Aandacht voor privacy is begrijpelijk en nodig. Het is een tijdperk van meer regels en meer dreigingen. En ook van meer potentiële kosten, in reputatieschade en op te leggen sancties. Gelijktijdig neemt het privacybewustzijn bij burger en consument toe. Hoe kunnen we de privacy beschermen zonder de innovatie te remmen? Schets van een aantal ontwikkelingen.
De zogenaamde ‘Digital Convergence’, waarin de ontwikkelingen rond Big Data, het Internet of Things, Analytics, Cognitieve Systemen en Cloud bij elkaar komen, lijkt soms als één grote golf op ons af te komen. Wordt privacy in die ontwikkeling een belemmerende factor (NO) of is daar, uiteraard op een verstandige manier, een mouw aan te passen? (KNOW).
KNOW: De mogelijkheid om productiviteitsstijgingen en kostenbesparingen te realiseren door met zoveel mogelijk en zo toepasbaar mogelijke data aan de slag te gaan.
NO: Beperkingen die privacy-regels of -zorgen opwerpen. Zoals het ontbreken van transparantie en controleerbaarheid, onduidelijkheid waar ‘mijn’ data is opgeslagen en hoe er mee wordt omgegaan. Ook met het eventuele verplaatsen van data: welke locaties, welke landen zijn geschikt?
Be prepared
Het wordt tijd om een brug te slaan tussen de wereld van de wet- en regelgeving en die van de technologie. Be prepared! De befaamde basketbal-coach John Wooden zei ooit: “Als je al geen tijd hebt om het de eerste keer (goed) te doen, wanneer heb je dan de tijd om het óver te doen?”
Vaak worden privacy- en beveiligingswaarborgen áchteraf toegevoegd, als de noodzaak daartoe op vervelende wijze is gebleken. Dat leidt tot hogere kosten en grote implementatie-complexiteiten. Hoeveel verstandiger is het niet om van te voren stil te staan bij te nemen maatregelen? Privacy en Security moet een vanzelfsprekendheid zijn, en in het DNA van een organisatie aanwezig zijn. Privacy by Design dus.
Onderdeel van een tijdige aanpak is een programma voor de beveiliging van kritieke data en daarbinnen van de echte ‘kroonjuwelen. Beoordeel de eigen securityprocessen en/of -controles en maak een gap-analyse. Werk met hypotheses. Op bestuurlijk niveau heeft onder ander de Taskforce BID (Bestuur en Informatieveiligheid Dienstverlening) daar op behartenswaardige wijze aandacht voor gevraagd.
Een belangrijk uitgangpunt is om maatregelen ‘fit-for-purpose’ toe te passen. Waar data gebruikt wordt voor initiële of verkennende doelstellingen past een ander en soepeler beleid dan wanneer data gebruikt wordt voor het ondersteunen van bedrijfskritische beslissingen.
Digitale waakhond
IBM Research werkt aan het concept van de ‘Digital Guardian’, met als doel de kernvraag te kunnen beantwoorden: bent u ‘U’ wel? Door slimme analysetools te gebruiken kunnen we waarnemen of en hoe er contact wordt gemaakt met bedrijfsmiddelen en bouwen we een risicoprofiel op voor elk van deze bedrijfsmiddelen. Data mining-technieken, machine learning en cognitive computing worden gebruikt om modellen te bouwen, normale gedragingen vast te leggen en afwijkende activiteiten te signaleren. We noemen dat Security 360.
Fitness app: Privacy-Based Consent Management
Het geheel wordt vervolmaakt met een scala van security-controls die elk moment op risico’s kunnen anticiperen. Zo verraadt de misbruiker van de verloren smartphone zich bijvoorbeeld door zijn afwijkende manier van bedienen. En zo kan een lage afrekening bij een tankstation de alarmbel doen rinkelen omdat de digitale waakhond weet dat uw tank nog bijna vol is, en dat u nooit tankt als uw tank nog meer dan een kwart gevuld is. Daarbij: u bent toch op kantoor terwijl de transactie wordt geregistreerd?
Lerende systemen
Dergelijke lerende systemen kennen u, helpen u en beschermen u. Ze worden bovendien steeds doeltreffender omdat we steeds meer van ons leven digitaal documenteren. Een eerste generatie van dergelijke systemen noemen we ‘Cognitive Security’: beveiligingssystemen die herkennen, redeneren en leren van dreigingen. Eigenlijk hebben we het over het inbouwen van beveiligingsinstincten en – expertise. Die expertise wordt gevoed door geautomatiseerde analyse van onderzoeksrapporten, webteksten, dreigingsdata en andere relevante gestructureerde en vooral ongestructureerde data. Precies zoals cybersecurity-analisten elke dag doen, maar dan op een nog nimmer vertoonde schaal. En al deze opgedane kennis kan weer worden gedeeld met de menselijke analisten. Dat is de kern van Cognitive Security.
Privacy Based Access Control
Een laatste ontwikkeling waarin voortgang wordt geboekt: Privacy Based Access Control. Wie leest de gebruikersvoorwaarden van die nieuwe app? Bijna niemand natuurlijk. We drukken op de AKKOORD-knop om snel verder te kunnen. Dat moet dus anders, zeker als het om contact tussen burger en overheid gaat of om zaken doen: privacy based consent management. Daarbij leg je als gebruiker vast welk niveau van informatie je wilt delen met wie, mét inzicht in de data-elementen die gedeeld worden. Geen lange en ingewikkelde privacy statements meer de niemand begrijpt. De gebruiker beheert zelf tot op welk niveau de app data verzamelt deelt door op eenvoudige wijze de eigen voorkeuren vast te leggen. Dat werkt op basis van tevoren geformuleerde gebruiksregels (‘policies’). Zie als voorbeeld bijgaande fitness app. Een zeer wenkend perspectief!
Erno Doorenspleet, Executive Security Advisor;
Rob Nijman, Client Relationship Executive Central Government, IBM Nederland B.V.
