Stephen Bailey, Global Chief Privacy Officer bij NCC Group, leidt een team van experts dat bestuursniveau-advies biedt op het gebied van cyberbeveiliging en privacy. Hij is een van de opstellers van de cyberdefensiestrategie voor de Golfstaten en auteur van richtlijnen van het Britse National Infrastructure Protection Center over risicobeheer voor werknemers. Momenteel houdt hij toezicht op alle externe activiteiten met persoonsgegevens, waaronder klantincidenten die rapportage aan toezichthouders vereisen. In een interview met Business Insider licht hij toe hoe het cybersecuritylandschap verandert. “AI zal de toegangsdrempel voor kwaadwillenden verlagen, waardoor zelfs mensen met minimale cyberkennis aanvallen kunnen uitvoeren,” zegt hij.
Stephen Bailey, Global Chief Privacy Officer bij NCC Group: “We zien al een verschuiving van ‘cyberdefensie’ naar ‘cyberveerkracht’, en tegen 2030 zal deze focus nog duidelijker worden.”
Betekent dit een proactievere benadering van beveiliging, zodat je immuun bent voor aanvallen in plaats van je te moeten verdedigen?
Ja. Dit vraagt om flexibele cybersecuritymaatregelen die zich snel kunnen aanpassen aan een steeds dynamischer dreigingslandschap.
AI zal de toegangsdrempel voor kwaadwillenden aanzienlijk verlagen, waardoor zelfs mensen met minimale cyberkennis in staat zijn aanvallen uit te voeren. Tegelijkertijd zal AI verdedigers versterken door nauwkeurigere en snellere detectie en reactie op dreigingen mogelijk te maken.
Wat kunnen we de komende jaren nog meer verwachten?
De samenwerking tussen de publieke en private sector wordt gerichter en robuuster. Deze sectoren zullen nauwer samenwerken om cyberdreigingen te bestrijden en informatie snel uit te wisselen wanneer aanvallen worden gedetecteerd.
De regelgeving rond gegevensbescherming en cyberveiligheid zal worden aangescherpt, vooral op het gebied van AI en Internet of Things (IoT). De nieuwe regelgevingskaders en richtlijnen zullen flexibel moeten zijn om gelijke tred te houden met de snelle technologische ontwikkelingen.
Privacy-enhancing technologies (PET) zullen ook vaker worden ingezet, omdat ze een goed evenwicht bieden tussen veiligheid, privacy en bruikbaarheid bij gegevensdeling. PET biedt organisaties de flexibiliteit om hun beveiligingsmaatregelen af te stemmen op specifieke vereisten en zo zowel gegevensbescherming als gebruiksgemak te waarborgen.
Denkt u dat de huidige regelgeving, zoals de AVG, toereikend is in het licht van komende technologische uitdagingen, of is nieuwe regelgeving nodig?
De AVG heeft een sterk kader voor gegevensbescherming neergezet en heeft wereldwijd soortgelijke wetten beïnvloed. Toch is het moeilijk om de snelle technologische vooruitgang, vooral op het gebied van AI, bij te houden.
Het aanpassen van de AVG aan nieuwe technologieën is een logische stap, maar dat is niet altijd praktisch vanwege het langdurige wijzigingsproces van regelgeving in een multilaterale omgeving zoals de EU.
Een realistischere benadering zou zijn om de kernregelgeving op principes te baseren en gedetailleerde, technologiegerichte regels over te laten aan individuele toezichthouders. Deze kunnen dan flexibelere en specifieker gerichte codes en richtlijnen uitvaardigen.
Daarnaast zou deze aanpak de mondiale en sectoroverschrijdende samenwerking versterken, waardoor deze effectiever en tijdiger wordt in het aanpakken van opkomende uitdagingen op het gebied van gegevensbescherming en cyberveiligheid.
Hoe BigTech klantgegevens beschermt
Hoe kunnen nationale overheden effectief samenwerken met BigTech op het gebied van gegevensbescherming en tegelijkertijd de digitale soevereiniteit waarborgen?
BigTech-bedrijven moeten actief worden betrokken bij het ontwikkelen van wetgeving, raamwerken, richtlijnen en gedragscodes. Het is van belang om te zorgen voor een evenwichtige vertegenwoordiging van verschillende sectoren om belangenconflicten te voorkomen of op te lossen.
