Organisaties verzamelen door de jaren heen ontzettend veel data. Maar hoe springen ze daar mee om? Is het verstandig om alles bij te houden? En wat mag je er wel en niet mee doen. We vroegen het aan twee experten in databescherming.
‘Sommige bedrijven verzamelen zoveel data dat ze het overzicht verliezen en daardoor fouten maken. Meestal is dat echter niet moedwillig of met slechte intenties’, zegt Magali Feys, advocaat bij AContrario en gespecialiseerd in databescherming en cybersecurity. ‘Ze gebruiken klantengegevens bijvoorbeeld om hun diensten te verbeteren of om een algoritme te trainen zonder alle wettelijke regels voor de volle 100 procent te volgen.’
De oorzaak van dergelijke fouten is vaak onwetendheid, zoals een gebrek aan kennis van de complexe regelgeving rond gegevensbescherming. Anders is het gesteld met bedrijven die moedwillig rond de regels fietsen. ‘Bij grote bedrijven zoals Facebook, Google en TikTok stel ik mij soms vragen over hoe zij data verzamelen, gebruiken en aan derden doorgeven’, zegt Feys. ‘Dat gebeurt niet uit onwetendheid en is vaak niet in het belang van de eindgebruiker.’
Onder de radar
Een bedrijf dat verstandig met zijn data omspringt, brengt best in kaart welke data het verzamelt, verwerkt en met welke processen dat gebeurt. Uit veiligheidsoverwegingen gebeurt dit best met zo goed mogelijk beveiligde bedrijfstoepassingen en software.
De GDPR krijgt nog te vaak een zuivere juridische interpretatie.
Bavo Van den Heuvel is chief knowledge officer bij privacy, security en data -adviesbureau CRANIUM. ‘Personeelsleden sturen nog te vaak gevoelige gegevens door via e-mail en via hun persoonlijke accounts op sites zoals Dropbox en WeTransfer. Dat gebeurt vaak onder de radar van de IT-dienst. Uit ervaring weten we dat die en andere menselijke fouten vaak aan de oorzaak liggen van data-inbreuken.’
CEO-fraude
Bedrijven kunnen intern campagnes voeren om medewerkers daar bewust van te maken. Tegelijk moeten ze goed in het oog houden wie welke rechten heeft.
Van den Heuvel: ‘Soms hebben medewerkers met enige staat van dienst toegangsrechten tot alle netwerksystemen. Moet dat echt? Dat is een onnodig risico. Hackers kunnen zo met een minimum aan moeite een verregaande aanval te lanceren door gericht deze medewerkers - inclusief al hun rechten - als doelwit te nemen. Daarna kan de hacker gericht bekijken hoe bijvoorbeeld betaal-instructies worden gegeven'.
Voorbeeld van CEO-fraude (je geeft een fout voorbeeld: https://nl.wikipedia.org/wiki/CEO-fraude) : een cybercrimineel stuurt in naam van de CEO een mail naar een medewerker van de boekhouding om snel een bedrag te betalen wegens hoogdringendheid. ‘Als het verhaal en de stijl geloofwaardig is, is de kans groot dat er betaald wordt", zegt Van den Heuvel.
Privacy policy
De GDPR heeft een positief effect gehad op de manier waarop ondernemingen omspringen met klantengegevens. Door zich in regel te stellen, hebben ze een beter zicht gekregen op hun bedrijfsprocessen. Tekortkomingen hebben ze kunnen oplossen.
Bedrijven moeten alle data die ze hebben inventariseren.
Volgens Van den Heuvel heeft slechts één op de twee bedrijven voldoende gedaan om met de GDPR in orde te zijn. ‘Veel organisaties – zowel kmo’s als grote bedrijven – plaatsen een privacy policy op de website en that’s it. Het is ondertussen vijf over twaalf om in actie te schieten.’
Feys: ‘De algemene trend oogt positief. Ik krijg vaak vragen van start-ups over hoe ze zich in regel kunnen stellen. De GDPR maakt zo al vanaf de oprichting deel uit van een bedrijf
Maar zijn er ook bedrijven die de GDPR vooral geïmplementeerd hebben om boetes te vermijden en de vertaalslag nog niet gemaakt hebben naar hun bedrijfsprocessen. ‘Die ondernemingen missen een algemeen beleid rond gegevensbescherming. De GDPR krijgt nog te vaak een zuivere juridische interpretatie: het moet ook een procesmatige strategie zijn. Dit is een multidisciplinaire oefening’, zegt Feys.
Toekomstige verbeteringen
Kan de privacywetgeving nog verbeterd worden? Elke Europese lidstaat heeft minstens één toezichthoudende autoriteit. In België is dat de Gegevensbeschermingsautoriteit.
‘Die geven elk voor hun land adviezen’, zegt Van den Heuvel. ‘Maar de landen stemmen onderling veel te weinig af. Bedrijven die in meerdere landen actief zijn, moeten vandaag met te veel verschillende zaken rekening houden. Terwijl die GDPR eigenlijk bedoeld is om meer harmonie te krijgen. Ook de hoogte en de type van boetes die opgelegd worden, verschillen per land. Dat moet beter.’
De nood is ook hoog om de gedragscode van de GDPR – de zogenaamde Code of Conduct – duidelijker te specificeren en te lanceren. ‘Zo weten bedrijven wat de technische en organisatorische maatregelen zijn die genomen moeten worden’, besluit Feys. ‘En hoe ze bijvoorbeeld data op de juiste manier moeten anonimiseren of pseudonimiseren (Een algoritme verandert persoonsgegevens in een code op basis van een unieke sleutel. Wie over de sleutel beschikt, kan de gegevens weer leesbaar maken, red.). Dat zal data voor iedereen een stuk veiliger maken.’