Data en digitale gegevens nemen een steeds grotere vlucht, en spelen daardoor een steeds belangrijkere rol on ons leven. Neem Internet of Things: de voorspellingen zijn dat er in 2020 rond de 50 miljard (!) slimme apparaten aan het internet hangen. En al die apparaten produceren ook nog eens een veelvoud aan data.
Daarom wordt de rol van Security steeds belangrijker. Het is tegenwoordig dagelijks nieuws. Denk aan geniepige cyberaanvallen als Wannacry en Petya, waarbij op grote schaal software en data zijn gegijzeld. Maar ook aan knullige beveiligingsincidenten omdat iemand een usb-stick met gevoelige data in de trein heeft laten liggen, of omdat een bepaalde instantie haar eigen naam met de toevoeging ‘01’ als wachtwoord blijkt te hanteren voor bedrijfskritische systemen.

Het Security of Things Fund richt zich daarom op jonge en snelgroeiende bedrijven binnen het domein van Security, en is het eerste investeringsfonds in Nederland dat zich exclusief richt op Cyber Security. Managing Partner Aldebert Wiersinga verwoordt het mooi als volgt: ”Op dit moment zien we dat door grote hoeveelheid security incidenten, de aangescherpte wetgeving en toezicht bij een groeiend aantal bedrijven het roer in hun security beleid omgooien. In plaats van slechts reageren op een security incident, zien we bij veel grote bedrijven juist een proactieve benadering en de wil om te investeren om het aantal security incidenten sterk terug te dringen”.

Inmiddels is de eerste investering door Security of Things Fund gedaan: Indica. Indica biedt een slimme tool waarmee je door je eigen data kunt speuren en verbanden kunt aanleggen. Het wordt vooral gebruikt voor forensisch onderzoek. Ik ben trots en vereerd om commissaris bij dit fonds te mogen zijn.

Onderschat security niet

Security is wettelijk gereguleerd, via de privacywetgeving. Of je het nu leuk vindt of niet. Nu moeten we het nog doen met de Wet Bescherming Persoonsgegevens, maar per 25 mei 2018 geldt de Europese Algemene Verordening Gegevensbescherming (AVG). En als Nederlandse waakhond ziet de Autoriteit Persoonsgegevens (AP) toe op de naleving van de privacywetgeving.

Onderschat de privacywetgeving of de slagkracht van de AP niet. Er zijn heel wat partijen die dat eerder wel hebben gedaan, die daar bepaald niet altijd blij van geworden zijn. Ik haal er een paar voorbeelden uit die draaien om: (i) wanneer zijn gegevens persoonsgegevens, (ii) toestemming om gegevens te gebruiken, en (iii) de meldplicht datalekken.

1: wanneer zijn gegevens persoonsgegevens?

Op de vraag of data überhaupt ‘persoonsgegevens’ zijn in de zin van de privacywet, heeft Equens (één van de grootste pinbetalingsverwerkers van Europa) zich volledig vergaloppeerd. Equens had het – in mijn ogen: briljante – plan opgevat om geaggregeerd pingedrag van consumenten aan retailers te verkopen. Omdat de gegevens tot op postcode-niveau werden geaggregeerd, was er geen sprake van persoonsgegevens, zo luidde de redenering. Maar daar sloeg Equens de plank toch echt volledig mis. Als gegevens indirect herleidbaar zijn tot persoonsgegevens, geldt de privacywetgeving namelijk gewoon. Daarom zijn telefoonnummers, IP-adressen, MAC-adressen en locatiegegevens allemaal ‘persoonsgegevens’ in de zin van de wet. Onthoud dit dus asjeblieft: ook al weet je zelf niet precies wie iemand is op basis van je eigen data, het kunnen wel degelijk persoonsgegevens zijn in de zin van de wet.

2: waarom verwerk je data?

