GDPR - MT/Sprout

Winkelmand

Geen producten in je winkelmand.

Week 40 - AVG hoe gaat het nu

Bijdrage

De AVG is bijna een half jaar geleden ingevoerd: en nu?

Begin dit jaar ging het nergens anders meer over. Maar sinds 25 mei hoor je niemand meer over de AVG....

author Redactie

Nieuws Management & Leiderschap

Fiod doet onderzoek naar corruptie bij dochterbedrijven VolkerWessels – Bezos wil zware industrie op de maan

En verder: Oudere mannen werken vaker part-time; Amerikaanse kranten liever op zwart dan te voldoen aan GDPR; Rik van den...

author Redactie MT

datalekken

Bijdrage

Voorkom hacks en datalekken met deze 7 tips

Voorkomen is beter dan genezen. Ook als het gaat om datalekken. Met onderstaande tips maak je de kans om zelf...

author Redactie

AVG proof

Bijdrage

Nog niet klaar voor de AVG? Met deze tips ben je nog net op tijd

Nog een maand en dan treedt de AVG echt in werking. Toch zijn nog lang niet alle bedrijven voldoende voorbereid....

author Redactie

impact AVG op jouw organisatie

Management & Leiderschap

Welke impact heeft de AVG op jouw organisatie?

Steeds meer data bevatten privacygevoelige gegevens. De AVG voorkomt dat privacygevoelige gegevens ongelimiteerd worden gebruikt, dat ze op straat komen...

author Redactie

De nieuwe regels geven consumenten een veel betere bescherming van hun eigen data. Zo moeten bedrijven expliciet toegang vragen tot data van personen of om derde partijen toegang te geven tot deze data. Bovendien hebben mensen ‘het recht vergeten te worden’, oftewel, ze mogen eisen dat al hun persoonlijke gegevens uit de bestanden – en back-ups! – van een bedrijf worden gewist. Uit onderzoek van security-organisatie ESET blijkt dat 61 procent van de bedrijven de impact van de nieuwe wet- en regelgeving niet kan inschatten. En dan hebben we het nog niet eens over de impact op netwerkorganisaties, organisaties die vaak gegevens met elkaar delen. Wat moet je regelen en wie is er aansprakelijk op het moment dat er onverhoopt toch gevoelige data gelekt wordt? Mensen, processen en technologie Harm van Koppen is Distribution Channel Manager bij security-leverancier Sophos. Om het complexe vraagstuk van de GDPR behapbaar te maken, richt hij zich op drie thema’s: mensen, processen en technologie. ‘De veiligheid van gegevens valt of staat met de mensen die ermee bezig zijn. Het is belangrijk dat zij zich bewust zijn van de consequenties op het moment dat ze onverschillig met gevoelige data omgaan. Bewustwording is dus een heel belangrijk onderdeel in het proces om je netwerkorganisatie ‘GDPR-proof’ te maken. Je kunt met technologie veel afdekken, maar je voorkomt er niet mee dat een werknemer een foto maakt van een beeldscherm waarop privacygevoelige informatie staat.’ Netwerkbedrijven doen er goed aan om hun processen kritisch te bekijken en te definiëren waar de beveiliging strakker moet en waar het minder noodzakelijk is. Met een voorbeeld van een woningbouworganisatie legt Harm van Koppen de processen uit. ‘Een aanvraag voor een nieuwe keuken is een proces waar weinig privacygevoelige gegevens aan te pas komen. Maar bij de aanvraag voor huursubsidie zijn persoonlijke en financiële gegevens gemoeid. Classificeer de verschillende processen en de verschillende soorten informatie om zo de juiste processen te beveiligen.’ Risico’s van de cloud Netwerkorganisaties werken graag samen in de cloud. Hoe veilig is dat? Van Koppen: ‘Leveranciers van clouddiensten zijn zich steeds meer bewust dat de security op orde moet zijn, maar ik vermoed dat veel gebruikers dat besef nog niet hebben. Beveiliging wordt nog te vaak gezien als sluitpost. Organisaties kiezen voor de cloud vanwege bepaalde bedrijfsprocessen en security werkt in hun beleving dan vertragend en verstorend, maar de nieuwe Europese wetgeving heeft daar heel andere ideeën over.’ Op het moment dat twee organisaties samenwerken in de cloud en het ene bedrijf gevoelige data zonder toestemming van de eigenaar op een Dropbox-account of andere clouddienst zet waar de andere onderneming toegang tot heeft, is dat bedrijf na 25 mei 2018 – het moment dat de GDPR in werking treedt – aansprakelijk voor het lekken van informatie. De gevolgen kunnen fors zijn; de boetes onder de nieuwe wetgeving kunnen oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet. Complex en verstrekkend Om te voorkomen dat het na inwerkingtreding van de GDPR volgend jaar fout gaat, moeten netwerkbedrijven nu al nadenken over hoe ze hun medewerkers bewustmaken van de manier waarop ze met privacygevoelige gegevens moeten omgaan. Bovendien moet kritisch worden bekeken welke processen extra beveiligd moeten worden en welke technologie daarvoor beschikbaar is. ‘Het is een complexe wetgeving met verstrekkende gevolgen’, stelt Van Koppen. ‘Er zitten veel haken en ogen aan, dus ik adviseer ieder management team om zich zo snel mogelijk te verdiepen in wat het voor jouw bedrijf betekent.’ Om snel te kunnen zien of bedrijven voldoen aan de nieuwe Europese richtlijnen zijn er verschillende ‘GDPR compliance checks’ beschikbaar. Zoals bijvoorbeeld die van Sophos: https://www.sophos.com/en-us/lp/compliancecheck.aspx en die van ESET: https://www.eset.com/nl/zakelijk/gdpr-compliance-checker/.

