Dataprivacy krijgt in 2024 nog steeds niet de aandacht die het verdient

Dataprivacy krijgt in 2024 nog steeds niet de aandacht die het verdient

Dataprivacy blijft een heet hangijzer voor burgers, organisaties en regelgevers. De opkomst van generatieve AI heeft nieuwe uitdagingen opgeleverd, terwijl de bewustwording over privacy nog steeds niet centraal staat bij organisaties.

Een jaar geleden spraken we met vijf experts over het belang van dataprivacy. Daaruit bleek dat regelgeving organisaties dwingt om aan bepaalde eisen te voldoen, maar dat privacy om meer dan compliance gaat. Ook is technologie geen wondermiddel: de juiste omgang met dataprivacy gaat om bewustwording onder werknemers ver voorbij de IT-afdeling. Belangrijk daarbij is ook om überhaupt een overzicht te hebben van de data waarover men beschikt, want anders is er geen beginnen aan.

Lees hier verder: Dataprivacy is geen ICT-feestje: weet waarom je het doet en zoek de juiste mensen erbij

Die cultuuromslag gaat niet over één nacht ijs, maar we zijn al bijna zes jaar verwijderd van de introductie van de GDPR, een belangrijk omslagpunt dat organisaties tot actie dwong. Recente praktische voorbeelden van misstanden zijn er echter genoeg. Creditcardbedrijf ICS voerde bijvoorbeeld geen risicoanalyse uit voordat het gevoelige persoonsgegevens massaal inzette voor verificatiechecks. Ondertussen ging de Nationale Politie verkeerd om met het internationale opsporingssysteem SIS, waardoor persoonlijke informatie veel te lang bewaard bleef en de vrijheid van bepaalde burgers inperkte.

Deze incidenten wijzen op een maatschappelijk tekort aan erkenning voor dataprivacy als centraal aandachtspunt. Datalekken zullen altijd voorkomen en gegevens kunnen soms onbedoeld bewaard blijven, maar de frequentie en schaal van de gemaakte fouten laten een cultureel probleem zien. ICS had het recht om gevoelige informatie te gebruiken, maar negeerde de privacyregels simpelweg. Een boete van 150.000 euro zal enkel gelden als tik op de vingers.

‘Privacy washing’

Grote techbedrijven lijken goed op weg te zijn. Zo bieden bedrijven meer privacy-features voor gebruikers en krijgt data residency meer aandacht bij zakelijke diensten. Toch profiteert men daar ook van losse richtlijnen en definities die imposanter klinken dan ze lijken. Zo is de zogeheten Microsoft Cloud for Sovereignty niet duidelijk genoeg dichtgetimmerd om bijvoorbeeld banken en andere spelers in kritieke sectoren te verzekeren dat Amerika geen kijkje in de data kan nemen. Ook zijn beloftes van OpenAI om gesprekken niet op te slaan van betalende ChatGPT-abonnees een duidelijk voorbeeld van ‘privacy washing’. Dat is namelijk an sich helemaal niet genoeg om gebruikers gerust te stellen: men moet weten waar de data belandt en of dit door een kwaadwillende te bemachtigen is, iets dat met AI-modellen vanuit de nieuwe GPT Store niet mogelijk is.

Men kan deze losse houding tegenover dataprivacy in stand houden omdat ook de gebruiker er gemiddeld gezien niet al te veel op let. Als ChatGPT voor gemeentelijke ambtenaren de meest frictieloze oplossing is voor het samenvatten van tekst, dan maakt men er massaal gebruik van. Dat gevoelige data daardoor niet meer intern wordt gehouden, wordt klaarblijkelijk genegeerd. Regels kunnen dit soort praktijken inperken, maar wederom vereist het een andere omgang met data dan voorheen bekend is.

Het aanstellen van een interne privacytoezichthouder zou op papier voor de eerder genoemde culturele omslag kunnen zorgen. Echter stelt de Autoriteit Persoonsgegevens dat deze werknemer niet onafhankelijk aan de slag kan. In sommige sectoren is een functionaris gegevensbescherming (FG) verplicht, maar uit onderzoek op basis van 17.000 respondenten blijkt dat meldingen maar lastig bij het hoogste management belanden. 12.000 Nederlandse organisaties maken gebruik van een FG, laat de AP weten.

Niet alleen ‘doom and gloom’

Het blijkt dus lastig om met regels en werknemers daadwerkelijk privacy op een hoger plan te brengen. Vorig jaar bleek uit het eerder genoemde rondetafelgesprek dat er echter qua dataprivacy wel degelijk vooruitgang geboekt is. Sinds de introductie van de GDPR-/AVG-wetgeving in 2018 letten organisaties beter op omdat ze privacy-compliant dienen te zijn. Nieuwe wetten zoals de recent in werking gestelde Data Act dwingen een nog strengere houding af. Dat zal geleidelijk voor verbetering zorgen. Een grotere verantwoordelijkheid over databescherming leidt nu eenmaal tot meer vergaderingen hierover, veranderingen aan werkwijzen en langere checklists.

Een andere belangrijke factor om de staat van dataprivacy te verbeteren, is het gevaar van cybercriminaliteit. Infiltraties van netwerken kunnen een stuk minder gevaarlijk zijn als best practices worden nageleefd. Aangezien steeds meer organisaties een zero-trust aanpak hanteren, is veel data afgeschermd van een ransomware-aanval. Hoewel de motivatie om zero-trust te gebruiken eerder vanuit security gebeurt, verminderen de privacy-risico’s tegelijkertijd.

Privacy als aantrekkingskracht

We keren terug bij de Autoriteit Persoonsgegevens. Eind vorig jaar riep men namelijk bedrijven op om transparanter te zijn over hun dataprivacy. Want: “Door als bedrijf actief te laten zien hoe je met [privacy]risico’s omgaat, kun je vertrouwen winnen.”

Dat vertrouwen van de gebruiker is precies waar partijen als Microsoft en OpenAI naar op zoek zijn, maar de lat moet hoger gelegd worden. Claims worden op den duur geloofwaardiger als de regels een stuk strenger zijn. Momenteel is dat nog niet het geval, aangezien zelfs Google’s eigen CEO niet op de hoogte is van het privacybeleid dat het bedrijf zelf voert.

De stap richting transparantie kan in ieder geval lucratief zijn voor bedrijven. Hoewel de focus momenteel ligt op compliance bij deze groep, laat onderzoek van Cisco zien dat transparantie voor consumenten centraal staat. Wie daarop aanhaakt, kan het dus een aantrekkelijk verkooppunt maken.

Verder zijn generatieve AI-oplossingen steeds meer gericht op specifieke toepassingen, waarbij de eigen data een stuk waardevoller is geworden dan voorheen. Voor organisaties geldt dus dat een goed overzicht over de eigen data en de juiste omgang ermee de basis vormt voor een sterke AI-strategie. Wie precies weet welke gegevens men kan inzetten voor AI, kan er optimaal gebruik van maken binnen de kaders van de wet.

Lees ook: Data privacy: van noodzakelijke security-stap tot competitief voordeel