Compliant ten aanzien van cybersecurity, privacy en data-protectie?

by Marinain Compliance, Financiële ondernemingen, Integriteit en cultuur, Privacy & Data-protectieon Posted on

De afgelopen decennia heeft talrijke technologische innovaties gebracht, waarbij onder meer commerciële producten en/of diensten worden ontwikkeld die gebruik maken van data. Deze data bevat steeds meer dusdanige persoonsgegevens die onder andere gedragingen en gedachten van personen blootleggen, waardoor niet meer lichtzinnig afgevraagd kan worden of het verzamelen van deze data een inbreuk op de privacy vormt. Het gaat hier over informationele privacy, het verzamelen en verwerken van data over een persoon om meer gegevens over deze persoon te verkrijgen. 

Digitale transformatie van financiële ondernemingen is vereist om aan te haken aan technologische ontwikkelingen en om onder andere tijdig in te kunnen spelen op de veranderde vraag van klanten. Financiële ondernemingen kunnen baat hebben bij een zorgvuldige en weloverwogen besluitvorming als zij klantdata commercieel willen gebruiken. Het betrekken van klantbelangen bij bijvoorbeeld het productontwikkelingsproces is niet alleen voordelig voor klant en maatschappij. Het is ook van belang voor de financiële onderneming zelf. Financiële ondernemingen kunnen op deze manier vertrouwen geven, hun reputatie beschermen en compliance voor de lange termijn waarborgen.

 

“Compliant zijn”

De compliance functie bij financiële ondernemingen is grotendeels ontstaan door de noodzaak van regulering na aanleiding van verschillende incidenten. Veelal, en tot nu toe, werd gekozen voor het stellen van wetten en regels om dergelijke affaires in de toekomst zo veel als mogelijk te voorkomen. De compliance officer had de taak om deze ondernemingen te laten voldoen aan deze wetten en regels.

In de vele verschillende incidenten en affaires decennia daarna, begon een verschuiving plaats te vinden in deze taak. Vanaf 2004 verbrede de aandachtspunten voor de compliance functie naar het toezichthouden op de integriteit in de onderneming. Financiële ondernemingen dienen sindsdien niet uitsluitend rekening te houden met een juridische dimensie, maar ook met een ethische dimensie. Daarbij is het noodzakelijk om de vraag te stellen: wat is juist handelen? Ook als het gaat om het gebruiken van klantdata voor nieuwe financiële producten en/of diensten. Hiervoor is echter bewustwording nodig en verankering in de organisatie. Dit laatste kan bijvoorbeeld door de belangen van de stakeholders, in het bijzonder die van de klant, mee te laten wegen en voldoende te waarborgen bij de ontwikkeling van innovatieve financiële producten en/of diensten.

 

De internationale cybersecurity standaarden en de Algemene Verordening Gegevensbescherming bieden onvoldoende waarborgen om compliant te zijn

Financiële ondernemingen dienen, op grond van art. 3:17 Wft jo. art. 20 Bpr, te beschikken over “adequate procedures en maatregelen ter beheersing van IT-risico’s”. Internationale cybersecurity standaarden en de Good Practice Informatiebeveiliging van DNB (hierna: de Good Practice) gaan uit van het beschermen en waarborgen van de integriteit, beschikbaarheid en vertrouwelijkheid van geautomatiseerde gegevens. Daarnaast is van belang dat iedere financiële onderneming voldoet aan de verplichtingen krachtens de Algemene Verordening Gegevensverwerking (hierna: AVG).

De internationale standaarden, de Good Practice en de AVG laten echter een hiaat achter, waardoor een financiële onderneming niet geheel compliant kan zijn als het gaat om cybersecurity & privacy ten aanzien van het commerciële gebruik van klantdata. Om compliant te zijn, is vereist dat een financiële onderneming zowel aan de letter van de wet voldoet, als aan de geest van de wet.

Cybersecurity

Standaarden voor informatiebeveiliging beogen voornamelijk een technisch en organisatorisch kader te bieden voor het waarborgen van data en IT-infrastructuur. Het biedt invulling aan het beginsel van “behoorlijkheid” van de AVG, door de integriteit, beschikbaarheid en vertrouwelijkheid van data en IT-infrastructuur te waarborgen. Het betreffen technische en organisatorische minimumstandaarden die geen invulling kunnen geven aan de “geest van de wet”. Hierdoor beschrijven deze standaarden niets over de intentie waarvoor financiële ondernemingen klantdata kunnen gebruiken.

