Managed hosting door True

Data verdienen eigen wet- en regelgeving

Governance, privacy en risk management cruciaal bij IoT

 

vrouwe justitia rechter rechtszaak rechtbank

Het mag duidelijk zijn dat wij als individuen een spoor van data achterlaten met het internet of things. Niet alleen waar we geweest zijn, maar ook wat we gedaan hebben en waar we onze aandacht op hebben gericht. Deze privacygevoelige data is zeer bruikbaar voor organisaties. Het is daarom zaak dat er wet- en regelgeving komt ter bescherming van onze privacy. Organisaties zelf doen er verstandig aan hun risk management goed te regelen.

‘Denk eens aan de camera’s die observeren wat we doen tijdens het rijden en alle data die een auto beschikbaar heeft over ons rijgedrag, en onze gezondheid wordt op afstand meetbaar en is te combineren met onze sportieve activiteiten’, probeert Wout Hofman, senior research scientist bij TNO, te verduidelijken. ‘Deze privacygevoelige data is bruikbaar voor bijvoorbeeld verzekeringsmaatschappijen om premies vast te stellen of de schuldvraag bij ongelukken te beantwoorden. Vaak worden we het ‘product’ van één of meer leveranciers die apps op onze smartphones en -watches leveren met daarin sensoren of andersoortige apparatuur.’

Ook organisaties verzamelen op deze manier veel data, bijvoorbeeld om pakketjes te volgen en aan te geven waar ons voedsel vandaan komt. Terwijl overheidsorganisaties transparant willen zijn om bijvoorbeeld de betrokkenheid van burgers te vergroten, is het bedrijfsleven huiverig om grote hoeveelheden data die ze inwinnen te ontsluiten. Hofman: ‘Ook overheidsorganisaties zijn gebonden aan regels rond privacy van personen. Zo zal Rijkswaterstaat bijvoorbeeld niet de identificatie van een binnenvaartschip publiceren, omdat dit ook de woning van de eigenaar kan zijn.’

We weten dus niet waar onze data is opgeslagen, wie toegang tot die data heeft en wat er met die data wordt gedaan. Er zijn verschillende oplossingen volgens Hofman denkbaar. ‘Een oplossing is bijvoorbeeld de regels aan te scherpen, maar dit vereist ook toezicht. Daarbij komt de vraag onder welke wetgeving een serviceprovider, die niet in Nederland is gevestigd, valt. We kennen allemaal de regels die de Verenigde Staten stelt over opslag van data: alle data die op VS-grondgebied is opgeslagen, is ook toegankelijk voor de Amerikaanse overheid. We zullen dus ook de regels internationaal moeten afstemmen en dat vergt langdurig overleg.’

Een andere oplossing is volgens Hofman zelfregulatie: mensen en bedrijven zelf laten bepalen wat er met hun data gebeurt. ‘Elke persoon en elk bedrijf bepaalt zelf zijn specifieke data policy, terwijl afnemers van die data zich ook aan bepaalde gedragsregels houden. Keurmerken zijn middelen om aan te geven dat iemand bepaalde gedragsregels volgt, denk bijvoorbeeld aan de ‘Thuiswinkel waarborg’ als keurmerk voor e-commerce.’

Data policy is een begrip dat volgens Hofman nadere uitleg behoeft. ‘Het impliceert dat per dataset wordt aangegeven welke data voor wie beschikbaar is, inclusief eventuele condities. Men kan spreken van open data. Dat wil zeggen dat de data voor iedereen vrij beschikbaar is. Ook is er data die voor bepaalde afnemers beschikbaar komt. Ik stel bijvoorbeeld wel mijn data beschikbaar aan uitgevers om gericht geïnformeerd te worden over nieuwe boeken. Tevens is er data die alleen voor bepaalde gebruikers toegankelijk is, bijvoorbeeld alleen voor mijn directe familie of voor mijn huisarts. Tot slot is er data die alleen voor werknemers van een organisatie beschikbaar zijn.’