Management & Leiderschap

HR-afdelingen weten niet wat ze aan moeten met nieuwe privacyregels

Vanaf 25 mei moeten bedrijven voldoen aan de nieuwe, strengere Europese privacywetgeving. HR-afdelingen zijn er nog lang niet altijd op...

author Kim van de Wetering

Archief

Zo tem je het privacy-monster GDPR

De nieuwe Europese privacy-regels (GDPR) betekent voor bedrijven de nodige administratieve rompslomp. Het is tijd en energie die ondernemers liever...

author Pim Betist

Algemene verordening Gegevensbescherming AVG

Bijdrage

AVG voor dummies: 11 zaken die je moet weten

Steeds meer bedrijven werken - al dan niet bewust - met persoonsgegevens. Met de komst van de Algemene Verordening Gegevensbescherming...

author Gijs Ettes

datalekken

Bijdrage

Houd hackers op afstand

Het is een van de grootste angsten van bedrijven: gevoelige data die op straat komen te liggen. Met onderstaande tips...

author Gijs Ettes

Algemene Verordening Gegevensbescherming (AVG)

Bijdrage

Zo ben je optimaal voorbereid op de AVG

De Algemene Verordening Gegevensbescherming (AVG) is veelvuldig in het nieuws. Maar wist je dat ook jouw bedrijf ermee te maken...