Er is ook behoefte aan sterke publiek-private samenwerkingsverbanden om nauwere samenwerking tussen sectoren te ondersteunen. Deze benadering zorgt ervoor dat regelgeving in lijn blijft met de ontwikkelingen en innovaties binnen de sector. Verder is het van groot belang om BigTech aan te moedigen tot meer transparantie rondom hun datagebruikpraktijken. Dit vergroot het vertrouwen, zowel bij toezichthouders als bij individuen wier gegevens worden verwerkt. Transparantie bevordert goede praktijken, ontmoedigt datamisbruik en verkleint mogelijk de behoefte aan handhavingsmaatregelen vanuit de regelgeving.
Denkt u dat initiatieven zoals TikTok’s Project Clover een standaard kunnen worden voor andere technologieplatforms in Europa op het gebied van gegevensbescherming?
Sommige elementen van Project Clover zouden een voorbeeld kunnen worden van goede praktijken voor de toekomst, met name wat betreft het gebruik van privacy-enhancing technologies (PET) en het vergroten van transparantie bij persoonsgegevensverwerking.
Het toezichtsniveau en de toegang van NCC Group tot cruciale systemen binnen Project Clover, zoals de beoordeling van de broncode van beveiligingsgateways, kan een belangrijke stap zijn naar transparantere gegevensverwerking door andere technologiebedrijven.
Risico’s en bedreigingen: wat zijn de grootste uitdagingen?
Wat zijn de grootste risico’s verbonden aan dataconcentratie bij een klein aantal grote technologiebedrijven, en kunnen deze worden geminimaliseerd?
Het grootste risico bij dataconcentratie bij enkele grote technologiebedrijven is dat zij door hun enorme gebruikersbasis en de gevoeligheid van de verwerkte gegevens aantrekkelijke doelwitten voor cyberaanvallen zijn. Een datalek kan aanzienlijke hoeveelheden persoonlijke informatie aan het licht brengen, wat niet alleen gevolgen heeft voor de betrokkenen, maar ook het publieke vertrouwen in gegevensbescherming kan ondermijnen.
Welke maatregelen kunnen we nemen?
Toezichthouders zouden specifieke verwachtingen en normen moeten stellen voor hoe grote technologiebedrijven omgaan met gegevensverwerking en beveiliging, inclusief realistische privacy- en gegevensbeschermingsnormen. Daarnaast is het cruciaal dat toezichthouders actief toezicht houden en ervoor zorgen dat bedrijven zich aan deze normen houden. Regelmatige audits, nalevingscontroles en sancties voor niet-naleving kunnen helpen om een hoog niveau van gegevensbeveiliging te waarborgen.
Een ander belangrijk aspect is voorlichting en publieke bewustwording. Door het publiek beter te informeren en op te leiden, kunnen consumenten beter geïnformeerde keuzes maken over de diensten die ze gebruiken en de risico’s begrijpen van het delen van hun gegevens.
Wat zijn de grootste uitdagingen in het handhaven van het evenwicht tussen gegevensbeveiliging en het recht van burgers op privacy?
Een van de grootste uitdagingen voor organisaties is om precies te bepalen welke persoonsgegevens nodig zijn en ervoor te zorgen dat ze alleen verzamelen wat strikt noodzakelijk is. Dit vraagt om zorgvuldige afwegingen om overmatige gegevensverzameling te voorkomen. Bovendien is het cruciaal om een robuust beleid te hanteren voor het bewaren en verwijderen van gegevens, zodat persoonlijke gegevens worden vernietigd of gewist wanneer ze niet langer nodig zijn voor legitieme zakelijke doeleinden.
Een veelvoorkomend probleem is dat aanvallers tijdens datalekken toegang krijgen tot grote hoeveelheden gegevens die al verwijderd hadden moeten worden of nooit verzameld hadden hoeven te worden. Dit benadrukt het belang van gegevensminimalisatie en strikte verwijderingsprotocollen, waarmee zowel gegevensbeveiliging als de privacyrechten van burgers worden gewaarborgd.
Verwacht u dat de overheid meer druk zal uitoefenen om toegang te krijgen tot privégegevens van gebruikers in het kader van de nationale veiligheid?
De wetgeving in veel landen omvat al robuuste juridische kaders die duidelijk definiëren onder welke voorwaarden overheden, inclusief opsporingsdiensten, toegang kunnen krijgen tot persoonlijke gegevens van individuen. Dit kader balanceert doorgaans de nationale veiligheidsbehoeften met de rechten van individuele privacy.