Datakenmerken

Eenvoudige mensen zijn niet altijd in staat om een dergelijke data policy op te stellen. ‘Daarvoor hebben niet alleen wij, maar ook bedrijven middelen nodig’, meent Hofman. Dataverzamelingen zijn volgens hem daarmee te beoordelen op de kenmerken eigendom, privacy, economische aspecten, datakwaliteit en de technische structuur van data.

•             Eigendom: ben ik de eigenaar van data of kan ik toestemming krijgen van de oorspronkelijke eigenaar om de data beschikbaar te stellen? Een stapje dieper: is de cultuur van mijn organisatie ingericht op het delen van data? Een belangrijk aspect is ook een eventuele aansprakelijkheid die ik loop, denk aan een verzekeringsmaatschappij bij ongelukken door verkeerde interpretatie van data. Dit hangt ook samen met datakwaliteit.

•             Privacy: bevat de data set gegevens over personen? Kan ik deze data afschermen of is data te aggregeren zijn voorbeelden van interventies, bijvoorbeeld in de vorm van een ‘heat map’ die alleen drukte weergeven in een ruimte en niet individuele personen? Hier ligt wel het gevaar dat data uit twee of meer bronnen gecombineerd kan leiden tot privacyschending, waarvoor een keurmerk een oplossing kan bieden.

•             Economische aspecten: wordt er nu voor de data betaald of zijn er anderen die inkomsten met mijn data genereren? Monitoring van het gebruik met verschillende verdienmodellen en facturatie kan hier een oplossing bieden.

•             Datakwaliteit zegt iets over de juiste weergaven van de feitelijke situatie met data. Klopt de weergave of geeft het een ander, misleidend beeld van de werkelijkheid? Aspecten als volledigheid, volatiliteit (de vertraging tussen een actie in de realiteit met zijn weergave in data) en consistentie zijn met metadata aan een dataset te koppelen. Afnemers kunnen hun toepassingen hierop afstemmen en ook eventuele aansprakelijkheden zijn hiermee beter te formuleren.

•             Een laatste punt is de technische structuur van data. Veelal zijn er (gesloten) application programming interfaces (api’s) beschikbaar met hun eigen structuur en formaat. Er zijn gedachten om te komen tot linked data, waarbij je via een link (uniform resource identifier) naar een bron refereert in je eigen data, waarbij de data wel direct door software te verwerken is.

 ‘Een dergelijke beslismodel moet in de vorm van een eenvoudig hulpmiddel komen’, vervolgt Hofman. ‘Dit kan al ingevuld zijn met datasets, bijvoorbeeld (snap)chats, maar een organisatie of persoon kan dit ook helemaal zelfstandig doen. Organisaties kunnen dit zeer waarschijnlijk zelf, maar mensen zijn veelal gebonden aan leveranciers van leuke apps of gadgets.’

Nu is een combinatie van regelgeving en zelfregulatie volgens Hofman mogelijk. ‘De overheid kan richtlijnen formuleren voor bedrijven en mensen over het delen van data met anderen. Deze generieke richtlijnen kunnen in het beslismodel ingebouwd worden, zodat mensen met geringe inspanning toch snel en eenvoudig een policy kunnen bepalen.’

Hofman heeft nog een laatste punt van aandacht. ‘De voorgestelde aanpak rond privacy, governance en ook risico-analyse is zeer goed toepasbaar door ondernemingen. Die bepalen zelf met wie ze welke data willen delen, veelal in het belang van hun bedrijfsvoering of een groter belang, zoals vergroten van de verkeersveiligheid. Mensen gebruiken vaak apps op slimme apparaten die allemaal data verzamelen in cloudoplossingen, waarbij ze wel de condities van de leverancier accepteren maar niet weten wat de implicaties zijn. Facebook groeit door ons gebruik en heeft een gesloten model. Hier ligt een uitdaging voor overheden: hoe is de privacy van mensen te beschermen en welke gedragsregels gaan we hanteren, bijvoorbeeld onder een keurmerk?’