author Gijs Ettes

Intensive care-monitoren die zichzelf aanpassen aan de patiënt, software ontwikkelen die hartaanvallen kan voorkomen en zelfs kanker voortijdig kan vaststellen. Het zijn dingen die Philips nu al kan met behulp van artificial intelligence (AI). Op de consumentenmarkt probeert de multinational in alles te voorzien dat een patiënt nodig heeft. Medisch advies op afstand en techniek die je slaap monitort. Maar ook slimme tandenborstels die je gebit leren kennen en je advies geven met behulp van gegevens van je tandarts. Context van de patiënt begrijpen Volgens Jeroen Tas, chief innovation and strategy officer, focust Philips zich nu op twee gebieden binnen de gezondheidszorg. ‘Een beter begrip van de patiënt ten eerste, daarnaast willen we de zorg optimaliseren’, legt Tas uit. Met het beter begrijpen van een patiënt doelt hij vooral op het in context kunnen plaatsen van een situatie. Als iemand op de intensive care ligt met hartproblemen, wordt via monitoren de bloeddruk, ademhaling en hartslag gemeten. ‘Maar we kunnen een patiënt beter helpen als we meer informatie over zijn situatie hebben. Onder andere de genetische informatie, mentale en fysieke gesteldheid, (leef)gedrag en klinisch verleden. Die informatie kan de monitor interpreteren, waardoor er misschien een andere diagnose gesteld wordt dan wanneer je dit als arts niet zou weten. Ook in minder schrijnende situaties kan AI je gezondheid ondersteunen. De eerdergenoemde ‘slimme’ tandenborstel bijvoorbeeld. Die poetst niet alleen je tanden, maar houdt ook de informatie over je mond bij. En koppelt het vervolgens aan gegevens van je tandarts, zodat je misschien op een betere manier gaat poetsen. De tandarts is hiermee ook geholpen. ‘We zijn ook bezig met ondersteuning voor zwangere vrouwen’, aldus Jeroen Tas. ‘We proberen potentiële problemen van tevoren al te zien en daarmee de vrouw te ondersteunen. Na de geboorte willen we kijken hoe we de moeder kunnen helpen om inzicht te geven in de ontwikkeling van de baby.’ Optimaliseren van de zorg Wanneer er beter inzicht bestaat in de situatie van een patiënt, kan ook de zorg worden geoptimaliseerd. ‘Dat is ons tweede focuspunt’, legt Tas uit. Philips biedt in steeds grotere mate ‘connected devices’ aan, apparaten die zijn aangesloten op het internet. ‘Daarmee kan de informatie die gemeten wordt bij een patiënt door gecommuniceerd worden, zonder dat de patiënt daar zelf iets voor hoeft te doen. Dit is nu nog niet bij alles zo, maar dat is in de toekomst wel de bedoeling. Met die informatie kan een zorgpad voor de patiënt worden uitgestippeld. Want stel nu dat iemand met slaapapneu ook nog diabetes en hartfalen heeft? Dat wordt ontzettend ingewikkeld. Artificial intelligence gaat patronen zoeken in de informatie en de complexiteit interpreteren. Zo kan de zorg thuis verbeterd worden, maar ook in het ziekenhuis. Monitoren begrijpen de informatie en kunnen eerder waarschuwingen afgeven wanneer het mis dreigt te gaan.’ HealthSuite Naast het oplossen van acute problemen, richt Philips zich vooral ook op het voorkomen van problemen. Voor beiden is HealthSuite bedacht, een cloud platform waarop applicaties gebouwd kunnen worden waarmee je je eigen gezondheid als consument of patiënt kunt bijhouden. Tas: ‘Zo kun je alle elementen van je gezondheid meten, zoals je slaap, suikerspiegel, hartslag en medicatie. Daarnaast wordt alle informatie uit je patiëntendossier, maar ook van artsen, behandelaars, specialisten en je verzekeraar toegevoegd. Al die informatie wordt gekoppeld aan elkaar. Zo hebben de artsen– en jijzelf dus ook – een veel completer overzicht van een situatie.’ Algoritmes op het de HealthSuite platform houden de situatie komen in actie wanneer er iets te voorkomen valt. Dat kan uiteenlopen van nieuwe therapie aanraden om te voorkomen dat iemand valt tot het voorkomen van een hartaanval door in te springen met extra medicatie. Wanneer er verandering optreedt bij een patiënt merkt het algoritme dit op. Er wordt gekeken naar wat de verandering inhoudt en wat het voor gevolgen kan hebben. Daarnaast vergelijkt het algoritme profielen van patiënten met vergelijkbare situaties en welke actie daarbij geholpen heeft. Aan de hand van die resultaten trekt het algoritme zelf een conclusie en wordt een bepaalde actie aangeraden. GDPR Het verzamelen en gebruiken van al deze privacygevoelige informatie kan niet zomaar, vooral in het kader van de GDPR, die begin 2018 in werking treedt. ‘De patiënt moet hier expliciet toestemming voor geven’, legt Tas uit. ‘In principe is de partij die de data genereert ook eigenaar van de data, zoals het ziekenhuis. Maar in de meeste gevallen krijgen wij onder bepaalde voorwaarden wel toestemming om geanonimiseerde data te gebruiken. Dat komt omdat wij een belangrijke rol spelen in het interpreteren van de data. Die informatie gebruiken wij ook weer voor het optimaliseren van ons algoritme.’ Toekomst Philips heeft in duizenden ingenieurs in dienst, waarvan 60 procent fulltime met AI-software en analytics werkt. ‘Jaarlijks investeren we 1,7 miljard euro wereldwijd in research & development. Ongeveer 600 miljoen daarvan gaat naar Nederland.’ Volgens Tas gaat ‘een belangrijk deel’ van deze investering naar de ontwikkeling van artificial intelligence, maar hij wil niet aangeven hoeveel exact. Met die investeringen verwacht hij dat binnen nu en drie jaar alle producten van Philips draaien op AI-software. ‘Dan pas gaan we echt aan de slag met gezondheidszorg, want wat we nu doen is eigenlijk nog ziektezorg.’

