Het wordt een wapenwedloop tussen privacyrichtlijn GDPR en tech-ontwikkeling. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De aankomende Europese richtlijn voor privacybescherming General Data Protection Regulation (GDPR) (in het Nederlands de algemene verordening gegevensbescherming ofwel AVG) legt organisaties geboden en verboden op. Het vergaren, opslaan en verwerken van bepaalde soorten, privacygevoelige informatie wordt aan banden gelegd. Technologische ontwikkelingen zorgen voor een spanningsveld. Wat nu nog niet (of niet goed of niet goedkoop) kan, is straks gemeengoed en kan GDPR-schendend blijken te zijn.
Zo weet Facebook al mensen te identificeren zonder aan gezichtsherkenning te doen. Het herkennen van mensen gebeurt op basis van lichaamstaal zoals houding, tred, vorm, kapsel, en meer. Organisaties die data over mensen anonimiseert volgens de huidige normen en mogelijkheden kunnen over X tijd alsnog privacygevoelige informatie blijken te bezitten. Het wordt dus een wapenwedloop tussen de GDPR en ict.
Wat vind jij?
Het gaat zo: techniek levert mogelijkheden, wetgeving kanaliseert. Daarna: techniek levert mogelijkheden, wetgeving kanaliseert… etc. Andersom is het lastiger want dan beknot de wet de techniek. En dan gaan andere partijen ermee vandoor die geen last hebben van de wet.
Dus Jasper, de Avg zal over een aantal jaren ook weer worden aangepast aan de dan actuele stand der techniek. De wet loopt altijd een stapje achter.
Beste Jasper,
M.i. voorziet de richtlijn in deze ontwikkeling door de definitie van wat een “persoonsgegeven” is. DIt is (art. 4 AVG):
“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wodt beschouwd een natuurlijk persoons die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”
Als techniek het mogelijk maakt door een combinatie van gegevens iemand te identificeren dan levert die combinatie van verzamelde factoren onder de AVG (m.i.) een persoonsgegeven op.
Zij jij dit anders?
Jasper,
Zoals de anderen al aangaven. De wetgeving volgt de technische mogelijkheden. De wetgeving volgt ook de mate waarop mensen hinder van een ander kunnen ondervinden, danwel zich (on)veilig zullen voelen.
Voorbeeld: zie alle wetgeving rond verkeer
– Er is wetgeving over de infrastructuur. Welke wegen/vaarwegen/luchtwegen worden voor welke doelgroep gemaakt, hoe moeten die dan worden aangelegd, wat voor beveiligingsmaatregelen moeten zijn genomen, etc. Bijv tunnels waarin inmiddels ook (te?) kritische brandmeldapparatuur zit. Heel vroeger, toen we alleen nog over bospaden reisden, toen waren er heel wat minder wetten.
– Er is wetgeving over voertuigen (end-user devices?). Elk soort voertuig kent wel een aantal beveiligingsmaatregelen. En wel passend voor dat voertuig. Remmen, verlichting, gordels, kooistructuur, blusapparatuur voor snelvarende boten, etc. Vroeger, toen we met paard en wagen reisden, toen waren er heel wat minder wetten.
– Er is wetgeving over gedrag. Verkeerswetten, zeemanswetten, luchtvaartwetten. Voor elke manier van vervoer in de publieke ruimte is er wel een wet. Meestal moet je zelfs een proeve van bekwaamheid afleggen. Reisbewijs, vaarbewijs, vliegbrevet. Maar voor sommige voertuigen/infrastructuur is dat helemaal niet vereist of nodig. Ook dan gelden die wetten nog steeds.
Wetten zijn er niet voor om te plagen of te hinderen. De verkeerswetten maken het mogelijk dat ik heel snel van de ene kant van het land naar de andere kant kan reizen. Zonder die wetten zouden infrastructuur, voertuigen en vooral het gedrag van anderen mij niet helpen, maar juist hinderen. Dan zou ik mij tijdens een reis al snel onveilig voelen. Dan gaat de reis vele malen langer duren. Alleen buiten de publieke ruimte, alleen daar kan ik niet worden belemmerd. En daarom gelden de verkeerswetten niet op privaat terrein.
Dit staat ook de IT te wachten. IT is ook niet meer dan een stukje infrastructuur, end-user devices en gedrag. Zodra je IT gebruikt in de publieke ruimte, zodra de één last kan ondervinden van de ander, dan (en pas dan) is er wetgeving nodig. Die situatie is met IT inmiddels ontstaan. De GDPR is slechts één van de voorbeelden. En die richt zich op gedrag (niet precies, maar toch). De Cookiewetgeving en roaming wetgevingen richten zich op infrastructuur (wederom niet precies, maar toch). En de voorgestelde wetgeving over IoT richt zich op end-user devices. Er zal nog veel meer wetgeving volgen. Niet omdat dit lollig is, maar omdat het noodzakelijk geworden is.
Mijn stelling is dan ook
Net zoals Max Verstappen goede remmen nodig heeft om te kunnen winnen (zelfs om de race uit te kunnen rijden), zo is beveiliging van IT noodzakelijk om maximale opbrengst uit/met IT te kunnen halen.
Mvg
Fekke
Wetgeving is in beginsel techniek-onafhankelijk. Zo ook de GDPR.
Het bepaalt WAT er moet gebeuren, niet HOE.