Governance

Governance is een hot topic, zeker in relatie tot het internet of things. Henk van der Heijden, partner & oprichter TecHarbor en managing director (a.i.) bij Comsec Consulting Nederland: ‘Want wie beheert de data die ontstaat doordat apparaten met elkaar communiceren? Waar wordt de data opslagen en wie beheert deze, hoe zijn deze data te raadplegen? Hierover bestaat nog veel discussie. Want je hebt te maken met afwegingen op het gebied van privacy, security en economische vraagstukken. Het IoT brengt op dit gebied nieuwe uitdagingen met zich mee. Het is moeilijk om via beleid af te dwingen hoe medewerkers binnen en buiten organisaties omgaan met de vertrouwelijkheid van de data in de cloud. Er zal dus meer moeten worden afgedwongen met technische maatregelen, dat medewerkers dit ook goed regelen.’

‘Governance en IoT leveren een uitdaging op omdat de ‘things’ vaak geen eigendom zijn van degene die eigenaar is van het netwerk’, vult Erik Remmelzwaal, algemeen directeur van DearBytes, aan. ‘Wie is dan waarvoor verantwoordelijk? Dit is op te lossen door nieuwe aansluitingen, bijvoorbeeld van een Apple-tv door een werknemer die een video wil tonen, weliswaar toe te staan, maar alleen in een apart segment binnen het netwerk. Dat zorgt ervoor dat eventuele schadelijke zaken tot dat segment beperkt blijven.’

Lex Borger, principal consultant bij I-to-I, vult aan dat de apparaten dan wel zelfredzaam dienen te zijn. ‘Dat is de enige manier om het op grote schaal goed te laten werken. Er kan connectie gezocht worden met een centrale besturingseenheid voor opdrachten, maar houd er rekening mee dat die niet altijd beschikbaar is.’

Risk management

Risk management is de basis voor het bepalen van de risico’s binnen en buiten je organisatie. ‘Met de komst van het IoT is het risico, dat er informatie in handen komt van mensen en organisaties die hier eigenlijk geen recht op hebben, groter geworden’, meent Henk van der Heijden. ‘Binnen het risk management framework moeten bedrijven dus terdege rekening houden met het verhoogde risico en hiervoor passende maatregelen treffen. Kennis en kunde van de bedreigingen is hier natuurlijk essentieel in. Er zijn voldoende partijen waarbij organisaties terecht kunnen om zicht te krijgen op de risico’s, de valkuilen binnen hun bedrijf en de dreigingen. Voor organisaties is het onmogelijk om dit als individu te behappen, dus zullen we meer moeten delen om ook dit risico efficiënt te beheersen. We moeten namelijk wel heel snel kunnen inspelen op de bedreigingen omdat deze vaak concreet en direct aanwezig zijn. Die snelheid van handelen en bepalen welke bedreigingen relevant zijn, is een key success-factor voor het beter inrichten van het risk management.’

Erik Remmelzwaal meent dat risk management voor internet of things in de kern niet anders is dan anders. ‘Bepaal wat de waarde van de ‘things’ zoals sensoren is voor de organisatie en hoe erg het is als de door de dingen gegenereerde data in verkeerde handen valt. En dat lukt alleen als de organisatie zich realiseert welke IP-apparatuur allemaal is aangesloten.’ Lex Borger: ‘Naast de gebruikelijke risico’s van informatieverwerking, houdt er rekening mee dat er infiltranten (kunnen) zijn in de directe omgeving, die het apparaat bewust kunnen proberen te misleiden of over te nemen.’

Privacy

Privacy wordt, met het alsmaar toenemend aantal apparaten dat verbonden is met internet, een steeds gevoeliger onderwerp. ‘Voor veel gebruikers van deze apparaten en apps is het namelijk niet duidelijk in welke mate en welke gegevens worden verzameld’, verduidelijkt Henk van der Heijden. ‘Dit gebeurt tegenwoordig zelfs geheel onbewust, via Beacons in winkels of via ingebouwde sensoren in onze smartphones en tablets. Het enige waar consumenten controle op hebben is in hoeverre ze de apps of apparaten ‘persmissie’ geven en toegang verstrekken. Toegang tot contactgegevens bijvoorbeeld. Voor een groot deel kan de privacy beter geregeld worden door gebruikers op de hoogte te brengen van de manieren waarop persoonlijke informatie wordt vergaard. Op die manier kunnen zij zelf hun instellingen beter beheren en de beveiliging optimaliseren. De kans dat informatie dan onbewust via het internet toegankelijk is voor bedrijven, hackers of andere geïnteresseerden, wordt daarmee aanzienlijk verminderd.’

