Break-out sessie. Wanne Pemmelaar & Willem Röell. 14 september 2016

Maat: px

Weergave met pagina beginnen:

Download "Break-out sessie. Wanne Pemmelaar & Willem Röell. 14 september 2016"

Simona Gerritsen
7 jaren geleden
Aantal bezoeken:

1 Break-out sessie Wanne Pemmelaar & Willem Röell 14 september 2016

2 FINTECH VOOR IEDEREEN

3 Programma break-out sessie Big data & privacy Blockchain Smart contracts Toekomstmuziek

4 Big Data & Privacy Big Data is de valuta van het internet Als je het hebt, kun je het gebruiken Data worden niet echt beschermd door IE-rechten Geen "eigenaarschap" van gegevens anders dan feitelijk bezit Individuen kijken er anders naar: Ze beschouwen hun data als hun eigendom Ze verzetten zich tegen schending van hun privacyrechten Ook al verwachten ze gratis dienstverlening

5 Privacyhandhaving het bestaat Autoriteit Persoonsgegevens en Autoriteit Consument en Markt handhaven En dat kan pijn doen als je bedrijfsmodel is gebaseerd op Big Data

6 Nieuwe EU Privacyverordening, niet alleen papieren compliance, echte Februari 2012: voorstel voor nieuwe Privacy Verordening 25 mei 2018: the EU Privacyverordening treedt in werking Privacy compliance programma vereist onder EU Privacyverordening Intern privacy-, databeveilging- en bewaarbeleid Sancties onder EU Privacyverordening Regelmatige audits Boetes tot EUR 20,000,000 of 4% van de wereldwijde omzet. Internal monitoring & Audits Enforcement of standards & Prompt response Effective training & Internal communication Risk assessment & Continuous improvemen t Appointmen t of compliance officers & Top level commitment Written policies & Procedures

(accountability/privacy officer) Data Protection Impact Assessments Privacy by design/by default Additionele

7 Wat gaat er nog meer veranderen? Brede territoriale scope (binnen en buiten EU) EU brede datalekken meldplicht Aantoonbare naleving van de wet (accountability/privacy officer) Data Protection Impact Assessments Privacy by design/by default Additionele rechten van individuen (recht om vergeten te worden, beperking van verwerking en dataportabiliteit) Langere privacy statements / strengere toestemmingsregels Meer contractuele verplichtingen

8 De ING casus

9 Big data analyse - N = all. Het vinden van onverwachte correlaties om de toekomst te voorspellen - Bijvoorbeeld: de correlatie tussen een lage kredietscore en de kans dat je een auto-ongeluk krijgt - Voorspellende statistieken kunnen: - Commercieel uitgewonnen worden (licenties, verwerkt in diensten of omgezet worden in gepersonaliseerde advertenties) - Gebruikt worden om kosten te besparen - Gebruikt worden om risico's te mitigeren (intelligente kredietscores etc) - Gebruikt voor geïnformeerde bestuursbesluiten Slaat op: Persoonsgegevens met een impact op een individu (consumenten, werknemers en contactpersonen) Andere data zonder privacy impact (bijv. trillingen gemeten door sensors op een brug)

10 Data exhaust, datafication Count what is countable, measure what is measurable and what is not measurable, make measurable Galileo Galilei ( )

11 De centrale vraag Hoe kun je de waarde van Big Data voor de samenleving vrijgeven én De privacy van het individu beschermen?

12 Onderliggende grondgedachte Recht op morele autonomie. De vrijheid om je eigen identiteit te bepalen. Informationele schade. Identiteitsdiefstal, creditcard fraude. Informatie ongelijkheid. Informatie wordt gebruikt voor een beslissing zonder dat de burger dat weet en daar invloed op kan uitoefenen. Informatie onrechtvaardigheid. Informatie verzameld in de ene context wordt gebruikt in andere context.

13 Big data en belangenafweging 13

hergebruik botst met drie fundamentele privacy regels, die naleving complex maken: - Toestemming: waar vraag je

14 Het "failliet" van privacy? Waarde van Big Data ligt in het hergebruik van data (vinden van nieuwe inzichten in bestaande databanken) Big Data hergebruik botst met drie fundamentele privacy regels, die naleving complex maken: - Toestemming: waar vraag je toestemming voor als je nog niet weet wat je met de data gaat doen? - Opt-out (verzet): niet practisch/niet effectief - Anonimisering: wetenschappelijk onderuit gehaald Resultaat: onmogelijkheid om te voldoen?!

Big Data analyse nader toegelicht Twee verschillende soorten Big Data analyse: Geaggregeerde rapporten (business intelligence) Gebruik van analyse voor geaggregeerde (trend)rapporten over bijv.

