10 PUNTENPLAN “PLATFORM PRIVACY” Punt 1: Bewustmaking van burgers over risico’s sociale media Informatie en bewustmaking van gebruikers van de risico’s die verbonden zijn aan de sociale netwerken, media, apps, dating sites, tracking mechanismes, cookies, internet-of-things (zoals smart thermostats, whereabouts), wifi, bluetooth en andere nieuwe technologieën. Informeren, sensibiliseren en ‘empoweren’ van burgers rond (digitale) privacy via gezamenlijke en gecoördineerde aanpak: het bundelen van actuele initiatieven en informatie in een unieke (portaal)website. Het platform zal een elektronisch portaal creëren en voeden met relevante informatie naargelang de gebruikerscategorieën (particulieren, KMO’s, jongeren, enz.), in de vorm van inhoud of links naar andere websites.
Punt 2: Transparantie naar de burgers toe Herkennen en begrijpen gebruiksvoorwaarden Momenteel moet de verantwoordelijke voor de gegevensverwerking de burger ‘duidelijk informeren welke verwerkingen hij of zij voor ogen heeft en waarom’ (doel). Dit is goed, maar in de moderne tijden is het quasi onmogelijk om deze info leesbaar weer te geven op een smartphone (vb. bij app’s). Op zoek gaan dus naar manieren om de gebruiksvoorwaarden en privacybeleid van de sociale media en app’s op een maatschappelijke aanvaardbare en op een begrijpbare en leesbare manier (voor een smartphone scherm) naar de gebruikers te brengen. We starten door een overzicht van bestaande projecten te maken (met inbegrip van suggesties die op Europees niveau werden gelanceerd) om het beste/meest haalbare initiatief verder uit te werken in een proefproject. Jaarlijkse privacy-afrekening Binnen België en binnen de federale regering willen wij een voorbeeld zijn naar onze burgers toe. Daarom willen wij burgers de mogelijkheid bieden om, minimum 1 maal per jaar, een overzicht te krijgen van de verwerkingen van hun persoonsgegevens binnen de verschillende administraties. Zo willen we proactief transparant zijn. Gezien de maturiteit en functionaliteiten van de IT-systemen binnen de verschillende administraties enorm verscheiden zijn, zullen we eerst een pilootproject doorvoeren binnen een administratie/departement. Er wordt naar gestreefd om deze melding elektronisch te doen, bijvoorbeeld via het e-mailadres voor elke burger dat in het regeerakkoord wordt vooropgesteld. 1
Op basis hiervan en via een stapsgewijze benadering, kan dan een verdere strategie / projectplan uitgetekend worden voor een volledige uitrolling binnen de federale administraties (en zo mogelijk de volledige publieke sector). Deze oefening zal een nauwe samenwerking vereisen met alle andere leden van de regering. Het platform zal de pilootprojecten opvolgen en er mogelijk inspiratie in vinden om gebruikers en klanten in een algemeen begrijpbare taal informatie aan te bieden.
PUNT 3: concretiseren informatieverplichting van bedrijven Bedrijven zijn zich niet altijd bewust over hoe privacy en het wettelijk kader hieromtrent een impact kan hebben op hun activiteiten. Het is daarom belangrijk om de wettelijke bepalingen naar praktische richtlijnen te vertalen die eenduidig en pragmatisch zijn voor eenieder die met personen in contact komt, of het nu een HR-verantwoordelijke is, een sales manager, een IT-administrator tot zelfs een CEO, zowel binnen KMO’s als internationale groepen. In eerste instantie zullen wij de bestaande informatie moeten bundelen, op elkaar afstemmen en waar nodig verder concreet uitwerken. Aangepaste trainingspakketen kunnen hiervoor ten gepaste tijde ook uitgewerkt worden. Het platform zal een gids met praktische richtlijnen samenstellen om de KMO’s te begeleiden in de concrete toepassing van de privacywetgeving.