AVG

Vanuit Europa worden privacy en data-protectie gezien als grondrechten. In art. 16 lid 1 Werkingsverdrag is bepaald dat iedereen recht heeft op bescherming van zijn of haar persoonsgegevens. En in art. 16 lid 2 Werkingsverdrag is bepaald dat voorschriften verbonden zijn aan het vrije verkeer van deze persoonsgegevens. Als uitwerking op deze grondrechten is de AVG in het leven geroepen. Het doel van de AVG is om een juridisch kader te scheppen om rechtsbescherming te bieden voor personen en hun privacy. In deze verordening zijn gronden vastgelegd die beogen de intentie van het verwerken van persoonsgegevens te begrenzen.

In juli 2019 heeft de Autoriteit Persoonsgegevens (hierna: AP) duidelijkheid gegeven over de intentie van banken om aan de hand van klantdata, gepersonaliseerde aanbiedingen te doen. Het voornaamste probleem was dat de banken betaalgegevens voor andere doeleinden wilden gaan gebruiken dan tijdens het afsluiten van de bankrekening was bedoeld (direct marketing). De AP heeft dan ook, via de Nederlandse Vereniging van Banken, de banken gewaarschuwd. Maar wat als financiële ondernemingen, met toestemming van de klant, alsnog overgaan tot direct marketing? Is dit wenselijk? En wat voor gevolgen kan dit hebben voor klant en compliance?

Zoals de situatie in juli 2019 over het gebruik van klantdata voor het aanbieden van gepersonaliseerde reclame door banken laat zien, kunnen financiële onderneming op zich klantdata verwerken op onder andere rechtmatige, behoorlijke en transparante wijze. Het voornaamste argument van de AP was dat klanten in eerste instantie toestemming aan banken hebben gegeven voor andere doeleinden dan voor marketingdoeleinden. Dit is in principe een zwak argument, omdat een klant op een later moment alsnog toestemming kan geven. Het meest problematische is echter of de klant de gevolgen van zijn of haar toestemming kan overzien.

 

Gevaren voor de klant

Zowel de informatiebeveiligingsstandaarden als de AVG bieden geen adequate grenzen aan de marketing van privacy en data. Roessler en Mokrosinska beschrijven in hun boek, Social Dimensions of Privacy, de tendens van de universele marketing om van elk gegeven van het menselijk leven te veranderen in een product, en of dit ethisch gezien wenselijk is. Maar ook wat voor gevolgen dit kan hebben voor de privacy, de vrijheid en de identiteit van individuen, voor de sociale relaties en voor de transformatie van de maatschappij in het algemeen.

“Examples like this abound and demonstrate that markets in personal data form one of the most lucrative markets in the world: the data concern every aspect of and every bit of information about personal lives, from health, shopping, news preferences, geographic data, this list could be continued almost endlessly.”

Voorsprong

Het gebruik van technologieën en data gaan tegenwoordig gepaard met het opereren in de schaduw. Bedrijven die technieken gebruiken om data te verzamelen en nader te analyseren, hebben een gigantische informatievoorsprong ten opzichte van de klant. Dergelijke bedrijven kunnen in het bezit zijn van allerlei data over een individu en over indirecte inzichten in het gedrag van het individu. Terwijl het individu vaak niet eens weet welke bedrijven schuilgaan achter de apps die zij geïnstalleerd hebben op bijvoorbeeld hun smartphone of tablet. Door deze gang van zaken ontstaat informatie-asymmetrie tussen bedrijven die deze technologieën gebruiken en individuen.

De Noorse consumentenbond, Forbrukerrådet, geeft in het rapport Out of control aan dat een enorm aantal derden partijen betrokken kunnen zijn bij een app. Individuen kunnen tot op bepaalde hoogte begrijpen dat een app data over de gebruiker verzameld, bijvoorbeeld voor app-advertenties. Maar de kennis over welke derde partij daadwerkelijk betrokken is en wat deze derde partij exact doet met de data over het individu, is slechts weggelegd aan degenen die in staat zijn om de juridische kanten van het privacy beleid en de technische analyse van de app te doorgronden. En dan nog is het vaak praktisch onmogelijk om erachter te komen welke derde partijen betrokken zijn, omdat deze partijen lang niet altijd genoemd worden in het privacy beleid.

