Schiet uit de privacykramp! Hoe technologie privacy eenvoudiger kan maken

Privacykramp!

Privacykramp lijkt een nieuw woord in de Van Dale te worden. Het hebben van verwerkingsregisters, cookie-regels, wel of geen gegevens uitwisselen. Allemaal vragen die zijn gaan leven na de invoering van de Algemene Verordening Gegevensbescherming (AVG). Al jaren voor de inwerkingtreding van de AVG was er aandacht voor het onderwerp privacy. Met als gevolg dat veel organisaties aan de slag zijn gegaan om persoonsgegevens beter te beschermen. Bijvoorbeeld door goed in kaart te brengen waar alle persoonsgegevens zijn opgeslagen en waarvoor ze nodig zijn.

De invoering van de AVG heeft tot gevolg gehad dat organisaties gegevens niet meer delen uit angst en onwetendheid voor de AVG. Als gevolg hiervan lopen organisaties tegen problemen aan in de dagelijks uitvoering van hun taken. Denk aan de overheid als het gaat om toezicht en handhaving, maar ook in de zorg (“mogen we de kamernummers van patiënten nog verstrekken aan familieleden?”¹). Met de boetes die wereldwijd worden uitgedeeld, is die zorg niet geheel onterecht2. Uit onderzoek uitgevoerd door Ipsos in opdracht van Capgemini in 2020 blijkt dat 39% geen vertrouwen heeft in hoe de overheid met hun persoonsgegevens om gaat.

Van welke van de volgende instanties/bedrijven heeft u er vertrouwen in dat ze veilig met uw gegevens omgaan?

Organisaties zijn fanatiek aan de slag gegaan om te (blijven) voldoen aan de lokale wet- en regelgeving. Net zoals informatiebeveiliging zou de AVG de bedrijfsdoelen niet moeten hinderen, maar juist ondersteunen zodat deze op een veilige manier behaald kunnen worden. De compliance-uitdagingen die de AVG met zich meebrengt moeten ondergebracht worden in de huidige organisatie en integreren met het bestaande landschap.

Bij grote organisaties zien we dat voor deze inventarisatie software werd gekocht, maar bij kleinere organisaties komen we nog regelmatig handmatige administraties in Excel tegen. Het invoeren van wet- en regelgeving en kaders wordt echter vaak gezien als een kwestie van ‘vinkjes halen’. Of het nu gaat om het implementeren van maatregelen uit de Baseline Informatiebeveiliging Overheid (BIO), de ISO 27001 serie of de AVG, vaak zien we dat het behalen van compliance belangrijker is dan het echt verbeteren van de veiligheid van gegevens. Compliance is bovendien een arbeidsintensief proces, voornamelijk bij handmatige administraties. Het vroegtijdig detecteren, corrigeren en voorkomen van afwijkingen of overtredingen van wet- en regelgeving op het gebied van privacy en informatiebeveiliging kan hierdoor lastig zijn.

De uitdagingen in de praktijk

Organisaties in het veiligheidsdomein werken met gevoelige informatie zoals gegevens uit de vreemdelingen- of de strafrechtketen. Wanneer dit soort gegevens uitlekken kan dit ernstige gevolgen hebben voor de betrokkenen. Niet voor niets heeft minister van Justitie en Veiligheid Ferdinand Grapperhaus de Tweede Kamer vorig jaar geïnformeerd over de verbetering van de centrale aansturing en beheersing van informatiebeveiliging binnen het ministerie van Justitie en Veiligheid.³

Als mensen beperkingen ervaren in het delen van noodzakelijke gegevens of bang zijn voor boetes, zijn ze geneigd om de meest veilige weg te bewandelen. Het gevolg daarvan is risicomijdend gedrag. Op zichzelf is dat geen kwalijke zaak, tenzij het een belemmerende werking heeft in de uitvoering. Ook ons veiligheidsdomein loopt hier tegenaan bij handhaving, fraudeonderzoek en opsporing. Het niet of juist overmatig voldoen aan de verschillende richtlijnen kost capaciteit, tijd en geld.

Kijkend naar handhaving en toezicht zijn de belangrijkste leveranciers van gegevens de overheidspartijen. Juist deze partijen ervaren problemen met het uitwisselen van data en het creëren van overzicht. Zo bleek recent ook met de dossiers van de Belastingdienst inzake de kinderopvangtoeslag⁴. Niet enkel met betrekking tot handhaving in het sociaal domein is deze data tussen deze partijen relevant, maar ook voor landelijke opsporing.

In de Kamerbrief van Ferdinand Grapperhaus is de ambitie uitgesproken om op het gebied van informatiebeveiliging te groeien van een volwassenheidsniveau van 2,9 nu naar een 4,2 op een vijfpuntschaal in 2021. Dat is een stevige groei, terwijl niet alle organisaties in het veiligheidsdomein de mogelijkheid en capaciteit hebben om een fulltime CISO of functionaris gegevensbescherming in dienst te nemen. Dat betekent dat organisaties slimmer te werk moeten gaan door repetitieve taken te automatiseren.

Door het automatiseren van tijdrovende bedrijfsprocessen kan efficiëntie gewonnen worden. Medewerkers kunnen zich focussen op hun kerntaken in plaats van afgeleid te worden door ‘uitzoekklusjes’ zoals het bij elkaar zoeken van persoonsgegevens in het kader van verzoeken tot inzage. Daarnaast kunnen doorlooptijden van aanvragen verkort worden, en de uitkomsten worden voorspelbaarder, waardoor uiteindelijk de klanttevredenheid kan worden verbeterd.