PUNT 4: optimalisering databeveiliging en checklist voor KMO’s Cyberveiligheid start met informatiebeveiliging en is net zoals inbraakveiligheid een verantwoordelijkheid van elkeen. Ieder moet die verantwoordelijkheid dan ook opnemen en niet enkel in de richting van de overheid kijken, die uiteraard haar bijdrage moet leveren in de bewustmaking van de bedrijfswereld. In dit kader kunnen we de ondernemingen concrete richtlijnen en aanbevelingen geven ter beveiliging van hun data via een checklist. Ook good practices kunnen aangereikt worden. Datacontrole met inbegrip van dataclassificatie en data(flow)-mapping Waar ook nog te weinig belang aan gehecht wordt is de noodzaak aan data classificatie en het in kaart brengen van data(stromen). Indien data-controllers niet van in het begin weten over welke types data ze beschikken (persoonsgegevens, gevoelige gegevens of andere) en geen zicht hebben over wie waar toegang toe heeft, is het onmogelijk te voldoen aan de wettelijke verplichtingen inzake privacy maar ook security, en kortom controle te hebben over waardevolle gegevens. Het is dus van belang om de datacontrollers te sensibiliseren om te starten met dataclassificatie en
2
data(flow)mapping. Dit zal de basis moeten zijn om compliance aan te tonen en als er iets foutloopt de oorzaak en omvang van de datalek te detecteren en zo beperkt mogelijk te houden. Het platform zal een checklist opstellen om de KMO’s te begeleiden in de stappen die ze ondernemen om persoonsgegevens te beschermen.
PUNT 5: Optimaliseren van de huidige procedures bij datalekken Definiëring van een pragmatisch en praktisch proces bij datalekken met duidelijke criteria: bijvoorbeeld aan wie melden en wanneer. Er zal gestreefd worden naar één centraal meldpunt. Hiervoor zal vanuit dit platform samengewerkt worden met Centrum Cyber Security België (in oprichting) en zullen we optimaal gebruik maken van de expertise binnen het forum. Het platform zal de bekommernissen op het terrein registreren en zal op basis hiervan en aan de hand van duidelijke criteria een snelle en efficiënte notificatieprocedure bij gegevenslekken formaliseren.
PUNT 6: ‘Privacy by design’ stimuleren Het ontwikkelen van diensten waarbij privacy wordt gegarandeerd dient ondersteund te worden. Algemeen dient ‘Privacy by Design’ in acht genomen te worden bij het ontwikkelen van informatiesystemen, waarbij vanaf het begin rekening wordt gehouden met de privacy van de gebruikers. Daarbij dient eveneens een evenwicht gevonden te worden met het inzetten van de nodige cybersecurity middelen. ‘Privacy by design’ is een concept dat vandaag zeer vaak gebruikt wordt maar weinig uitgelegd wordt. Het platform zal naar burgers, overheden en andere belanghebbenden toe het concept ‘privacy by design’ duiden en het belang ervan aantonen, samen met praktische richtlijnen, concrete voorbeelden naar implementatie toe en aanbeveling tot opneming in openbare aanbestedingsprojecten.
PUNT 7: Internet of things De tijd waarbij een pc het enige toestel was met een IP-adres en dit IP-adres aldus gemakkelijk kon gelinkt worden aan één individu (vaak de abonnee van het internetabonnement) is voorbij. Vandaag hebben pc’s, tv’s, playstations, horloges, frigo’s, auto’s, gsm’s, tablets, tellers, etc. ook een IP-adres en kan elk van deze toestellen aan elkaar verbonden, op elkaar afgestemd en vanop een afstand geregeld en gecontroleerd worden. De impact van deze eindeloze netwerken en gigantische datasets is bijna onvoorzienbaar. 3
Rond dit thema, en in het bijzonder de reeds actuele trends rond SmartGRIDS, SmartCITIES, ConnectedCars,… is het belangrijk om de impact op de privacy te analyseren, de naleving van de privacywetgeving te toetsen en: -
Gerichte awareness campagnes te lanceren Richtsnoeren te ontwikkelen samen met de verschillende belanghebbenden
Weliswaar houdt het ‘internet of things’ een uitdaging in voor de privacy, maar het kan ook kansen bieden om de gegevens beter te beschermen. De verbonden toestellen beschikken immers over een analyse- en reactievermogen die het mogelijk maakt om gegevenslekken en -diefstallen sneller en efficiënter op te sporen. Het platform zal die verschillende aanpakken bestuderen en zal de initiatieven weerhouden die het potentieel van het ‘internet of things’ kunnen helpen ontwikkelen voor een betere bescherming van de privacy.