Management & Leiderschap

Philips kan met AI hartaanvallen voorkomen en kanker ontdekken

Artificial intelligence helpt veel branches met sprongen vooruit. Zo ook de zorg, waar personal health steeds populairder wordt. Philips is...

author Romy Donk

Cybersecurity, cybercrime, data, GDPR, Microsoft, cloud, datalek

Management & Leiderschap

‘Zie cybersecurity als een kans, niet als ongrijpbaar monster’

Vanaf mei 2018 zijn bedrijven aansprakelijk bij een datalek of cybercrime. Boetes hiervoor kunnen oplopen tot vier procent van de...

author Lotte Elbrink

Voor veel bedrijven zal de werkwijze gaan veranderen, mogelijk zelfs hele IT-systemen. Dat kan flink in de cijfers lopen. ‘Maar dat geldt zeker niet voor alle bedrijven’, stelt advocaat Jurriaan Jansen. Hij is gespecialiseerd in onder andere IT-recht en werkt voor internationaal advocatenkantoor Norton Rose Fulbright. ‘Deze nieuwe regels zijn helemaal niet zo verschillend van de oude, ze zijn wel een stuk uitgebreider. Bovendien zijn er strengere sancties aan verbonden en wordt de controle door de toezichthouder beter geregeld.’ Wbp Nederland gebruikt als het gaat om data en privacy nu nog de Wet bescherming persoonsgegevens (Wbp), die sinds 2001 van kracht is. ‘Een wet is altijd landelijk’, legt Jansen uit. ‘De nieuwe verordening geldt in de hele Europese Unie. Het is een set van regels die aangeven hoe bedrijven met data en privacy om moeten gaan. 90 procent van de verordering is ingevuld door de EU en staat dus vast, 10 procent laat ruimte open voor eigen invulling per land.’ GDPR De Algemene Verordening Gegevensbescherming is een Nederlandse vertaling van de General Data Protection Regulation, ofwel GDPR. Het is de opvolger van de Wbp die is geüpdatet naar de standaarden van deze tijd. ‘De kern van de verordening is dat bedrijven veel bewuster met data om moeten gaan. Zo mogen niet meer zomaar informatie over (potentiele) klanten opslaan en bewaren. Een verzekeraar of bank mag bijvoorbeeld niet zomaar meer risicoprofielen maken van klanten. Daarnaast krijgt de consument meer rechten toegewezen, zodat die meer invloed heeft op de informatie die bedrijven hebben. Accountability Een belangrijke verandering volgend jaar is de acountability van bedrijven. Jansen: ‘Alle bedrijven die gegevens verzamelen over hun klanten, zoals hun leeftijd, sekse, woonplaats, religie, sociale media en persoonlijke voorkeuren, worden voortaan gecontroleerd door de Autoriteit persoonsgegevens. Dat is de Nederlandse toezichthouder. Bedrijven moeten bij gaan houden welke informatie ze hebben, over wie, waarom, hoe lang ze de gegevens bewaren en wat ze er precies mee doen. De nieuwe regelgeving stelt dat er zo min mogelijk gegevens bewaard mogen worden, en enkel om een gerechtvaardigde reden. Als je bij Bol.com voortaan een boek bestelt en daarvoor gegevens moet invoeren, mag het bedrijf dus niet zomaar jouw gegevens bewaren. Alles moet verantwoord worden aan de toezichthouder, die beoordeelt of het gebruik van de data gerechtvaardigd is of niet. Daar zijn natuurlijk wel aanvullende regels voor opgesteld, zodat een bedrijf weet hoe het gecontroleerd gaat worden.’ De Autoriteit persoonsgegevens was al belast met diezelfde taak de afgelopen jaren, maar controleerde nauwelijks. ‘Ze hebben nu ongeveer 80 medewerkers in dienst en gebruiken een budget van 8 miljoen per jaar. Daarmee kun je natuurlijk onmogelijk alle Nederlandse bedrijven controleren. Ik verwacht daarom dat de toezichthouder flink zal gaan uitbreiden de komende jaren’, aldus Jansen. Sancties Dat zal ook wel moeten, want de GDPR belooft dat ook de controle veel strenger gaat worden. De sancties die je als bedrijf opgelegd kunt krijgen als je de regels overtreedt, zijn ook niet mis. Je riskeert om 4 procent van je wereldwijde jaaromzet te moeten afstaan, dat kan voor zwaargerwichten in de economie oplopen tot in de miljoenen. ‘Voorheen