Het toestemmingsvereiste, het recht om te weten wat met jou data gebeurt en het recht om vergeten te worden, bieden individuen onvoldoende waarborgen. De omvang van het data verzamelen en de ondoorzichtigheid die daarmee gepaard gaat, is te complex. Individuen kunnen het geheel niet overzien, waardoor zij bijvoorbeeld niet eens weten tegenover wie zij exact toestemming geven.

Manipulatie

Een ander probleem dat Forbrukerrådet beschrijft, is dat als een bedrijf diepgaande informatie heeft over bijvoorbeeld de voorkeuren, de gewoonten en het verlangen van een individu, dan is zo een bedrijf beter in staat om het individu te manipuleren. Een dergelijk bedrijf is informatief beter uitgerust om te manipuleren. Hierdoor kunnen zij door het analyseren van de data een marketingcampagne of advertentie zodanig verfijnen om een individu ergens ertoe te bewegen.

Discriminatie

Forbrukerrådet geeft verder aan dat één van de gevolgen van manipulatie  discriminatie kan zijn. Een bedrijf kan aan de hand van informatie over de aankoophistorie van een individu, zijn of haar browsegeschiedenis, of aan de hand van diens economische situatie een specifiek prijskaartje voorschotelen. Als zulke specifieke prijskaartjes, voor gelijke producten of diensten, voor iedereen verschillend is vanwege hun voorkeuren, dan kunnen mensen aanbiedingen niet vergelijken. Twee verschillende personen zullen dan hoogstwaarschijnlijk nooit exact dezelfde aanbieding krijgen en/of dezelfde prijs betalen.

 

Betere waarborgen om compliant te zijn

Compliant zijn vraagt dus meer dan uitsluitend de letter van de wet te volgen. Integer zijn bestaat in elk geval uit reputatie en vertrouwen. ‘Reputatie’ is de manier waarop anderen naar je onderneming kijken. Het gaat om imago. Terwijl ‘vertrouwen’ veel sterker gericht is op wat je doet en hoe je handelt. Dit laatste kan teruggevonden worden in de geest van de wet.

Nu het belang van het verzamelen en gebruiken van data voor zeer uiteenlopende technische toepassingen in de afgelopen decennia ontzettend groot is geworden, wordt het maatschappelijk belang dat verantwoord wordt omgegaan met data ook steeds groter. Vooral omdat veel consumenten niet kunnen overzien wat exact met hun persoonlijke data gebeurt.

Custers beschrijft in zijn artikel, Nieuwe digitale (grond)rechten in het Nederlands Juristenblad, de situatie dat problemen kunnen ontstaan door nieuwe technologieën, waarvoor (nog) geen (grond)rechten bestaan. Hij pleit daarbij voor een andere zienswijze, namelijk een normatief-verkennende zienswijze. Hiermee houd je oog voor een normatieve invulling bij het ontwikkelen van nieuwe technologieën.

D.I.K.W.

Een stap richting het verantwoordelijk omgaan met (persoonlijke) data is het DIKW-model of hiërarchie. Dit model staat voor Data, Information, Knowledge en Wisdom.

Data staat voor het vergaren van (persoonlijke) data, terwijl het nog niet bruikbaar is om het toe te passen. Data is dan nog onvoldoende gestructureerd en onvoldoende geordend om hiervan gebruik te kunnen maken.

Information staat voor data die voldoende gestructureerd en geordend is om te kunnen gebruiken voor technische toepassingen of voor een specifiek doel. Informatie is afgeleid uit data.

Knowledge is vervolgens afgeleid uit information. Het betreft het daadwerkelijk toepassen van informatie voor een specifiek doel. Het gebruiken van Knowledge kan, volgens mij, min of meer gelijkgesteld worden met “de letter van de wet”. Als persoonlijke data wordt gebruik voor een specifieke technische toepassing, dan kan je redeneren dat het gebruik hiervan technisch mogelijk is en dat het dus mag. “Omdat het kan, mag het”. Je kijkt dan uitsluitend naar de grenzen die de techniek toelaat. Ik ben van mening dat een dergelijke redenering zwak is, omdat het getuigt van een beperkt inzicht. Een inzicht dat zich slechts richt op één facet van techniek, zonder de nadelige gevolgen voor individuen of de maatschappij in het oog te hebben.