Hoewel het waarschijnlijk is dat de wetgeving zal worden geüpdatet om nieuwe datastromen en technologieën te dekken, zal het aantal toegangsverzoeken niet per se toenemen. Wel blijft het essentieel dat bestaande toezichtmechanismen sterk blijven om ervoor te zorgen dat overheden en opsporingsdiensten verantwoordelijk worden gehouden voor mogelijk misbruik van gegevens. Transparantie en verantwoording zijn hierbij van belang, door middel van regelmatige audits en onafhankelijk toezicht, om de privacy van individuen te beschermen en nationale veiligheidskwesties aan te pakken.
Welke technologieën zullen nuttig zijn voor gegevensbescherming in de toekomst en hoe moeten bedrijven zich voorbereiden?
Verschillende nieuwe technologieën bieden potentieel om gegevensbescherming in de toekomst aanzienlijk te verbeteren. Twee technologieën die het vermelden waard zijn, zijn kunstmatige intelligentie en privacybevorderende technologieën (PET).
Kunstmatige intelligentie zal een rol spelen in het realtime identificeren van bedreigingen, zodat organisaties sneller kunnen reageren op beveiligingsincidenten. Bedrijven die AI willen inzetten, moeten investeren in op AI-gebaseerde beveiligingsoplossingen en ervoor zorgen dat hun personeel goed getraind is in het gebruik van deze tools.
Privacybevorderende technologieën maken het mogelijk voor organisaties om persoonsgegevens te delen zonder de privacy van individuen in gevaar te brengen. Dit vereist wel een zorgvuldige balans tussen het benutten van data en het waarborgen van privacy. Bedrijven moeten verwerkingsactiviteiten identificeren die kunnen profiteren van PET en deze technologieën integreren in hun processen. De manier waarop Project Clover PET toepast naast sterke gegevensbeschermingsmaatregelen biedt een extra garantie dat toegang tot gebruikersgegevens beperkt blijft tot diegenen met een legitieme zakelijke noodzaak.
De Europese Unie en cyberveiligheid
Laten we ook praten over de activiteiten van de EU. Hoe belangrijk zijn initiatieven zoals het Digitaal Kompas voor de toekomst van gegevensbescherming in Europa?
Het Digitaal Kompas 2030 van de Europese Unie biedt een ambitieuze visie voor de digitale toekomst van Europa. Zoals bij elke ambitie, hangt het succes ervan af van effectieve implementatie. Een van de vele aandachtspunten is de noodzaak om bij te blijven met technologische ontwikkelingen en de eisen van wetgeving.
Een van de belangrijkste uitdagingen voor het slagen van Digitaal Kompas 2030 is de nauwe samenwerking en investeringen tussen de EU-lidstaten.
Welke acties moeten overheden en de particuliere sector ondernemen om gegevensbescherming effectief te waarborgen?
De belangrijkste stap voor overheden en de particuliere sector is samenwerking om een open en transparant regelgevingsklimaat te creëren. Daarnaast moeten zij samenwerken om het publiek bewust te maken van de waarde van hun persoonlijke gegevens en hun wettelijke rechten op het gebied van gegevensbescherming.
Wat moeten overheden doen?
Overheden zouden proactief deel moeten nemen aan internationale samenwerkingen om gegevensuitwisseling te faciliteren waarbij de privacy van individuen centraal staat. Dit omvat het harmoniseren van wetten en normen inzake gegevensbescherming wereldwijd. Er is ook behoefte aan duidelijke richtlijnen en ondersteuning, zoals gemakkelijk te begrijpen gedragscodes, vooral voor kleinere organisaties. Dit kan praktische voorbeelden bevatten om bedrijven te helpen bij het vaststellen van hun verplichtingen, zoals de noodzaak van een functionaris voor gegevensbescherming.
En wat blijft er over voor de particuliere sector?
Bedrijven moeten privacybevorderende technologieën implementeren waar deze waarde kunnen toevoegen aan gegevensverwerkingsactiviteiten. Daarnaast is het essentieel om een positieve veiligheidscultuur te bevorderen, waarin medewerkers weten welk gedrag van hen wordt verwacht en worden erkend voor het volgen van veiligheidspraktijken. Ten slotte moeten regelmatige beoordelingen van gegevens worden uitgevoerd om ervoor te zorgen dat deze nog steeds nodig zijn voor bedrijfsdoeleinden. Een strikt gegevensbewaarbeleid is essentieel om gegevens die niet langer nodig zijn te verwijderen of te vernietigen.