Erik Remmelzwaal meent dat voor het waarborgen van privacy segmentatie uitkomst kan bieden. ‘Een interessant vraagstuk is hoe er moet worden omgegaan met privacygevoelige gegevens, zoals locatiegegevens die worden verzameld door IoT. Denk aan een met internet verbonden auto of een smartwatch. Ik denk dat de gebruiker zelf moet kunnen bepalen of gegevens doorgegeven mogen worden en zo ja, welke. Voor een bewuste ‘opt-in’ moet de gebruiker wel weten wie de leveranciers zijn en wat deze precies doen met de gegevens.’

Geanonimiseerde gegevens

‘In het geval dat er veel ‘things’ zijn, of waar things over tijd veel informatie krijgen, is het grootste privacyrisico dat die gegevens bij elkaar verzameld worden’, vult Lex Borger aan. ‘Dit heet aggregatie en is het grootste privacyrisico, omdat het op ieder moment kan lijken dat er heel voorzichtig met informatie wordt omgegaan, maar de optelsom leidt toch tot een lek. Het is moeilijk hier tegen te beschermen. Het beste is om gevoelige data helemaal niet te gebruiken. Werk liever met geanonimiseerde gegevens.’

‘We zijn met zijn allen vrij gemakkelijk in een wereld gestapt van apparaten die voortdurend met internet zijn verbonden en waarop we heel veel persoonlijke, privacygevoelige informatie bewaren’, vervolgt René Pieete, senior se-manager Noord & Oost Europa bij McAfee. ‘Maar we zijn ons misschien nog niet voldoende bewust van de consequenties voor onze privacy. Aan de ene kant is het de taak van de fabrikanten van dit soort apparaten om te zorgen voor de juiste beveiliging, maar we moeten ook zelf onze verantwoordelijk nemen en bewust omgaan met onze informatie. Daarnaast is het nodig dat de overheid en het bedrijfsleven beter met elkaar samenwerken om cybercriminelen op te sporen en om tot effectieve wet- en regelgeving te komen. Internationale samenwerking met organisaties zoals Interpol en het Europese Cybercrime Center zijn essentieel voor een internet of things dat veilig is en onze privacy beschermt.’

Tweezijdige besturing

Volgens Gert-Jo van der Heijden, senior interim professional bij Yacht, dient besturing plaats te vinden aan twee zijden. ‘De medewerkers moeten weten wat wel en niet mag en de leverancier dient verantwoording af te leggen over het wat, maar niet over het hoe. Dit in tegenstelling tot de huidige situatie waarbij beveilingstechnieken aan de gebruikerszijde worden getroffen en aan de leveranciers eisen worden gesteld over hoe zij moeten acteren.’

Om medewerkers te voorzien in de ict-behoefte wordt het volgens Van der Heijden essentieel dat je een duidelijk beleid definieert hoe om te gaan met ict-voorzieningen. ‘Welke functionaliteiten worden beschikbaar gesteld door de organisatie waar je werkt en wat kan in de cloud worden afgenomen? Daarbij is het essentieel dat je medewerkers meeneemt in de gevolgen hiervan. Combinatie van private en public cloud-oplossingen dienen geïntegreerd te worden in de waarden en normen die je als organisatie verwacht of door wetgeving aan gebonden bent. Daarnaast is het essentieel dat je de belangrijke data voor jou organisatie borgt. Wat is het gevolg als je kiest voor een andere cloudoplossing, hoe borg ik dat ik mijn data in een formaat beschikbaar krijgt, zodat deze in een andere oplossing ook de bedrijfsprocessen borgt?’

Zekerheden borgen

Als voorbeeld noemt Van der Heijden Salesforce-oplossingen, waarbij onder andere klanten informatie in de databases van Salesforce worden geregistreerd. ‘Op het moment dat je behoefte hebt aan een export van deze data, wil je er zeker van zijn dat je deze informatie niet verliest. Ook qua security en privacy wil je borgen dat je voorkomt dat jouw klantenbestand niet voor andere organisaties beschikbaar komt. In de huidige situatie treffen veel organisaties technische maatregelen om dit te voorkomen. Bij cloudoplossingen kun je functionele eisen stellen, maar technische voorzieningen worden getroffen door de aanbieder. Van de cloudaanbieder mag je immers verwachten dat er gerapporteerd over het wat, maar niet over het hoe.’

Marc Jepkes, salesmanager bij Fortinet, vindt dat aanbieders van IoT-oplossingen security best-practises moeten standaardiseren en deze moeten vervolgens verplicht worden gesteld. Als voorbeeld noemt hij The Payment Card Industry Data Security Standard: PCI-DSS. ‘Dat kan door de overheid gedaan worden, maar ook door de branche zelf. Met deze erkende basiskwaliteitsgarantie kan de consument enigszins worden beschermd.’

Digitale lijm

Volgens Kevin Bouwmeester, sales engineer bij Apigee betekent het internet of things dat er veel meer apparaten, meer dan dat nu al het geval is, gegevens met elkaar zullen delen. ‘Deze gegevensoverdracht zal verlopen via integratiepunten, zij vormen de digitale lijm tussen alle apps, websites en apparaten die zullen zijn aangesloten op het internet of things. Zo’n integratiepunt bepaalt welke beveiliging wordt gebruikt, welke gegevens kunnen worden ontvangen of verstuurd en ook hoe fouten worden afgehandeld.’

Het internet of things zal volgens Bouwmeester een enorm aantal integratiepunten omvatten. ‘Voor een organisatie die deze aanbiedt is het zaak om overzicht te houden over bijvoorbeeld privacyaspecten, eventuele risico’s of het bijhouden van het gebruik van de integratiepunten. Hiervoor is een digitaal platform onontbeerlijk.’

Digitaal platform

Met een digitaal platform is het volgens Bouwmeester mogelijk om alle integratiepunten binnen een organisatie te organiseren en te beheersen. Het is volgens hem een belangrijk onderdeel voor het succesvol deelnemen aan het internet of things. Zo biedt het één plek, onafhankelijk van de back-office systemen, voor het toepassen van governance voor alle of een deel van de integratiepunten of gebruikers daarvan. Een brede inzet van beveiliging kan centraal worden geregeld met bijvoorbeeld OAuth of security keys. Ook biedt het flexibiliteit bij het toewijzen van toegang of het wegnemen daarvan. De mogelijkheid om, achter de schermen, oude legacy-systemen te vervangen, terwijl de integratiepunten intact wordt gelaten. Ook geeft het inzicht in het gebruik van integratiepunten. Bijvoorbeeld welke mobiele kanalen de integratiepunten gebruiken, uit welke landen het verkeer komt of welk kanaal het meeste omzet genereert.

‘Een digitaal platform biedt organisaties de mogelijkheid om integratiepunten te organiseren en governance op één plek uit te voeren’, voegt Bouwmeester nog toe. ‘Dit is een essentieel onderdeel wanneer men wil deelnemen aan het internet of things.’

Het nieuwe goud

Jan Scholtes, chairman en chief strategy officer bij Zylab, meent dat de kern van het internet of things het verzamelen, verwerken en interpreteren van data is, afkomstig van dingen (objecten, apparaten, voertuigen) die uitgerust zijn met sensoren. ‘Commercieel gezien is deze big data het nieuwe goud. Maar voor consumenten over wie data wordt verzameld en voor professionals die deze data moeten beschermen, is het niet eenvoudig om het overzicht te behouden en de controle te bewaken.’