Deepfake video’s zijn hier een voorbeeld van. Deepfake video’s zijn video’s die zodanig op technische wijze gemanipuleerd zijn, zodat het lijkt alsof de video echt is. In een deepfake video kan een persoon een geheel andere boodschap uitdragen dan in de realiteit is verkondigd

De gemanipuleerde video is bijna niet te onderscheiden van een originele video. Deepfake is een techniek die het mogelijk maakt om waarheden te manipuleren, omdat het in principe technisch mogelijk is. Maar of het dan daadwerkelijk gebruikt moet worden? In het tijdperk van informatie waarin we leven, is het belangrijk dat mensen kunnen vertrouwen op deze informatie. De creatie van deepfake video’s brengt teweeg dat mensen niet zomaar kunnen vertrouwen op de informatie die voorkomt uit video’s, naast de negatieve gevolgen die het kan hebben voor de persoon of personen in de video.

Vandaar het belang van Wisdom. Aan Wisdom kunnen verschillende betekenissen worden toegekend, maar ik denk dat de volgende betekenis het meest treffend is. Wisdom is weten dat je het juiste doet met Data, Information en Knowledge. Het betreft een ethische dimensie die omvat dat je in staat bent om verantwoorde keuzes te maken waarom je gebruik maakt van Data, Information en Knowledge voor een specifiek doel. Ik vind dat deze betekenis van Wisdom aansluit bij de “geest van de wet”.

 

NIST Privacy framework

De National Institute of Standards and Technology (hierna: NIST) heeft in januari 2020 een privacy framework gepubliceerd. Dit privacy framework dient naast het Cybersecurity Framework te worden gelegd. De aanleiding voor dit privacy framework is dat innovatieve technologieën sociale mogelijkheden hebben vergroot en de daaraan verbonden economische waarde. NIST erkent dat individuen lang niet altijd de gevolgen kunnen overzien als zij interacteren met apps. Maar zij erkennen ook dat bedrijven of organisaties lang niet altijd de gevolgen van de inzet van deze technologieën overzien, voor individuen, maatschappij maar ook voor henzelf. De wijze van het verzamelen van data en het gebruik daarvan kunnen ook gevolgen hebben voor de reputatie van de organisatie. Het doel van NIST is dan ook om privacy engineering practices te verbeteren door meer ondersteuning te bieden voor Privacy by Design concepten. Zo proberen zij bedrijven beter in staat te stellen om de privacy van individuen te beschermen, om nadelige aspecten voor de maatschappij zo veel mogelijk tegen te gaan, en om hun reputatie veilig te stellen.

Dit kan bijvoorbeeld worden gerealiseerd door ethische perceptie en besluitvorming te verdisconteren in productontwikkelingsprocessen. Zo kan in het productontwikkelingsproces aandacht worden besteed aan de invloed van het product voor verschillende stakeholders.

Een ander voordeel is dat organisaties beter is staat zijn om te voldoen aan toekomstige wet- en regelgeving. Zoals ik hierboven beschreef over de door Custers geschetste situatie, een situatie waarin nieuwe technologieën problemen veroorzaken terwijl nog geen wet- en regelgeving aanwezig is, kan een financiële onderneming aan de hand van dit framework beter in staat zijn om compliant te zijn. Verankering van ethische perceptie en besluitvorming in processen draagt bij aan het compliant zijn op de lange termijn.

Het kan wellicht paternalistisch overkomen om klanten van financiële ondernemingen op een iets meer verstrekkende wijze te beschermen. Maar de huidige wet, regelgeving en opinies behelzen dat financiële ondernemingen een maatschappelijke rol en een zorgplicht jegens hun klanten hebben. Met de verankering van deze ethische perceptie kunnen zij toekomen aan de belangen van de maatschappij, hun zorgplichten jegens klanten, maar vooral ook voor hun eigen belang als het gaat om reputatie en vertrouwen.

 

Bronnen

  • Beate Roessler en Dorota Mokrosinka, Social Dimensions of Privacy: Interdisciplinar Perspectives, Cambridge University Press, 2015.
  • Bart Custers, Nieuwe digitale (grond)rechten, Nederland Juristenblad 20 december 2019, afl. 44, pag. 2775.
  • Forbrukerrådet, Out of control: how consumers are exploited by the online advertisement industry, 14 januari 2020, https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/report-out-of-control/