waren de boetes veel lichter. Sommige bedrijven namen die dan gewoon voor lief, zodat ze regels konden overtreden. Ik verwacht dat deze bedragen bedrijven zullen weerhouden om dat nog te doen’, zegt Jansen. Aanpak Afhankelijk van de core business van een bedrijf en in welke branche het opereert, kan het veel extra werk opleveren om alle data te verzamelen, analyseren en te verslaan. ‘Het ligt er ook aan hoe goed je overzicht van alle data nu is. Als je een IT-systeem hebt waarin alle orders netjes zijn opgeslagen, hoeft het niet veel werk te zijn. Maar als je die gegevens niet verzameld hebt, of op verschillende plekken, ben je langer bezig. Wij werken nu samen met corporate bedrijven die zich aan het voorbereiden zijn op de nieuwe regels. Sommigen van hen hebben complete task forces opgezet, die enkel bezig zijn met het verzamelen en analyseren van alle gegevens. In een corporate heb je natuurlijk veel medewerkers en verschillende afdelingen en divisies, daardoor raakt een bedrijf gemakkelijk het overzicht kwijt.’ Bescherming consument Daarnaast krijgt de consument een helpende hand toegereikt door de EU. De afgelopen jaren is de maatschappelijke discussie opgelaaid over privacy, vaak in een adem met bedrijven als Apple, Google en Facebook. Die bedrijven staan erom bekend veel te weten van hun gebruikers. Consumenten mogen bij bedrijven opvragen welke gegevens er over hen bekend zijn, dat bedrijf moet aan dit verzoek voldoen. Daarnaast mogen consumenten aangeven of ze willen dat hun gegevens worden doorgestuurd naar een andere partij. ‘Als je bijvoorbeeld van verzekeraar of bank wisselt, kan dat heel handig zijn. Dat geldt ook voor sociale media. Stel er komt een nieuw social media-platform op dat enorm trending wordt. Je mag dan aan Facebook vragen om jouw data door te sturen naar dat nieuwe platform.’ Cybercrime Ook is gedacht aan cybercrime binnen de verordening, een steeds meer voorkomende vorm van criminaliteit. Bedrijven hadden al de plicht om datalekken te melden, sinds de Meldplicht in 2016 werd ingesteld. ‘Ook die regels worden uitgebreid in de vorm van privacy by design. Een bedrijf moet hun gegevens ‘adequaat’ beveiligen volgens de nieuwe regels. Hierin krijgen bedrijven iets meer ruimte voor eigen invulling. Een brakke fiets is namelijk niet even waardevol als een medisch dossier. Deze moeten dus, gekeken naar de waarde van het product, op verschillende manieren worden beveiligd.’ Data verzamelen Voor veel bedrijven is het verzamelen van data erg waardevol. Op die manier kunnen ze profielen samenstelling van hun gebruikers, klanten, leveranciers en partners. De ruimte die ze daar nu voor hebben wordt flink ingeperkt door de GDPR. ‘Veel organisaties zullen hier niet blij mee zijn. Ze gebruiken die data namelijk als middel tot een doel. Vaak is dat het sturen van een nieuwsbrief, advertentie of actie. Maar ze kunnen dat doel ook op andere manieren bereiken. Ze mogen nog steeds bepaalde data verzamelen, zo lang het maar niet herleidbaar is naar een individu. Maar anonimiseren ze de informatie, dan is die nog steeds waardevol.’ Jansen ziet de nieuwe regels ook als een kans voor bedrijven om het vertrouwen van de consument terug te winnen. ‘Het consumentenvertrouwen is flink geschaad als het aankomt op privacy. Bedrijven moeten dit zien als een kans om hun vertrouwen terug te winnen. Als je toch transparant moet zijn van de wet, gebruik dat dan om bij het publiek aan te geven dat je eerlijk en betrouwbaar bent als bedrijf. Consumenten kunnen er steeds makkelijker achter komen wat je over ze weet, en bovendien worden ze steeds kritischer. Doe daar je voordeel mee.’

Management & Leiderschap

GDPR: dit moet je weten over de nieuwe regelgeving van data- en privacybeveiliging

Onze manier van data opslaan is met de jaren enorm veranderd. Waar we vroeger bestanden opsloegen op een floppy disk,...

author Romy Donk