B I G DATA BIG DATA IS DE HYPE VOORBIJ NIEUWE REGELGEVING LEIDT TOT REALISTISCHER BEELD Big data leek een synoniem voor gouden bergen. Maar door nieuwe wetgeving wordt de betekenis ervan behoorlijk genuanceerd. Een betoog over de (on)mogelijkheden van big data aan de hand van de meldplicht datalekken en het gebruik van data door inlichtingen- en veiligheidsdiensten. Tekst: Nico van Eijk, directeur van het Instituut voor Informatierecht W VE HOU De waarde van olie wordt bepaald door vraag en aanbod. Dat is met data niet anders en het is goed om te zien dat er een meer realistisch beeld is over het belang ervan. De toegenomen inbedding van het fenomeen via nieuwe regelgeving draagt daaraan bij. 4 te verplichten maatregelen te nemen tegen dit soort datalekken. Echter, het probleem bleek niet te liggen bij de aanbieders van telecommunicatienetwerken, maar juist aan de randen ervan: de gebruikers die hun servers, computers en software niet goed beveiligen. Bedrijven, e leven in een informatiesamenleving. Door technologische innovatie, door explosieve groei in communicatie komen meer en meer gegevens beschikbaar. De behoefte om deze data te verzamelen, te gebruiken en te delen neemt exponentieel toe, ook bij de overheid. Big data, de verzamelterm waaronder dit soort ontwikkelingen wel wordt gevangen, staat midden in de belangstelling en er worden euforische beelden geschetst over wat er allemaal mee mogelijk is. Toenmalig Eurocommissaris Neelie Kroes beschreef in 2013 data als ‘the new oil’. In 2013 stond de olieprijs op bijna 100 euro. Vandaag is die gedaald tot rond de 40 euro. DATALEKKEN De enige reden waarom banken werden overvallen was omdat er geld in de kluis lag. Die tijd ligt achter ons. Er is niets meer te halen in een bankgebouw, de kluizen zijn leeg, het geld is gedigitaliseerd. De criminaliteit heeft zich overeenkomstig verplaatst en richt zich op het ontfutselen van toegangscodes (phishing) en tot het grootschalig kraken en omzeilen van beveiligingsmaatregelen om zo grote hoeveelheden data te krijgen die voor allerlei vormen van misbruik inzetbaar zijn (creditcard-gegevens, Pa namese en Luxemburgse bankgegevens, info op datingsites, et cetera). Oorspronkelijk bestond de naïeve opvatting dat een en ander een halt kon worden toegeroepen door telecomaanbieders instellingen én overheden als beheerders van grote hoeveelheden data zijn het eerste doelwit. NIEUWE WETGEVING Sinds 1 januari is er nieuwe wetgeving over datalekken van kracht. Op de naleving ervan wordt toegezien door de Autoriteit Persoonsgegevens (AP), de nieuwe naam van het College Bescherming Persoonsgegevens (CBP). Deze wetgeving verplicht tot het melden van inbreuken op de beveiliging die leiden tot ‘de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. Datalekken zijn overigens niet alleen het hacken van websites, maar ook het verlies van usb-sticks met persoonsgegevens valt onder de definitie. De wetgeving gaat er verder van uit dat passende technische maatregelen zijn genomen om datalekken te voorkomen. Er rust hiermee een zorgplicht op de betrokken partijen. In het uiterste geval kan de AP een boete opleggen van 820.000 euro. In beleidsregels is door de AP nadere invulling gegeven aan de nieuwe bevoegdheden. Door de datalekkenregulering wordt meer concreet duidelijk wat de risico’s zijn voor bedrijven, instellingen en overheden. Een actief beleid is onvermijdelijk. Hardware en software
5 Online Touch Home