Privacy onder druk door onzichtbare data

Nikos FafoutisUncategorized

Bijna de helft van de gegevens die een gemiddelde Nederlandse organisatie bewaart, is dark data: gegevens waarvan de waarde onbekend is. Veel organisaties bewaren dan ook privacygevoelige informatie zonder dat ze het in de gaten hebben. Als die informatie in verkeerde handen valt, schaadt dat de reputatie van gedupeerden en van de organisatie.

Bedrijven, overheidsinstellingen, gezondheidsinstellingen en andere organisaties bewaren en verwerken steeds meer gegevens. De komende jaren zal die databerg steeds sneller groeien.

Onderzoekers hebben vastgesteld dat van de gegevens die organisaties bewaren een groot gedeelte onbruikbaar of onbekend is. In Nederland is gemiddeld 44,5 procent van de gegevens die organisaties bewaren niet gelabeld, zogeheten dark data. Dark data is om verschillende redenen onwenselijk.

1- Een gedeelte van de data is onbruikbaar of oud en kost alleen maar geld en opslagruimte.
2- Een gedeelte van de data onder de oppervlakte is waardevol voor de organisatie en wordt nu niet gebruikt.
3- Veel dark data bestaat uit privacygevoelige informatie. Aangezien deze informatie niet zichtbaar is, is onduidelijk of de organisatie de privacy schendt en regels overtreedt.

Waardoor ontstaat dark data?

Doordat de prijzen van (cloud)opslag sterk zijn gedaald en binnen veel organisaties niet één iemand verantwoordelijk is voor de databerg, is de groei de laatste jaren sterker dan ooit.

Vaak worden bestanden ongestructureerd opgeslagen en langer bewaard dan nodig. Vaak vergeten gebruikers data te verwijderen of blijven bestanden bewaard voor het geval ze later nog eens van pas komen. Bovendien bewaren medewerkers steeds vaker zowel zakelijke als privébestanden op de server van hun werkgever.

Onzichtbare data schaadt privacy

Hoewel veel dark data waardevol kan zijn voor de organisatie, kan het ook risico’s met zich meebrengen. Het kan om gevoelige bedrijfsinformatie gaan. Valt die in verkeerde handen, dan kan dat de reputatie van de organisatie flink schaden. Bovendien is een onbekend deel van dark data privacygevoelig. Hierbij valt te denken aan adresgegevens van klanten of medische dossiers van patiënten, maar ook aan foto’s van betrokkenen of correspondentie met klanten of leveranciers.

Dit brengt risico’s met zich mee. Als organisatie wil je niet dat vertrouwelijke financiële gegevens of patiëntendossiers op straat komen te liggen. Los daarvan kunnen organisaties een flinke boete krijgen wanneer ze niet aan de privacywetgeving voldoen.

Meer verplichtingen door nieuwe privacywet

Vanaf 2018 wordt de Wet Bescherming Persoonsgegevens vervangen door nieuwe privacywetgeving. Deze wet geldt voor alle lidstaten van de EU. Onder deze wet, de algemene verordening gegevensbescherming (AVG), hebben organisaties die persoonsgegevens verwerken meer verplichtingen dan onder de huidige wet. Dat geldt niet alleen voor bedrijven, maar bijvoorbeeld ook voor onderwijs- en overheidsinstellingen. De wet legt meer nadruk op de verantwoordelijkheid van organisaties zelf om de wet na te leven. Daarnaast moeten ze kunnen aantonen dat ze zich aan de wet houden.

Als organisaties de regels overtreden en de data van gebruikers onvoldoende beschermen, kunnen zij een flinke boete krijgen die tot 20 miljoen euro kan bedragen. Voor bedrijven kan de boete oplopen tot 4 procent van de jaaromzet.