IoT geeft ons via rfid en andere sensortechnologie, zonder menselijke tussenkomst, een gedetailleerd beeld van de wereld. Scholtes: ‘Dingen kunnen zelfstandig informatie verzamelen, waardoor computers nog beter en sneller beslissingen kunnen nemen. Bekende voorbeelden zijn de slimme thermostaat en het horloge met gps dat inzicht geeft in sportieve prestaties.’

IoT en big data

Marktanalist Gartner geeft in de ‘2014 Hype Cycle for Emerging Technologies’ aan dat IoT als technologie big data heeft vervangen. Desalniettemin gaan IoT en big data volgens Scholtes onvermijdelijk hand in hand, want al die slimme aangesloten apparaten leveren steeds meer (big) data op. ‘Beide technologieën richten zich op de kansen die verborgen liggen in die enorme hoeveelheden verzamelde data. Koppeling en analyse van informatie kan worden gebruikt om patronen te herkennen en gedrag te voorspellen. Handig voor bedrijven die willen inspelen op de voorkeuren van hun klanten. En praktisch voor de consument die op maat gemaakte aanbiedingen ontvangt.’

Big data biedt tal van commerciële mogelijkheden, maar herbergen ook vele juridische risico’s. Wanneer er geen toezicht is op de inhoud van de verzamelde data, neemt het risico van ongeoorloofde verspreiding van gevoelige informatie enorm toe. Gevallen van schending van de privacywet of het onbedoeld lekken van vertrouwelijke informatie worden breed uitgemeten in de media en hebben verstrekkende gevolgen voor het bedrijfsproces, bedrijfsimago en het klantvertrouwen.

Argusogen

‘Aan consumentenzijde wordt met argusogen gekeken naar het verlies van privacy door IoT’, merkt Scholtes op. ‘Steeds meer apparaten zijn met het internet verbonden. En al die data wordt ergens verzameld en blijft daar voor altijd staan. Van privacy lijkt weinig over te blijven. Uit recente onderzoeken blijkt dat een ruime meerderheid van de Nederlanders vindt dat bedrijven meer moeten doen om persoonlijke gegevens van klanten te beveiligen. Een kwart van de Nederlanders zegt op te stappen als klant bij vermoeden van onzorgvuldig handelen met hun persoonlijke gegevens.’

Privacy- en databescherming zijn volgens Scholtes belangrijke onderdelen van ‘information governance’. ‘Information governance heeft als doel informatie op een effectieve manier in te zetten voor het bedrijf en de risico’s en kosten die big data met zich meebrengen, zo laag mogelijk te houden. Een doelgerichte aanpak begint met het lokaliseren en identificeren van de drie soorten gegevens die voor de bedrijfsvoering van belang zijn: gegevens die moeten worden bewaard op grond van wettelijke verplichtingen, gegevens die bewaard moeten worden in het kader van lopende of te verwachte rechtszaken en gegevens die essentieel zijn voor de bedrijfsvoering. Data-analytische technieken kunnen worden ingezet om het datavolume te beheersen, persoonsgegevens te beschermen en juridische problemen te voorkomen.’

Big data-analyse

Big data-analyse maakt gebruik van een aantal technieken om data te verfijnen, te filteren, te sorteren op relevantie, resultaten te de-dupliceren, patronen te vinden en zo te voorkomen dat gebruikers zich door grote hoeveelheden irrelevante informatie moeten worstelen. Deze technologie maakt gebruik van diverse wiskundige, statistische, linguïstische en patroonherkenningtechnieken die automatische analyse van informatie mogelijk maken.

‘Want of het nu gaat om het beschermen van persoonsgegevens van klant of werknemer, het commercieel profiteren van big data en het internet of things of het verhogen van de efficiëntie van informatiemanagement, alles begint met de identificatie en lokalisatie van informatie die bewaard, beschermd, beveiligd of vernietigd moet worden’, aldus Scholtes.

Laatste nieuws

Dit artikel is eerder gepubliceerd in de laatste nieuws-printuitgave van Computable (10 oktober 2014).Computable-print gaat door als magazine voor het ict-management.De site Computable.nl gaat zich specifiek meer richten op de ict-professional.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/5191580). © Jaarbeurs IT Media.

7,7

 
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.