,

Privacy: bescherm het, of je bent het kwijt

Serie-ondernemer en technologie- en innovatie-expert Danny Mekić heeft uitgesproken opvattingen over databescherming en privacy. ‘Privacy en veiligheid zijn geen vijanden, ze gaan juist hand-in-hand. Zonder privacy bestaat er geen veiligheid.’

Danny Mekić was pas 12 toen hij als vrijwilliger ging werken bij het toen net opgerichte Startpagina.nl, maar ook internetprovider Het Net. Daar leerde hij programmeren en conceptueel denken. Op zijn 15e richtte hij zijn eerste softwarebedrijf op. Een hostingbedrijf, anonieme Valentijnsdag sms-dienst en chocolade bezorgservice volgden. Twee jaar later stopte hij met zijn vwo, daar had hij (‘concessies doen zit niet in mijn aard’) simpelweg geen tijd meer voor. Inmiddels adviseert hij samen met zijn medewerkers 40 van de 100 grootste organisaties in Nederland, maar ook buitenlandse organisaties. De ontwikkelingen op het gebied van de bescherming van technologie en privacy volgt hij al anderhalf decennium op de voet.

Hoe definieert u privacy?
‘Dat is best lastig. Ik vind privacy eigenlijk niet zo’n goed woord: privacy zie je niet, het is ongrijpbaar. Je weet pas wat het is als je het mist, en dan is het te laat. Een betere term vind ik “vrijheid”. De vrijheid om ongestoord jezelf te mogen zijn. Voor mij is de ultieme vrijheid dat je anders mag zijn dan anderen, zonder dat je, binnen de grenzen van de wet, bang hoeft te zijn voor de consequenties. Zonder in de gaten te worden gehouden. Dan heb je privacy.’

Waarom is het beschermen van privacy zo belangrijk?
‘Als je privacy niet beschermt, dan verdwijnt het langzaam zonder dat je het doorhebt. Alsof je in een appartement van 100 vierkante meter woont en er ieder jaar een vierkante meter af gaat. Dat merk je pas na vele jaren. Na de Tweede Wereldoorlog hoefde je niemand het immense belang van privacy uit te leggen. Het was volkomen logisch dat de overheid zich op gepaste afstand hield van burgers. In dit nieuwe millennium is de balans langzaam maar zeker gekanteld. De vrijheid van burgers wordt wereldwijd stapje voor stapje ingeperkt door overheden, maar ook bedrijven. Dat gebeurt heel geraffineerd. Politici geven inlichtingendiensten uit angst het mandaat om steeds maar meer data te mogen verzamelen. Ik vergelijk dat altijd met het steeds groter maken van een hooiberg van spelden, op zoek naar die ene speld. Inlichtingendiensten, ook zeker in het buitenland, houden steeds meer mensen in de gaten. Politici vinden dat handig, maar het bewijs dat het noodzakelijk is om terrorisme te beheersen ontbreekt nagenoeg. Sterker nog: veel van de recente terreurdaders waren al in het vizier bij buitenlandse geheime diensten – dan mogen bijna alle bevoegdheden uit de kast worden gehaald – en nog steeds konden ze met al die bevoegdheden niet tegengehouden worden. Hebben diensten meer data of meer personeel en samenwerking nodig?’

Als veiligheidsdiensten aanslagen kunnen voorkomen, wat is dan het probleem als burgers hun privacy kwijtraken? Dan red je toch mensenlevens?
‘Mensen die weten, of bang zijn dat ze in de gaten worden gehouden, gaan zich anders gedragen en durven geen afwijkende meningen meer te verkondigen. Dat noem je het chilling effect. Soms heeft het verliezen van privacy catastrofale gevolgen. Neem de datingsite Ashley Madison. Eind 2015 werd deze website gehackt en lagen de privégegevens van zes miljoen gebruikers op straat. Twee van die mensen hebben vervolgens zelfmoord gepleegd, omdat zo bekend werd dat ze vreemdgingen. Wat zou er gebeuren als morgen alle miljarden berichten die ooit, onversleuteld, via Facebook Messenger zijn verstuurd op straat komen te liggen? Dat zou een sociaal-maatschappelijke nucleaire privacybom zijn met vele relatiecrises en juridische conflicten tot gevolg. Privacy raakt alles en iedereen.’