Data verzamelen mag alleen onder voorwaarden

De nieuwe wetgeving zorgt dat persoonsgegevens van alle EU-inwoners op dezelfde manier zijn beschermd. Daarbij maakt het niet uit of die gegevens zijn opgeslagen in Europa of bijvoorbeeld in de Verenigde Staten. 2018 lijkt nog ver weg, maar voor organisaties die hun privacy nog niet goed hebben geregeld en die grote hoeveelheden dark data hebben, is er volop werk aan de winkel.

Hieronder enkele voorbeelden van zaken die de nieuwe Europese privacywet voorschrijft.

Onderbouwing gebruik persoonsgegevens

Mensen die zakendoen met een bedrijf of organisatie kunnen makkelijker opvragen welke persoonlijke gegevens worden gebruikt, waarvoor ze worden gebruikt en hoe lang ze bewaard blijven. Ook kunnen klanten en andere belanghebbenden een organisatie straks makkelijker vragen gegevens te verwijderen waarvan het gebruik niet meer nodig is (het recht om te worden vergeten).

Toestemming voor gebruik van gegevens

Veel organisaties gaan ervan uit dat ze zonder problemen persoonlijke gegevens mogen gebruiken, bijvoorbeeld foto’s of informatie over de gezondheid van cliënten.
Organisaties moeten na 2018 kunnen bewijzen dat ze hier toestemming voor hebben gekregen.

Risicoanalyse

Waar liggen de risico’s bij het gebruik van bijvoorbeeld een elektronisch patiëntendossier of een administratiesysteem? Organisaties moeten vanaf 2018 een antwoord hebben op deze vragen. Ook moeten organisaties aangeven met welke maatregelen zij de risico’s kunnen beperken.

Uiteraard is de beveiliging van informatie essentieel. Mocht er informatie in handen van onbevoegden zijn gekomen, dan geldt de Meldplicht Datalekken, die ook nu al van kracht is: het is verplicht binnen 72 uur melding te doen bij de Autoriteit Persoonsgegevens. Bij datalekken denken de meeste mensen in de eerste plaats aan inbraak in databestanden door een hacker, maar ook een gestolen laptop of een kwijtgeraakte usb-stick kan uiteraard gevoelige informatie bevatten.

Functionaris bescherming persoonsgegevens

Organisaties die ‘persoonsgegevens gebruiken van personen waarop regelmatig en stelselmatig toezicht moet worden gehouden’, worden verplicht een functionaris voor de gegevensbescherming aan te stellen.

Veel overheidsinstellingen maar bijvoorbeeld ook scholen en ziekenhuizen vallen onder deze verplichting omdat ze veel informatie vastleggen over hun cliënten. Het gaat daarbij vaak om meer dan adresgegevens en foto’s. Denk aan gegevens over mensen met een beperking die bij gemeenten wordt bijgehouden of informatie over de leerprestaties van leerlingen.

Deze persoon houdt toezicht op de verwerking van persoonsgegevens en heeft een wettelijk beschermde taak.

Omgaan met dark data

Een hoog percentage dark data en strenge privacywetgeving vormen een uitdagende combinatie. Iedere organisatie zou zich hiervan bewust moeten zijn en de nodige maatregelen moeten nemen.

Data continu beoordelen. Organisaties zullen manieren moeten vinden om dark data te herkennen. Waar bevindt de dark data zich? Hoe wordt deze opgeslagen en beveiligd?
Gezond verstand helpt, maar aangezien dark data moeilijk te herkennen is, is het verstandig technische hulpmiddelen in te zetten om er licht op te werpen.
Data beveiligen. Alle bestanden die potentieel waardevol en privacygevoelig zijn, moeten bij voorkeur versleuteld worden bewaard, of het nu binnen de muren van het bedrijf of bij een clouddienst.
Ongewenste data veilig verwijderen. Privacygevoelige gegevens die niet (meer) bruikbaar zijn of die volgens de wet moeten worden verwijderd, mogen op geen enkele manier meer terug te vinden zijn.

Heeft u nog vragen over Data Management? Neem contact op met YourICT; 0345 622 223 of 0488 745 050

Bron: tdconnect