De privacy paradox en Europa's weg vooruit in gegevensbescherming

Bij het Digital Rights Forum 2016 besproken experts de voorbereiding van bedrijven om de Algemene Verordening Gegevensbescherming uit te voeren en debatteerden ze over of we wel echt weten welk type gegevensbescherming mensen nodig hebben.
"We moesten de regelgeving rond gegevengsbescherming aanpassen om het tempo van technologische uitdagingen bij te blijven," verklaart Paulo Silva, vertegenwoordiger van de Europese Commissie. Hij sprak op het Digital Rights Forum 2016 over de veranderingen die de Algemene Verordening Gegevensbescherming teweeg zal brengen.

Evolutie in plaats van revolutie

Volgens Silva zal de nieuwe verordening evolutie in plaats van revolutie betekenen voor gegevensbescherming, aangezien we al bekend zijn met het merendeel van de regels.

"Wat verandert er? We zien een trend naar een grotere verantwoordingsplicht voor gegevensverwerkers. Dit is een nieuw model voor het beheer van gegevensbescherming. Een model dat erop gericht is mensen het makkelijker te maken controle te hebben over hun gegevens."

De verordening maakt het makkelijker om gegevens te beheren. Gegevensverwerkers worden nu ook verplicht meer uitgebreide informatie te geven over hoe ze persoonlijke gegevens zullen gebruiken. Ook moet toestemming uitdrukkelijk worden gegeven om gegevens te verwerken.

Iets anders nieuws aan de verordening is voorbedachte gegevensbescherming. Verschillende producten en diensten zullen ook verplicht worden om maatregelen met betrekking tot gegevensbescherming te nemen - bijvoorbeeld, als je ijskast is verbonden aan het internet, wordt het noodzakelijk om ervoor te zorgen dat het niet werkt zonder een correct wachtwoord.

Deze nieuwe regels over gegevensbescherming zullen van toepassing zijn op zowel bedrijven in de EU als bedrijven buiten de EU die hun diensten en producten willen leveren aan burgers in de EU.

Online gedrag volgen

Christian D'Cunha, assistent van de Europese Toezichthouder voor gegevensbescherming (EDPS), sprak over voordelen voor de concurrentiepositie die door gegevensbescherming worden geboden. Volgens hem is privacy essentieel voor het genot van andere rechten - vrijheid van meningsuiting, innovatie, creatie en, meer recentelijk, het kiezen tot welke inhoud men toegang heeft.

"Driekwart van alle mensen ontvangt hun nieuws door social media, maar jullie ervaringen worden bepaald door algoritmes. Toen ik troost zocht op Facebook na Brexit had ik verwacht dat 95 % van de mensen hadden gestemd om in de EU te blijven, maar dat was duidelijk niet waar."

D'Cunha zegt dat 91% van de inwoners van de VS niet denkt dat ze nog kunnen controleren hoe bedrijven hun gegevens gebruiken.

"Afgelopen jaar bezochten we Silicon Valley, waar we afspraken hadden met bedrijven en de indruk kregen dat het dominante bedrijfsmodel dezer dagen draait om het volgen van online gedrag," Volgens D'Cunha onthulden de meetings dat het moeilijk was om steun van investeerders te krijgen zonder te laten zien hoe ze geld konden verdienen aan gegevens. Bedrijven die willen ontsnappen aan dit model trekken simpelweg geen investeringen aan.

Litouwse bedrijven passen zich aan

Deze trend werd ook geobserveerd door Mindaugas Kiškis, die een onderzoek presenteerde naar de voorbereiding van Litouwse bedrijven om de Verordening te implementeren. Volgens de expert waren onderzoekers positief verrast door de vooruitstrevendheid van Litouwse bedrijven en hun bereidheid om zich aan te passen aan nieuwe technologieën. Aan de ene kant betekent dit dat (vooral start-ups) niet goed kunnen concurreren, aan de andere kant creëert dit minder risico's voor gegevensbescherming.

Volgens Kiškis vertrouwen bedrijven, wanneer het gaat om gegevensbescherming, vaak op interne bronnen en dragen ze dit niet over aan professionals, ook al weten ze zelf niet veel af van privacyregels en gegevensbescherming.

De onderzoeker bekritiseerde de bureaucratische, formalistische aanpak van gegevensbescherming en de ongelijke praktijken van de EU met betrekking tot de bescherming van privacy.

"De Europese Commissie vertelt ons dat ze onze privacy beschermen, en deze zelfde Commissie, zou ik zeggen, beslist nogal ondemocratisch om biometrische gegevens van alle EU-burgers te verzamelen.'

De expert vroeg zich af of er niet met een dubbele standaard werd gemeten. "Heeft iemand gevraagd of we dit wilden, of onze toestemming gevraagd om onze biometrische gegevens te gebruiken? Persoonlijk denk ik dat het niet erg veel bijdraagt aan de algehele perceptie van privacy."

'Zware beveiliging is weinig waard'

Volgens Kiškis is het publiek niet genoeg geïnformeerd over privacy en gegevensbescherming. Daarbij is er een behoefte aan kwalitatief onderzoek om te analyseren hoe mensen tegen privacy aankijken. Terwijl velen claimen dat ze privacy belangrijk vinden, kunnen ze niet veel zeggen wanneer er dieper op in wordt gegaan. Zonder kwalitatief onderzoek is het onduidelijk of dit soort regelgeving echt is wat mensen nodig hebben.

'We zijn gefixeerd op zware beveiliging, op de versleuteling van gegevens en firewalls. We moeten begrijpen dat zware beveiliging in realiteit maar weinig waard is. Als we goed kijken naar bedreigingen, is twee derde 'zwak' en veroorzaakt door mensen. Versleuteling is niks waard wanneer je wachtwoord 'Litouwen1' is.

Om privacy te verbeteren en persoonlijke gegevens beter te beschermen raadt Kiškis aan om de rol van overzichtsinstanties te versterken, zodat ze bedrijven kunnen adviseren over gegevensbescherming en een groter bewustzijn kunnen creëren over veranderingen en de nieuwe voorzieningen in dit gebied.

De privacy paradox

In de tweede helft van het evenement sprak Natalija Bitiukova van het Human Rights Monitoring Institute over de privacy paradox en presenteerde een onderzoek over de publieke opinie over gegevensbescherming.

Volgens Bitiukova is er een duidelijk kloof tussen wat mensen willen met betrekking tot het geven van toegang tot hun gegevens en hun gedrag in de praktijk. Ondanks dat zij claimden dat het belangrijk voor hen was, kozen velen ervoor het niet te reporteren aan een instelling wanneer er een schending was geweest van hun privacy.

Zie hier de opname.