15 Big Data analyse nader toegelicht Twee verschillende soorten Big Data analyse: Geaggregeerde rapporten (business intelligence) Gebruik van analyse voor geaggregeerde (trend)rapporten over bijv. hoe producten en diensten worden gebruikt Mag op basis van gerechtvaardig belang, mits mitigerende maatregelen worden getroffen Toepassen van profielen op een individu Bijv. gebruik van profielen voor direct marketing of targeted HR. Mitigerende maatregelen + toestemming

16 Geaggregeerde rapporten (business intelligence) Juridische grondslag: gerechtvaardigd belang Mitigerende maatregelen om impact op privacy te verlagen Privacy by design and default Beperking tijdsperiode waar de gegevens op zien Data minimalisatie (verwijderen van overbodige gegevens); Voor overbrengen naar analysedatabank: anonimisering/ pseudonimisering Implementatie van functionele scheiding: Gebruik van aparte analysedatabank Goede toegangscontrole om herleidbaarheid van gegevens te voorkomen Alleen geaggregeerde resultaten terugkoppelen aan de interne opdrachtgevers Privacy impact assessment

17 Andere mitigerende maatregelen Transparantie / controle Informatie aan individuen Mogelijkheid tot bieden van verzet (opt-out) Geef individuen controle via een dashboard Escaleer naar Big Data commissie voor volledige juridische en ethische test Bijzondere persoonsgegevens (bijv. medisch, ras) NB: ook gewone persoonsgegevens kunnen leiden tot conclusies van bijzondere aard of discriminatie Gegevens van kwetsbare groepen (bijv. kinderen, ouderen, patienten, mensen met een beperking)

18 Transparantie werkt niet altijd woorden woorden

Gepersonaliseerde marketing In geval van toepassing van profielen op een individu niveau (profilering) Vorige mitigerende maatregelen, PLUS: Toestemming van het individu (uitdrukkelijke toestemming)

19 Gepersonaliseerde marketing In geval van toepassing van profielen op een individu niveau (profilering) Vorige mitigerende maatregelen, PLUS: Toestemming van het individu (uitdrukkelijke toestemming) Toestemming zal niet altijd geldig zijn Categorieen bijzondere persoonsgegevens en persoonsgegevens die leiden tot conclusies van een gevoelige aard (Target casus) / discriminatie, kwetsbare groeperingen Maar dit had ING gewoon gedaan!

Wat ging er mis in de ING casus? Onderbuikgevoel van de samenleving Compliance is niet goed genoeg als je sociale conventies of onderliggende regels van ethiek schendt.

20 Wat ging er mis in de ING casus? Onderbuikgevoel van de samenleving Compliance is niet goed genoeg als je sociale conventies of onderliggende regels van ethiek schendt. Niet verrassend dat sociale conventies nog moeten worden ontwikkeld (laat staan noodzakelijke regels) Verklaring voor feit dat nieuwe big data initiatieven de krantenkoppen halen (ook als die voldoen aan huidige regels)

21 BLOCKCHAIN Decentrale database Peer-to-peer communicatie Cryptografische verleuteling Onveranderlijk (één waarheid) Transparant Vertrouwen vervangen

22 Bron: WEF BLOCKCHAIN WERELDWIJD

23 BLOCKCHAIN - MOGELIJKHEDEN "Cut out the middle man" "Cut out the human" Software: Sneller Goedkoper Minder fouten

24 BLOCKCHAIN - MOGELIJKHEDEN Digitale overheid: publieke databases Notarissen: luxe goederen, kunst, vastgoed Accountants & toezichthouders: 'live' toezicht 'Follow the money'

25 SMART CONTRACTS Van papier naar code Mogelijkheden Autonome 'self executing' overeenkomsten Uitbannen menselijke fouten en onwil

26 SMART CONTRACTS

27 SMART CONTRACTS Uitdagingen Juridisch kader Nationaal vs mondiaal Bugs Veiligheid Kennis

28 TOEKOMSTMUZIEK Wat is de rol van de financiële dienstverlener in 2020? Coderende advocaten Een verplichte blockchain voor onder toezicht staande instellingen? Full service teams van advocaten, programmeurs en projectmanagers 2025? 2030? Hoe ziet de toekomst van uw vakgebied eruit?

30 EINDE

Vergelijkbare documenten

AVG. #IABnl. Algemene Verordening Gegevensbescherming. Deloitte Privacy Advisory. 6 juni 2017

AVG. #IABnl. Algemene Verordening Gegevensbescherming. Deloitte Privacy Advisory. 6 juni 2017 AVG Algemene Verordening Gegevensbescherming Deloitte Privacy Advisory 6 juni 2017 EVEN VOORSTELLEN John Chou Senior Privacy Advisor Deloitte Jacqueline Maat Manager Privacy Deloitte WAT IS PRIVACY? VERSCHILLENDE