PUNT 8: Telecom Telecomoperatoren en internetproviders zijn momenteel niet aan dezelfde privacy-regels onderworpen. Dit leidt tot een gedifferentieerd level playing field tussen de twee types ondernemingen en bemoeilijkt het garanderen van stabiele en duidelijke regels om de groei in een gezond concurrentieklimaat te stimuleren. Het platform zal het forum kunnen zijn waar aanpassing van het wetgevend kader aan de technologische ontwikkelingen voorgesteld worden. Hierbij zullen de gebruikers en hun persoonlijke levenssfeer gerespecteerd, zal de Europese regelgeving nageleefd en de digitale economie gestimuleerd worden.
PUNT 9: Private datastromen en datacenters promoten Het gebrek aan vertrouwen in de veiligheid remt de ontwikkeling van data centers en de cloud. Een andere rem is de vrees van een onevenwichtige verhouding tussen de leveranciers en de gebruikers. De vestiging van data centers in België stimuleren is een middel om aan de dienstengebruikers de garantie te bieden dat hun gegevens in België verwerkt worden en bijgevolg dat bij die verwerking de Belgische privacy-wetgeving wordt nageleefd. De vestiging van data centers in België stimuleren biedt nog andere voordelen, zoals jobcreatie en het creëren van een kader dat innovatie bevordert. België is reeds een financieel centrum (cf. coördinatiecentra financiële instellingen) en zou ook een Europees centrum voor data centers kunnen ontwikkelen.
4
Het platform zal een forum zijn dat bepaalt hoe het vertrouwen versterkt kan worden, hoe de juridische remmen weggenomen kunnen worden en hoe de ontwikkeling van die data centers ondersteund kan worden door: -
-
de regels in verband met de verantwoordelijkheden van de leveranciers inzake de vertrouwelijkheid van de gegevens te verduidelijken, waar de gegevens zich ook bevinden duidelijke regels inzake gegevensbescherming op te stellen, waar de gegevens zich ook bevinden door de rechten van de gebruikers van clouddiensten te verduidelijken, in het bijzonder wat de klachtenbehandeling, de toegang tot de gegevens (raadplegen, wijzigen, verwijderen) en data overdraagbaarheid betreft.
PUNT 10: Hervorming wetgevend kader Op Europees niveau Het doel is om te komen tot een evenwichtig Europees kader voor de verwerking van persoonsgegevens (verordening voor de algemene verwerking van persoonsgegevens en de richtlijn over de elektronische verwerking van persoonsgegevens) en de onderhandelingen op Europees niveau verder te zetten en te bespoedigen. Dit platform zal ook een uitwisselingsplatform zijn met betrekking tot de onderhandelingen op Europees niveau van de ontwerpverordening dataprotection. -
Streven naar coherentie met de andere EU-teksten teneinde tegenstrijdigheden te vermijden Streven naar proportionele en risico-gebaseerde maatregelen Oppassen voor te ruime definiëring gezondheidsgegevens Evenwicht tussen de wetgeving opgelegd aan Europese bedrijven en deze aan ‘buitencontinentale’ bedrijven (bijvoorbeeld Facebook en andere) Sterke Europese Privacy-authoriteit die kan optreden tegen wereldspelers als facebook, google, microsoft, …
Het huidige voorstel van verordening voorziet ook in een hervorming van de bevoegde nationale privacy-autoriteit. Het platform zal de ervaring van de verschillende stakeholders bundelen als basis voor een hervorming van de Privacy Commissie die het beste antwoord kan geven op de uitdagingen die de digitalisering van de economie met zich meebrengt.
5
