Morgen (zaterdag 28 januari) staat in het teken van de Europese dag van de privacy. Dat leek ons een mooi moment om even stil te staan bij de nieuwste trends binnen de wereld van data privacy bescherming!
Ben je benieuwd welke nieuwe technologieën er op dit moment onderzocht of ontwikkelt worden, of welke trends je in 2023 in de gaten moet houden? Wij hebben er een aantal voor je op een rijtje gezet!
1. Stijgende groei in privacy bewustzijn
Net als voorgaande jaren neemt het privacy bewustzijn onder organisaties en consumenten toe. Zo zijn steeds meer consumenten bereid om van leverancier te wisselen op het moment dat ze het gevoel hebben dat er niet goed met hun privacygevoelige gegevens omgegaan wordt.
Dit heeft natuurlijk direct effect op alle organisaties die privacygevoelige gegevens verwerken. Deze investeren steeds meer in data privacy beschermingsmaatregelen en interne trainingen om het privacy bewustzijn van de medewerkers te vergroten. Dit betaalt zich weer terug in een stijging van vertrouwen en imago, maar ook omzet! (lees de Cisco 2023 Data Privacy Benchmark Study voor deze en meer interessante statistieken rondom privacy).
2. Autoriteiten grijpen vaker in
De stijging in privacy bewustzijn heeft natuurlijk ook impact op de autoriteiten die verantwoordelijk zijn voor de handhaving van de wet- en regelgeving rondom (data) privacy. Zo zien we dat diverse Europese autoriteiten ingrijpen wanneer fouten worden gemaakt in het verwerken van privacygevoelige gegevens. We kennen allemaal de hoge boetes die de ‘big tech’ organisaties worden opgelegd.
Een mooi voorbeeld hiervan is de boete van 390 miljoen richting Meta voor het gebruik van gepersonaliseerde advertenties zonder hierover transparant de gebruikers te informeren. Ook in Nederland zien we dat diverse boetes worden opgelegd. De hoogste boete werd opgelegd aan de Belastingdienst, namelijk 3,7 miljoen euro. Hierbij is terug te zien dat de diverse autoriteiten goed kijken naar het gehele proces van verwerken van privacygevoelige gegevens. De boetes worden niet alleen bij datalekken opgelegd maar ook bij overige overtredingen. Denk bijvoorbeeld aan het ontbreken van wettelijke grondslag voor de verwerking van de persoonsgegevens, meer persoonsgegevens verwerken dan noodzakelijk of het verwerken van persoonsgegevens voor andere doeleinden dan waarvoor deze verzameld waren.
3. Rol van AI in data privacy bescherming groeit
De rol van AI binnen data privacy beschermingsoplossingen is al heel lang aan een opmars bezig en we verwachten dan ook dat dit de komende tijd zich nog verder gaan ontwikkelen.
Wat dacht je bijvoorbeeld van het inzetten van ChatGPT om een document met privacygevoelige gegevens te herschrijven zodat de context van het document hetzelfde blijft maar de gevoelige informatie verwijderd wordt? Zie hieronder een voorbeeld van een artikel van Nu.nl waarin we gevraagd hebben om de privacygevoelige informatie te verwijderen en het artikel te herschrijven.
Een andere ontwikkeling is de opmars van Named Entity Recognition (NER) om binnen documenten snel en nauwkeurig gevoelige woorden te detecteren aan de hand van de context van de tekst. Zo kun je doormiddel van NER gemakkelijk het verschil tussen een naam van een persoon of een locatie onderscheiden ook al zijn deze identiek.
4. Er wordt steeds meer data uitgewisseld
We zien dat steeds meer organisatie gegevens uitwisselen met elkaar of aan een centraal platform. Het doel: breder onderzoek uit kunnen voeren aan de hand van de samengevoegde data. Hoewel er hier al verschillende beschermingsmethoden voor beschikbaar zijn – waaronder het anonimiseren en/of pseudonimiseren van de aangeleverde gegevens – vindt er veel onderzoek en ontwikkeling plaats op dit vlak. Zo zijn technologieën en methodieken zoals Multi-party computation en differential privacy gericht op het analyseren van de bron en de resultaten te delen zonder dat hiervoor gevoelige gegevens uitgewisseld hoeft te worden. En nieuwe ontwikkelingen op het gebied van homomorphic encryption hebben als doel om juist analyses uit te kunnen voeren op data die volledig versleuteld is zonder dat de data ontcijfert hoeft te worden.
Hoewel deze nieuwe technologieën voor een deel nog in de kinderschoenen staan, en lang niet overal geschikt voor zijn, verwachten we dat de adoptiegraad hiervan alleen maar zal gaan toenemen in de nabije toekomst.
5. Synthetische data
Hoewel we het gebruik van synthetische data ook prima onder de AI paragraaf hadden kunnen plaatsen wilde we deze toch nog even specifiek benoemen. Want ook in dit gebied zien we dat doormiddel van AI algoritmes we steeds beter in staat zijn om fictieve data te genereren die net echt lijkt. Op dit moment zien we het gebruik van synthetische data nog vaak terug voor het genereren van (kleine) datasets voor de ontwikkeling van software maar we verwachten dat op korte termijn dat deze technologie steeds breder ingezet kan worden. Bijvoorbeeld voor het vervangen van privacygevoelige gegevens binnen een applicatie ten behoeve van testdoeleinden.
6. Privacy Shield en data verwerken buiten de EU
Zoals misschien bekend is het Privacy Shield – bedoeld om onder de AVG veilig persoonsgegevens uit te wisselen met de Verenigde Staten – nietig verklaard. In Amerika heeft president Biden op 7 oktober 2022 een Executive Order voor veilige gegevensuitwisseling ondertekend. Deze opvolger van het Privacy Shield moet de zorgen van Europa op het gebied van privacy wegnemen en veilige uitwisseling van persoonsgegeven waarborgen. In december heeft de Europese Commissie het concept voor een adequaatheidsbesluit voor doorgifte naar Amerika gepubliceerd. Dit zal nu eerst ter goedkeuring langs de Europese toezichthouders, de lidstaten en het Europees Parlement moeten.
Of bovenstaande betekent dat men komt tot een valide nieuwe overeenkomst moet nog afgewacht worden. Privacy organisatie NOYB (oprichter Max Schrems) heeft al aangegeven de Executive Order nader te gaan bestuderen en nog met een uitgebreide analyse komt. Daarbij is er nu al kritiek over de voorgestelde oplossingen van de kernproblemen. In 2023 zullen we ongetwijfeld een vervolg zien op dit privacyvraagstuk en het gebruik van Amerikaanse IT-diensten.