opgelegd, staat een preventieve aanpak waarbij ingezet wordt op PETs. Dit acroniem staat voor Privacy Enhancing Technologies, ofwel vrij vertaald Privacy Verhogende Maatregelen. Het is een koepelbegrip voor maatregelen die genomen worden om compliance met de privacywetten te verwezenlijken.
Wat zijn PETs?
Wat zijn PETs nu concreet en wat zijn de voordelen? Hieronder vindt je een overzicht van enkele beschikbare technologieën:
- Versleuteling: Deze technologie is vandaag de dag in ontwikkeling en geniet een ruime ondersteuning in de industrie. Het wordt gezien als een manier om gegevens te beveiligen tegen diefstal, hacking of andere vormen van misbruik. Het voordeel van deze techniek is dat gegevens na versleuteling kunnen worden ontsleuteld door middel van een geheime sleutel, waardoor de oorspronkelijke data terug beschikbaar wordt gemaakt voor bevoegden (personen in het bezit van de geheime sleutel).
- DRM-bescherming en metagegevens. Velen kennen DRM of Data Rights Management als een vorm van kopiëerbeveiliging voor digitale assets zoals e-books, digitale media, films, foto’s etc. DRM bescherming kan echter worden uitgebreid naar persoonsgegevens door middel van metadata. Persoonsgegevens zijn net als de voorbeelden hierboven digitale assets, en kunnen door middel van metadata (beschrijvende gegevens over persoonsgegevens) onderscheiden worden van gewone gegevens, die niet rechtstreeks of onrechtstreeks gelinkt kunnen worden aan een persoon. Net zoals DRM-toepassingen gebruikt worden om copyright te beschermen, kunnen deze toepassingen naar analogie gebruikt worden om strikte controle uit te oefenen op persoonsgegevens.
- Gebruikersinterfaces: Softwaretoepassingen kunnen zodanig ontworpen worden zodat deze rekening houden met privacy aspecten van de eindgebruiker. Zo kunnen bijvoorbeeld just-in-time privacy meldingen gebruikt worden om de gebruiker op de hoogte te houden van waarom gegevens worden opgevraagd.
Voordelen van PETs
Zoals eerder vermeld zijn PETs de technieken bij uitstek om te voldoen aan de verschillende vereisten binnen de privacywetgeving. Ze kunnen ten eerste gebruikt worden om te garanderen dat de toestemming op een rechtsgeldige manier wordt verkregen en om toestemming te beheren. Volgens de GDPR moet toestemming immers voldoen aan een aantal voorwaarden: ze moet bijvoorbeeld vrijwillig, intrekbaar en specifiek zijn. Ten tweede kunnen PETs erg nuttig zijn om te voldoen aan transparantieverplichtingen zoals uiteengezet in Artikels 12 van de GDPR. Ten slotte zou andere use case voor PETs kunnen zijn om te voldoen aan de vereiste van privacy by design zoals vermeld in Artikel 28 van de GDPR, bijvoorbeeld door om persoonsgegevens te anonimiseren, op te delen in bandbreedtes of ruis te introduceren zodat deze op in mindere mate of zelfs op enkele wijze meer tot een persoon te herleiden zijn.
Besluit
Wij zijn alvast overtuigd dat de veelheid aan Privacy Enhancing Technologies een grote toegevoegde waarden kunnen hebben, zowel voor gebruikers als voor ondernemingen. Ten eerste is het goed voor het klantenbestand: een onderneming waarvan de gebruikers weten dat deze hun privacy ernstig neemt, zullen geneigd zijn om de onderneming meer te vertrouwen. Bovendien zullen eventuele boetes wanneer het misloopt geminimaliseerd kunnen worden, door preventief in te zetten op een privacy gerichte aanpak. Ten tweede is het goed voor het financiële plaatje: zoals hierboven uiteengezet, houden de toezichthouders bij het uitvaardigen van boetes voor overtredingen van de privacywetgeving meestal rekening met de omstandigheden, waaronder het gebruik van PETs.
Bij verdere vragen over het gebruik van PETs of de privacy wetgeving in de ruime zin, zijn onze specialisten beschikbaar om op de concrete noden van uw onderneming in te spelen en Privacy Enhancing Technologies tot uw voordeel te brengen.
Geschreven door Ivan Verstraeten.