Dit is de zogenaamde “grondslag” van de gegevensverwerking. Vraag je zelf altijd af: waarom verwerk ik data eigenlijk? Dat is niet schoolmeesterig bedoeld, maar onthoud dat dit niet altijd zomaar mogelijk is. De wet somt de grondslagen limitatief op. Een belangrijke grondslag is ‘toestemming’. Deze dient ‘expliciet en ondubbelzinnig’ gegeven te worden. Hier zijn Facebook en WhatsApp recent hard op aangepakt. WhatsApp omdat zij gegevens van haar gebruikers aan moederbedrijf Facebook verstrekte – terwijl Facebook bij de overname van WhatsApp nota bene plechtig had beloofd dit nooit te zullen doen. En Facebook is zelf aangepakt op haar gebruik van gegevens van Facebookers voor gerichte advertenties. In beide gevallen heeft de AP geoordeeld dat de gevraagde toestemming niet deugt. Dus mijn advies is: stop die toestemming niet te ver weg of hou ‘m niet te vaag. In het verlengde hiervan speelt overigens nog de zogenaamde ‘scopecreep’: dit betekent dat gegevens later gebruikt worden voor doeleinden waarvoor ze oorspronkelijk eigenlijk niet vergaard zijn. Dat zie je veel bij big data. Ook hier opletten dus.

3: meldplicht datalekken

Een derde aandachtspunt is de meldplicht datalekken. Die komt kort gezegd hierop neer: is er sprake van een beveiligingsincident waarbij je niet kunt uitsluiten dat persoonsgegevens onrechtmatig gebruikt kunnen worden, dan moet je dit bij de AP melden. Ga je qua beveiliging de mist in, of je meldt een datalek niet welke je wél had moeten melden, dan kan de AP boetes tot wel EUR 820.000 opleggen. “Serious shit” dus. Gelukkig leven we in het cloud-tijdperk, en komt het in de praktijk veelal neer op het maken van goede afspraken met je Cloud provider. En die heeft natuurlijk ook een commercieel belang bij het goed beveiligen van data.

Privacy & Security als unique selling point

Betekent dit alles dat er bijna niets kan of mag zodra Privacy of Security om de hoek komen kijken? Nee, zeker niet. Ik ben zelf een groot fan van digitale ontwikkelingen en innovaties. Maar denk niet te lichtzinnig over Privacy & Security. Belangrijkste tip: wees transparant en informeer gebruikers over wat je met hun data doet. Dat is waar de AP ook nadrukkelijk naar kijkt. En jokkebrokken tegen de AP wordt hard afgestraft, ook in de media. Daar kan Fit for Free je alles over vertellen. Ook in privacy land geldt: eerlijkheid duurt het langst. En ik ben ervan overtuigd dat je hier ook commercieel gezien uiteindelijk ver mee kunt komen. Heel ver. Zie Privacy & Security daarom vooral als een kans en een ‘unique selling point’, in plaats van als een noodzakelijk kwaad. Dus, The Internet of Things & Security: een mooi stel!

Auteur:

Menno Weij is gespecialiseerd in ICT-recht en heeft ruime ervaring in het opstellen en beoordelen van ICT-contracten (systeemintegratie-, licentie-, onderhoud-, consultancy- en distributie-overeenkomsten) alsmede B2B- en B2C-contracten (gebruiksvoorwaarden, website-disclaimers, online verkoopvoorwaarden, ASP-, SAAS- en cloud-computing- en hosting-overeenkomsten). Hij adviseert regelmatig over de verwerking van persoonsgegevens en de intellectuele eigendomsaspecten van informatietechnologie en voert procedures over, onder meer, mislukte automatiserings- en outsourcingprojecten, licentievergoedingen en inbreukmakende software.

Voordat Menno bij SOLV aan de slag ging, werkte hij ruim negen jaar als advocaat op de sectie IE & IT bij Baker & McKenzie Advocaten te Amsterdam, en enige tijd bij de vestiging van Baker & McKenzie te Londen. Menno heeft rechten (civiel- en strafrecht) gestudeerd aan de Universiteit Leiden. In 2001 heeft Menno met goed gevolg de post-doctorale opleiding ICT-recht aan de Grotius Academie afgerond en is daarna toegelaten tot de Vereniging Informaticarecht Advocaten (VIRA).

Naast zijn werk als advocaat geeft Menno regelmatig lezingen en workshops alsmede gastcolleges aan universiteiten. Menno vervult een bestuursfunctie bij de Nederlandse Vereniging voor Informatietechnologie en Recht (NVVIR) en is redactielid en columnist van diverse tijdschriften (onder meer Tijdschrift voor Internetrecht en de Automatiseringsgids).

E:  weij@solv.nl

W: www.solv.nl