Iedereen krijgt er mee te maken

Paul Bessems, 16-05-2016

Iedereen krijgt er mee te maken, weinig zijn er op voorbereid. De nieuwe Europese privacy wetgeving heeft zowel invloed op individuen als op organisaties, vooral op IT-organisaties. In uitzendingen van bijvoorbeeld Zembla en Nieuwsuur blijkt maar weer eens hoe naïef veel mensen omgaan met hun persoonsgegevens… totdat een aantal jaren later op onverklaarbare wijze bijvoorbeeld een verzekering of hypotheek wordt geweigerd. Dit lijkt op een herhaling van onze naïviteit met het aangaan van schulden voor de crisis van 2008:

Als het over het gebruik van persoonsgegevens gaat, is de naïviteit van veel mensen vergelijkbaar met het aangaan van schulden.’

Vaak reageren mensen in eerste instantie afwijzend als ik ze uitnodig mee te denken over de gevolgen van de nieuwe privacywetgeving. Het is vaak nog een ‘te ver van hun bed show’. Of ze geven het geen prioriteit, of denken, net als bij het aangaan van schulden, dat de overheid wel ‘een oogje in het zeil’ zal houden. Helaas, overheden maken zich zelf schuldig aan het niet zorgvuldig omgaan met persoonsgegevens. Ook treedt een fenomeen op dat ook wel het ‘code is law principe’ genoemd wordt. Volgens dit principe wordt ons gedrag niet alleen gevormd door wetten en instituties, maar ook door systemen. We vinden ‘gratis’ social media wel prettig, raken er gewend aan, maar kunnen straks niet meer zonder. De mens vormt het middel en daarna vormt het middel ons.

Het gaat mij misschien te ver om te spreken van een nieuw vorm van feodalisme met Silicon Valley als leenheer, maar als we niet ingrijpen en onze digitale samenleving vanaf het ontwerp fundamenteel anders gaan organiseren, gaat de macht wel naar een beperkt aantal techbedrijven en centrale overheidsdiensten. Het gaat volgens mij dan ook niet alleen over privacy, maar ook over macht. Net als bij het illegaal delen van muziek en films, is het met het huidige ontwerp moeilijk om het illegaal (en zelfs het legaal) delen van persoonsgegevens onder controle krijgen. En als dat niet lukt, zullen er websites ontstaan zoals Napster en BitTorrent, waar je zo een profiel van iemand kunt downloaden met alle persoonsgegevens die je nodig hebt, inclusief ziektebeeld, financiële situatie, politieke voorkeuren, religie en ideologie. Het mag niet, maar het kan wel. Dat is gewoon inherent aan de manier waarop we op dit moment onze digitale samenleving, het internet en het opslaan en verwerken van persoonsgegevens georganiseerd hebben.

‘Het oplossen van deze ‘bug’ zal veel meer kosten dan het oplossen  van de millennium bug.

Een gemiddelde Nederlander (inclusief kluizenaars) zit in 250 tot 500 verschillende databanken met praktisch dezelfde gegevens. Alleen de overheid heeft al 5.000 verschillende databanken met persoonsgegevens. Het probleem zit in het ontwerp. Het probleem zit in het gekozen organisatiemodel dat aanbod inzichtelijk maakt, vraag en aanbod bij elkaar brengt en coördineert. We hebben dus niet zozeer een privacy- of IT-probleem, als wel een organisatieontwerp uitdaging.

Ook organisaties zijn (nog) niet echt onder de indruk van de Algemene Verordening Gegevensbescherming (AVG). In dit artikel gebruik ik vooral de afkorting van de Engelse term: General Data Protection Regulation (GDPR), zoals de nieuwe verordening (legal act) heet. Vaak hebben bestuurders er zelfs niet eens van gehoord. Maar bijvoorbeeld een niet tijdig gemeld datalek, kan je organisatie al snel tot 4% van de wereldwijde jaaromzet kosten! En de kans op datalekken neemt alleen maar toe met de complexiteit van systemen waar steeds nieuwe functies aan toegevoegd worden en neemt toe met de groeiende verbondenheid van systemen via het internet.

Het ziet ernaar uit de GDPR de belangrijkste leidraad gaat worden voor de bescherming van persoonsgegevens en daarmee het ontwerp van de meeste IT-systemen voor de komende decennia. Daarmee zal GDPR een grote invloed hebben, niet alleen op IT-bedrijven en IT-organisaties, maar op alle organisaties die persoonsgegevens vastleggen in bijvoorbeeld HRM-, CRM- of ERP systemen. Het lijkt me dus belangrijk iets meer te weten over de nieuwe privacywet. Je nu voorbereiden voorkomt hoge boetes en kosten voor aanpassing later (denk aan de millennium bug). Daarnaast biedt ook nieuwe kansen voor individuen en organisaties die het vanaf het ontwerp, wel goed regelen.

>> Ga naar volledig artikel

Personal Data Service op de Blockchain

Paul Bessems 11-04-2016

Misschien heb je het al gehoord, maar er komt een nieuwe Europese privacy wetgeving die grote gevolgen zal hebben voor elke organisatie die persoonsgegevens opslaat en verwerkt (en wie doet dat niet?). Bijna alle IT-systemen gebruiken wel persoonsgegevens zoals geboortedatum, gevolgde opleiding, functie en adres. Denk aan webwinkels, inkoop-, verkoop- of HRM-systemen. Dus er is werk te doen. Misschien denk je, wat moet ik hier allemaal mee, ik heb het al zo druk? En is dit niet iets voor juridische zaken of IT? De eerste reactie van veel organisaties is dan ook meer IT-investeringen, meer beveiliging, meer regels en procedures. Maar het zal je misschien verbazen: er is een oplossing die veel simpeler, veiliger en goedkoper is. En ook jij kunt deze oplossing introduceren bij jouw organisatie of de organisaties die je adviseert. In deze blog lees je hoe. Wil je betaalbaar en structureel om kunnen gaan met de nieuwe privacywetgeving, dan heb je niet meer IT of regelgeving nodig, maar een nieuwe manier van denken en een ander organisatieontwerp. We hebben het dan ook over Privacy By Design.

>> Ga naar artikel