Automatisering van privacyprocessen

De politie werkt in de dagelijkse praktijk samen met andere overheidspartijen en derde partijen zoals woningbouwverenigingen. Hierbij willen ze structureel gegevens uitwisselen voor de uitvoering van hun taak. Deze gegevensuitwisseling leggen zij vast in convenanten om de samenwerking zo duidelijk en transparant mogelijk te maken. In deze gevallen zijn er extra privacyzorgen, want waar ligt de verantwoordelijkheid, wie moet een datalek melden en wie moet welk register bijhouden? Het overzicht houden van de verwerkingen, de datastromen en convenanten is cruciaal om het behapbaar te houden.

Wat daarbij kan helpen is een centraal platform in de organisatie. Geen versnippering van data stromen, geen verwerkingsregister per afdeling, niet zoeken naar eventuele informatieverzoeken die privacy-gerelateerd zijn, maar alle informatie overzichtelijk op één plek. Software kan helpen door slimme automatisering van specifieke AVG-processen. In de markt zijn verschillende softwarepakketten beschikbaar die organisaties hierin ondersteunen. Denk aan geautomatiseerde afhandeling van datalekken en melding van datalekken aan de Autoriteit Persoonsgegevens, of het geautomatiseerd aanmaken van privacyrisico’s. Zo is het mogelijk om via deze kunstmatige intelligentie vragen en klachten van betrokkenen af te handelen en alleen indien nodig menselijke interventie in te schakelen. Dit soort innovaties zorgen ervoor dat organisaties efficiënter beveiligingsmaatregelen kunnen doorvoeren en daarmee meer vertrouwen van klanten en burgers kunnen winnen.

Het toevoegen van intelligentie in procesautomatisering

Zoals eerder aangegeven bestaan er al diverse automatiseringsoplossingen voor specifieke AVG-processen zoals voor het uitvoeren van een privacy-risicoanalyse, het vastleggen van verwerkingen in een verwerkingsregister en het melden en mitigeren van een datalek. Dit soort privacymanagementsoftware automatiseert workflows zodat iedere rol in deze workflow automatisch zijn of haar taak toebedeeld krijgt.

Onze verwachting is dat de markt voor privacymanagementsofware in 2020 steeds volwassener gaat worden en dat softwarepakketten een combinatie gaan vormen met partijen die zich meer op content en uitvoering richten. Neem het privacymanagement softwarebedrijf OneTrust het DataGuidance platform overnam in maart 2019⁵. Het privacymanagementplatform van OneTrust werd hierdoor verrijkt met honderden internationale privacywetten en kon daardoor ook meer content-gerelateerde zaken automatiseren. Bijvoorbeeld een geautomatiseerde analyse van de verschillende wetgevingen die van toepassing kunnen zijn op één specifieke casus (zoals de Wet Politiegegevens en de AVG die beide van toepassing kunnen zijn in een opsporingszaak). De politie en andere overheidsdiensten krijgen regelmatig te maken met onderzoeken die de landsgrenzen overschrijden. Privacysoftware kan hier een uitkomst bieden doordat alle internationale privacywetten zijn geïntegreerd. De software maakt een eerste analyse die later door de verantwoordelijke privacy officer als uitgangspunt gebruikt kan worden voor het definiëren van maatregelen of het opzetten van een verdere analyse. Op deze manier faciliteert de software het efficiënter doorvoeren van de diverse maatregelen.

Innovatieve niche-oplossingen

Naast toevoegingen van automatisering zien we ook dat er nieuwe partijen de markt zullen betreden met zeer specifieke niche oplossingen. Zo biedt de start-up Privaci.ai een platform om compliancetaken te automatiseren door gebruik van kunstmatige intelligentie⁶. Deze start-up heeft recentelijk 31 miljoen dollar aan investeringen opgehaald en heeft als doel om verzoeken van betrokkenen te faciliteren, toestemming voor verwerken te verzamelen en organisaties te helpen bij het uitvoeren van data protection impact assessments. Met name het gebruik van kunstmatige intelligentie is interessant. Middels machine learning (zie kader) leert het platform om verschillende datatypes in kaart te brengen, te classificeren en te onderscheiden van elkaar. Vervolgens kan het deze datatypes koppelen aan een betrokkene die reeds geïdentificeerd is. Het platform kan hierdoor een volledige afhandeling van het verzoek van een betrokkene doen: identificatie van de betrokkene, koppelen van de juiste data aan deze betrokkene en het koppelen van alle betrokken stakeholders (zoals de privacy officer of de servicedesk die dit verzoek moet behandelen).

Machine learning is een breed onderzoeksveld binnen de kunstmatige intelligentie dat zich bezighoudt met de ontwikkeling van algoritmes en technieken waarmee computers kunnen leren door op geautomatiseerde wijze patronen en relaties te zoeken in grote hoeveelheden gegevens.

Tot slot

Hoewel op dit moment veel organisaties in een zogenaamde ‘privacykramp’ schieten, zijn andere organisaties naarstig aan de slag gegaan om de privacy op orde te brengen. Sommige organisaties gebruiken voor de ondersteuning van deze werkzaamheden specifieke privacysoftware maar bij kleinere organisaties komen we ook nog regelmatig administraties in Excel tegen. Verder zien we een toename van automatisering van privacyprocessen met als doel het bereiken van een betere efficiëntie binnen deze AVG-processen. Onze visie is echter dat naast deze efficiëntieslag de technologie zich ook in de richting van intelligentere privacysoftware zal ontwikkelen. Voorbeelden van dit soort intelligentie zijn: een pre-analyse van de verschillende wetten die van toepassing kunnen zijn op een bepaalde casus of het afhandelen van bepaalde verzoeken in het kader van de rechten van betrokkenen door middel van kunstmatige intelligentie. Dit kan nu nog gezien worden als een niche maar zal door verdere doorontwikkeling meer volwassen worden. Uit de kramp dus.