Mastercard profiteert van Algemene Verordening Gegevensbescherming. Privacy by design is waardevol

De Algemene Verordening Gegevensbescherming (AVG) heeft creditcardmaatschappij Mastercard veel positieve effecten opgeleverd”, zegt Chief Privacy Officer Caroline Louveaux van het creditcardbedrijf Mastercard.

Mastercard moest vanwege de AVG tienduizenden contracten met partners en klanten harmoniseren.

Caroline Louveaux liet zich lovend uit over de AVG tijdens de Most Powerful Women International conferentie van Fortune in de Canadese stad Montreal.

Het hele produktontwikkelingsproces is op de schop gegaan. Privacy by Design is dankzij de AVG nu een essentiele voorwaarde geworden bij Mastercard.

Zij hoopt dat de rest van de wereld de Europese privacywet overneemt.

Voorheen moest Mastercard rekening houden met een lappendeken aan verschillende nationale wetten in Europa. “Enkel één wet voor alle activiteiten in heel Europa is voor ons onbetaalbaar,” zegt Louveaux.

Ze hoopt dat de 50 verschillende staten van Amerika in navolging van de EU hun privacyregels zullen harmoniseren.

Caroline Louveaux van Mastercard tijdens Most Powerful Women International conferentie

Hoe maak je Privacy by Design concreet? En hoe pas je het in de praktijk toe? (gratis Blauw Boekje)

Privacy by Design en Privacy by Default. Twee termen die ondernemers sinds de invoering van de Algemene Verordening Gegevensbescherming  (AVG) geacht worden te kennen.

Weet jij wat Privacy by Design betekent?

‘Privacy by design’ houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG.

Zo staat het tenminste in de privacywet. Maar de beschrijving is zo vaag dat veel mensen nog steeds niet weten wat ze met Privacy by Design aan moeten.

Privacydeskundigen leggen Privacy by Design als volgt uit:

Privacy by Design betekent dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Tsja… Begrijp je het nu?

“Helaas is deze wetgeving complex en vaag”, schrijft Jaap-Henk Hoekman in het voorwoord van het gratis boek Privacyontwerpstrategien (Het Blauwe Boekje).

Hoekman is privacy expert, verbonden aan de vakgroep informatica van de Radboud Universiteit en de rechtenfaculteit van de Rijksuniversiteit Groningen. Hij is ook verbonden aan het Tilburg Institute of Law, Technology, and Society (TILT). Hij is principal scientist van het Privacy & Identity Lab.

Blauwe Boekje is voor bedrijfsleven en overheidsorganisaties interessant

Het Blauwe Boekje is gericht op alle organisaties (bedrijfsleven of overheid) die persoonsgegevens verwerken. Het Blauwe Boekje is met name bedoeld voor ontwerpers en bouwers van systemen die persoonsgegevens verwerken, en de mensen die voor die systemen verantwoordelijk zijn.

“De AVG biedt weinig concrete handvatten voor ontwerpers en systeembouwers”, schrijft Hoekman. “Dat is een probleem als je een systeem privacy vriendelijk wilt ontwerpen. Bijvoorbeeld door de privacy by design ontwerpfilosofie toe te passen, die vereist dat privacy- bescherming vanaf het begin af aan meegenomen wordt bij het ontwerpen en bouwen van nieuwe systemen.”

“Privacy wordt daarmee, net als beveiliging, een softwarekwaliteitsattribuut. Privacy by design is sinds 2018 wettelijk verplicht. Maar je kunt het ook gebruiken om verder te gaan dan de minimale bescherming die de wet vereist, bijvoorbeeld door te innoveren op basis van privacy.”

Hoe maak je privacy by design concreet? En hoe pas je het in de praktijk toe? Daar geeft Het Blauwe Boekje antwoord op.

Het boek beschrijft acht privacyontwerpstrategieën. Iedere strategie wordt kort uitgelegd en geïllustreerd aan de hand van praktische voor- beelden.

Daarnaast worden een aantal concrete technieken genoemd waarmee de strategie in de praktijk geïmplementeerd kan worden.

In het twee na laatste hoofdstuk wordt ingegaan op de vraag hoe je de privacyontwerpstrategieën in de praktijk toepast, en hoe ze ingepast kunnen worden in bestaande ontwikkelmethodes.

Waarom heet dit “Het Kleine Blauwe Boekje”? “Omdat blauw de kleur van vertrouwen is“, schrijft Hoekman.

Het Blauwe Boekje gratis downloaden

Je kunt Het Blauwe Boekje gratis downloaden via de site De Privacycoach van Jaap-Henk Hoekman.

‘Slechts’ 16,5 miljoen Euro boete voor Britse Tesco bank wegens ontbreken cyberbeveiliging in 2016. Had met nieuwe AVG nu ruim 2,2 miljard Euro kunnen zijn

Wie dacht dat het allemaal wel mee zou vallen met de dreiging van megaboetes bij overtredingen van de AVG heeft het bij het verkeerde eind. In Groot-Brittannie wordt momenteel de toon gezet bij handhaving van de Europese privacyregels.

De Britse bank Tesco heeft een boete van 16,5 miljoen Euro gekregen van de Financial Conduct Authority (FCA) voor het ontbreken van beveiligingsmaatregelen tegen een cyberaanval die in november 2016 plaatsvond.

De fraude heeft de cyberaanvallers in dit geval 2,4 miljoen Euro opgeleverd.

Tesco had geluk bij een ongeluk omdat de nieuwe AVG destijds nog niet van kracht was.

Als de cybercriminelen na 25 mei 2018 hadden goegeslagen, toen AVG in werking trad, had Tesco boetes tot 4% van zijn jaarlijkse omzet moeten betalen. Dat ongeveer 2,2 miljard Euro zou zijn geweest.

De Britse toezichthouder FCA zegt dat organisaties ervoor moeten zorgen dat hun systemen zo inrichten dat het risico van cyberaanvallen bij voorbaat vermindert. Privacy by design en privacy by default, eist de AVG.

Te weinig, te laat

“Dit was te weinig, te laat. Klanten hadden helemaal niet aan het risico mogen worden blootgesteld”, erkent chief executive Gerry Mallon van Tesco achteraf ruiterlijk. Dat is een bijzonder dure les voor de bank.

Tesco Bank kreeg overigens onder de oude regels ook nog 50 procent strafvermindering omdat er op hoog niveau werd meegewerkt tijdens het onderzoek door de toezichthouder. Die had op basis van de oude privacyregels uit 2016 een boete van meer dan 30 miljoen Euro kunnen opleggen.

De boetes kunnen in de toekomst volgens de Britse toezichthouder juist fors hoger uitpakken.

 

Deze sanctie herinnert eraan hoe belangrijk het is dat organisaties rekening houden met hun kwetsbaarheid en investeren in beveiligingsmaatregelen“, aldus de FTA. Financiële verliezen als gevolg van niet-naleving van Europese privacyregels kunnen in potentie hoger uitvallen dan de kosten om een inbreuk tegen te gaan.“

Er zullen in de toekomst zwaardere straffen worden opgelegd. Bedrijven moeten hun IT-infrastructuur opnieuw beoordelen en hun software, webapplicaties en netwerken beveiligen om gevoelige gegevens te helpen beschermen en de naleving ervan te waarborgen.

Indien een dochteronderneming de verordening niet naleeft, worden de boetes ook berekend op basis van de omzet van de moedermaatschappij.

Misleiding by design door Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram

NRC keek met twee ervaren ontwerpers hoe Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram hun nieuwe voorwaarden aan hun klanten opdringen.

 

De bedrijven gebruiken ‘foute’ vormgeving om toestemming te krijgen voor hun privacyinstellingen. De vuistregel: hoe meer data bedrijven van je nodig hebben, hoe meer moeite het kost om je dataspoor te beperken, concludeert NRC.

Misleiding by design dus.

Maar dat mag toch helemaal niet volgens de AVG?

Er wordt toch duidelijk privacy by design geeist?

Klopt. Maar privacy by design betekent in de AVG iets anders dan de vormgeving van websites en buttons waarmee om toestemming wordt gevraagd.

Privacy by design betekent dat organisaties nieuwe apparaten en applicaties zo moeten maken dat op voorhand al kan worden ingespeeld op toekomstige bedreigingen door hackers.

Dat gaat niet over de misleidende vormgeving.

Maar dat wil niet zeggen dat Facebook & Co er zo eenvoudig mee weg komen. Dat ze een maas in de privacywet hebben gevonden.

De AVG is ook heel duidelijk over de manier waarop toestemming moet worden gevraagd.

Toestemming moet ondubbelzinnig zijn.

Dit betekent dat er voor de verantwoordelijke geen twijfel mag bestaan of de betrokkene wel echt bedoelt dat hij akkoord gaat met de gegevensverwerking.

Als de grote internetbedrijven duidelijk bezig zijn om hun klanten op het verkeerde been te zetten is er toch duidelijk geen sprake van ondubbelzinnig verkregen toestemming?

De verantwoordelijkheid voor het duidelijk onomwonden niet mis te verstaan vragen om toestemming ligt bij de organisatie die de persoonsgegevens wil verwerken.

Zo specifiek mogelijk

Dat betekent dat de organisatie zo specifiek mogelijk dient te vertellen waar een klant mee akkoord gaat.

En dat moet zo gebeuren dat een doorsneegebruiker het allemaal begrijpt.

De analyse van de manipulatieve trucs van Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram is in ieder geval wel helder. Er is duidelijk sprake van misleiding.

Hoe reageert de Autoriteit Persoonsgegevens?

Ik ben benieuwd hoe de Autoriteit Persoonsgegevens reageert op de trucs van de online marktleiders.

Lees het artikel in NRC en oordeel zelf. Waarom je toch weer op OK klikt…