Hoe moet je als internationaal bedrijf aan de slag met de GDPR?
‘Als je ook buiten de Europese Unie opereert, is het allereerst wat complexer. Je krijgt naast de GDPR ook te maken met afwijkende lokale wet- en regelgeving. In de basis is het niet extreem ingewikkeld, wel erg veel werk. De GDPR dwingt je om door alle datastromen heen te gaan en ze te beschrijven, in alle landen waar je actief bent.’

Waar moet je dan op letten?
‘Van wie verwerk je waarom welke persoonsgegevens, wie ontvangt ze, hoe lang worden ze bewaard en hoe/waar staan ze opgeslagen en beveiligd en je moet bovendien actief het risico inschatten van de gegevensverwerking. Als je een volledig beeld hebt van alle datastromen, leg je dat naast de wet- en regelgeving. Het lastige voor grote bedrijven is dat ze, naast de GDPR, ook met zo ontzettend veel andere wetgeving te maken hebben. Toch is het belangrijk om de GDPR prioriteit te geven.’

Gaan bedrijven nu harder achter de GDPR aan, door de angst voor hoge boetes?
‘Mm, moeilijk te zeggen. In Nederland zijn de toezichthouders relatief klein in omvang en ze hebben daarom niet zoveel slagkracht. Bovendien is de Autoriteit Persoonsgegevens niet heel agressief aan het handhaven. Daar kun je echter niet van blijven uitgaan, want zodra er een flink privacy-incident plaatsvindt kan de stemming snel omslaan. Boetes kunnen oplopen tot twintig miljoen euro, dat is voor veel bedrijven geen fooi. Tegelijkertijd laat het verleden zien dat grote bedrijven boetes beschouwen als onderdeel van hun business case en er niet bang voor zijn.’

Kunt u daar een voorbeeld van geven?
‘Bekend is de hack van Sony’s PlayStation Network. Dat netwerk lag in 2011 een maand plat nadat hackers een database met onversleutelde wachtwoorden van 77 miljoen gebruikers hadden gekraakt. De CIO van Sony zei enkele jaren daarvoor dat goed beveiligen van het bedrijf misschien 10 miljoen dollar zou kosten, en dat hij die uitgave niet zou doen om een mogelijk verlies van 1 miljoen dollar te voorkomen. Dat hij dus liever een boete van een miljoen zou betalen, dan tien miljoen uit te geven om een hack te voorkomen.’

U adviseert zelf veel grote multinationals in binnen- en buitenland. Hoe hebben uw klanten de beveiliging en privacybescherming opgetuigd?
‘Mijn klanten help ik op directieniveau de juiste beslissingen te nemen op het gebied van technologie en innovatie. Daar adviseer ik om met hulp van experts vanbinnen en van buiten goede maatregelen te nemen op het gebied van beveiliging en privacybescherming. Wat mijn klanten inmiddels wel kunnen dromen is dat ik al jaren roep dat ze een responsible disclosure policy op hun site moeten plaatsen. Dat is het beleid voor goedwillende hackers die graag opgespoorde kwetsbaarheden in je informatiesystemen willen melden. Dat zijn de rocksterren van de toekomst. Ze verdienen niet alleen te weten waar ze aan toe zijn, maar ook een goede beloning.’

De … GDPR-praktijktips van Danny Mekić

  • Verwerk alleen persoonsgegevens waartoe je wettelijk verplicht bent of waar de persoon in kwestie toestemming voor heeft gegeven
  • Verzamel alleen persoonsgegevens die strikt noodzakelijk zijn voor het doel waarvoor ze zijn verzameld
  • Gebruik deze persoonsgegevens voor geen enkel ander doel dan waar ze voor verzameld zijn
  • Bewaar deze persoonsgegevens zo kort mogelijk
  • Beschrijf alle persoonsgegevens die je organisatie verwerkt, inclusief de bijbehorende doelen, bewaartermijnen en veiligheidsmaatregelen
  • Vergeet niet het personeel bewust te maken van het belang van gegevensbescherming middels trainingen, workshops en presentaties

Danny Mekić startte als vijftienjarige zijn eerste technologiebedrijf. Twee jaar later stopte hij met zijn middelbare school en werd fulltime ondernemer. Na een omweg werd hij toegelaten tot de Universiteit van Amsterdam, waar hij Rechtsgeleerdheid ging studeren. Inmiddels is hij in Nederland uitgegroeid tot dé autoriteit op gebied van technologie en innovatie. Als ondernemer, investeerder, opiniemaker, maar ook als boardroomadviseur daagt Danny talloze grote multinationals, overheden en non-profitorganisaties uit om toekomst bestendig te zijn.

Dit artikel werd gepubliceerd in BDO’s “Scope”.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *