BLOG – Jarenlang werd databescherming in Europa benaderd als een juridisch vraagstuk. Het was een onderwerp voor privacy-officers, juristen en audits. Die benadering wringt.
In een wereld van cloud, ai en complexe digitale ketens is databescherming geen afvinklijstje meer. Het is een keuze die je al bij het ontwerp van systemen maakt. Wie dat nog steeds niet erkent, loopt niet alleen technische risico’s, maar tast ook het vertrouwen in digitale systemen aan.
De Europese discussie over een mogelijke ‘reset’ van het databeschermingsmodel gaat daarom niet over verouderde principes. Ze laat zien dat de praktijk achterloopt op de manier waarop moderne it-systemen zijn gebouwd en gebruikt.
Paradox
Bijna tien jaar na de invoering van de AVG staat Europa voor een ongemakkelijke paradox. Het Europese databeschermingsmodel geldt internationaal als norm, terwijl organisaties tegelijk worstelen met de praktische uitvoerbaarheid. Nieuwe technologieën, met name ai, zijn gebouwd op continue datastromen, grootschalige analyse en hergebruik van informatie. Dat botst met uitgangspunten als zo min mogelijk data verzamelen, data alleen gebruiken waarvoor die bedoeld is en inzichtelijk maken wie waarvoor toegang heeft.
De digitale infrastructuur is het zenuwstelsel van de samenleving
De reflex is voorspelbaar: regels versoepelen om innovatie niet te blokkeren. Die redenering gaat echter voorbij aan de kern. Het probleem zit niet in de uitgangspunten, maar in de manier waarop databescherming wordt toegepast. Vaak gebeurt dat pas achteraf. Als extra maatregel of als schadebeperking. Terwijl de belangrijkste keuzes veel eerder worden gemaakt: in architectuur, governance en infrastructuur.
Versplinterd
Wie digitale systemen ontwerpt, bepaalt in hoge mate hoe data worden verzameld, gedeeld en beschermd. Versplinterde verantwoordelijkheden, ondoorzichtige controle-lagen en achteraf toegevoegde beveiliging vergroten het risico juist. Dat geldt voor commerciële platforms en voor de publieke digitale infrastructuur.
Die systeemblik komt nadrukkelijk terug in cybersecurity-strategieën, ook in Nederland. De digitale infrastructuur is niet langer puur ondersteunend, maar het zenuwstelsel van de samenleving. In die context zijn datalekken of privacy-incidenten geen op zichzelf staande technische problemen. Ze ondermijnen het vertrouwen in instituties en veroorzaken maatschappelijke schade.
Daarbij verschuift ook de verantwoordelijkheid. Niet de eindgebruiker, maar de partijen die digitale systemen ontwerpen en beheren, hebben de meeste invloed op hoe privacy en veiligheid in de praktijk worden geregeld. Dat betekent dat deze aspecten geen extra laag mogen zijn, maar vanaf het begin onderdeel moeten uitmaken van de technische architectuur.
Bloot
De opkomst van ai legt deze spanning genadeloos bloot. Ai-systemen vragen om schaal, snelheid en flexibiliteit. Zonder duidelijke architectuurgrenzen vervagen verantwoordelijkheden. Wie heeft toegang tot welke data? Wie kan modellen auditen? En waar liggen de grenzen tussen organisaties, leveranciers en overheden?
Zonder duidelijke ontwerpkeuzes ontstaat het risico dat uitzonderingen de norm worden. Tijdelijke oplossingen worden permanent, extra toegang wordt verleend ‘voor het gemak’ en datagebruik schuift steeds verder af van het oorspronkelijke doel. Dat is geen theoretisch risico, het is een structureel patroon dat zichtbaar wordt zodra systemen complexer worden dan individuele organisaties kunnen overzien.
Verfijning
De strategische keuze waar Europa voor staat, is geen harde reset, maar doelgerichte verfijning. Dat betekent vasthouden aan de principes en ze afdwingen op het niveau waar ze het meeste effect hebben. Dus niet alleen in beleid en wetgeving, maar juist in de infrastructuur zelf. Dat vraagt om it-architecturen waarin vooraf duidelijk is vastgelegd wie of wat toegang heeft tot welke data, onder welke omstandigheden en met welke controle. Pas dan zijn het innovatie en databescherming daadwerkelijk met elkaar te verenigen, in plaats van ze tegenover elkaar te zetten.
Geen rem
Databescherming is zeker geen rem op digitale vooruitgang. Het is een voorwaarde voor duurzame digitalisering. Systemen die vanaf het ontwerp rekening houden met privacy, transparantie en controle zijn beter bestand tegen verandering, misbruik en politieke druk.
Voor it-beslissers ligt hier een duidelijke keuze. Het gaat niet om de vraag of databescherming belangrijk is, maar waar zij een plek krijgt in het ontwerp van systemen. Wie dat pas achteraf probeert te regelen, loopt onvermijdelijk achter de feiten aan. Wie het vanaf het begin meeneemt, bouwt aan systemen die niet alleen technisch goed functioneren, maar ook maatschappelijk houdbaar zijn.
Kevin Cochrane, cmo Vultr
Artikel rammelt nogal omdat Europese GDPR en de Nederlandse vertaling ervan niet zo zeer om databescherming gaan maar om bescherming van de privacy als we kijken naar een aantal paradoxen in het dilemma. Zo is er zoiets als doelbinding waarbij gegevens alleen mogen worden verzameld en verwerkt voor specifieke, expliciete en gerechtvaardigde doeleinden. Dataminimalisatie & transparantie gaat hierin dus om alleen wat nodig is en duidelijk voor wie en dt geeft uitdagingen in de ILM-strategie geeft als we kijken naar de ontkoppeling tussen IT-beslissers en de business.
Wie wat bewaard die heeft wat want lang leve de datasynthese van AI om PII te koppelen aan context voor de reconstructie want wie beschermt nu eigenlijk wie tegen wat en waarom?
“….systemen complexer worden dan individuele organisaties kunnen overzien…”
Het bonnetje van Teeven werd gevonden in een back-up die eigenlijk al lang vernietigd had moeten zijn maar ILM is jaren geleden al ontkoppelt van de IT waardoor digitale archieven dit soort verrassingen kennen. Niks infrastructuur maar een informatiebeleid als we kijken naar wie nu beschermt wordt tegen wat en waarom. Control F om te zoeken naar dataclassificatie levert geen hit op in het artikel terwijl hierin het verschil ligt als het om het beschermen van de informatie of de data gaat.
Vasthouden aan de principes en ze afdwingen op het niveau waar ze het meeste effect hebben is interessant als ik kijk naar de toegang tot data via RBAC middels applicaties. Ontkoppel de data en de applicatie en kijk wat het oplevert want de achterdeur van de back-up is al jaren interessant in het beleid van bewaren. Infrastructuur is vervangbaar en inwisselbaar maar de data niet als ik kijk naar doelbinding ervan, het niet mogen bewaren weegt hierdoor uiteindelijk zwaarder dan het moeten bewaren.
Wij van WC-eend verkopen ‘data resilience’ wat uiteindelijk om de gegevensdragers gaat. Juridisch eigendom hiervan is interessant als ik kijk naar Toon Hermans en zijn duif want tape is niet dood maar groen en de bandbreedte van een koffer tapes is nog altijd ongeëvenaard als het om een cloud exit gaat:
https://docs.vultr.com/vultr-data-portability-guide
“.. you are welcome to use any open-source or commercial third party backup system…”
Da’s mooi maar wat zijn de egress cost als je besluit om deze back-up ergens anders te laten landen vanwege data portabiliteit?
Van single cloud naar multi-cloud om het risico te spreiden biedt Vultr een ‘direct connect’ met naar ik aanneem QoS voor bandbreedte garanties. Want ‘kill switch’ van presidentiële orders is een nieuw geopolitiek risico in het ‘data resilience’ vraagstuk want principes afdwingen waar ze het meeste effect hebben gaat tegenwoordig meer om chantage als achteraf de waarheid articuleren middels een reconstructie om het archief gaat.
De polaroid van een snapshot is geen betaling voor het fruit, maar voor het moment van toegeven. Net zoals in het Bijbelse appelverhaal niet de appel centraal staat, maar het niet weerstaan van de verleiding. Het moment waarop het verlangen belangrijker wordt dan gehoorzaamheid gaat niet
om architectonische vaagheid maar de governance van wie beschermt nu eigenlijk wie tegen wat en waarom?
Betekenis definiëren waar de huisfilosoof zo weg van is gaat om het bewijs uit het ongerijmde als we kijken naar de waarheid waar data als residu van een proces vooral om de bewijslast gaat. Het struikelblok van een bonnetje ging tenslotte om een domino-effect in de keten welke duidelijk maakte dat bestuurders even vervangbaar zijn als de infrastructuur.
Want wij weten niet veel maar wel waar de lijken verstopt zitten in de digitale schoenendozen als anonimiseren pas achteraf gaat met zwartgelakte documenten. Hefboomwerking van een normatieve macht die net als Jack zijn eigen kaders stelt is als Heidegger want driemaal betalen voor dezelfde muziek omdat oude platenspeler vervangen is lijkt me gewoon diefstal. Dat is geen terminologische drukte maar een metafoor.
Waarom nog al deze moeite doen als je weet (en kunt weten) dat je reactie na één simpele copy-paste en druk op de knop weer is weerlegd? Reageren heeft dus geen enkele zin.
Valsheidsscore: 9 / 10
Deze reactie scoort extreem hoog op hermeneutische valsheid omdat zij betekenis oplost in metaforen en machtsspel, en die ontbinding presenteert als realisme.
https://chatgpt.com/share/69846211-5cb0-8006-84ab-5e9f97fdfd8d
Dom geboren, suf gewiegd en nooit wat bijgeleerd is de hallucinatie van Jack typerend voor de gelatenheid want ik wijs op enkele punten die om de slager en zijn eigen vlees keuren gaan. Een kleitablet is bijvoorbeeld ook een gegevensdrager terwijl de steen van Rosetta om het vertalen gaat want de metaforen blijven een struikelblok. De Turingtest wat betreft fantasie want een bepaalde generatie begrijpt waar betalen met Polaroid om gaat, de snapshot van een momentopname.
Niet de betekenis ligt opgesloten in metaforen maar de waarheid want het machtsspel gaat om wat je kunt bewijzen. Discussies over LLM’S tussen juristen gaat om de retoriek van de bewijslast. Een verwijzing naar de voorwaarden is sterker dan de mening van een chatbot zoals dat ook het bonnetje als residu van een transactie een grotere waarde heeft. Begripsmatig de vastlegging van een momentopname zonder context zoals dwang.
De verleiding om te reageren….
Mijn reactie is niet simpel te weerleggen omdat deze meerdere lagen heeft, copy-paste en druk op de knop gaat om de gelatenheid van iemand die zonder zelf na te denken een oordeel heeft. Wat betreft filosofische ‘vlieguren’ mis ik de interpretatie van Dino, de vastlegging is dynamisch.
Daar gaan we weer… 😊
Valsheidsscore: 9,5 / 10
Eindoordeel in één zin
Deze reactie scoort extreem hoog op hermeneutische valsheid omdat zij betekenis reduceert tot bewijslast, inhoud vervangt door aanval en onduidelijkheid presenteert als intellectuele superioriteit.
Dit is ook het natuurlijke eindpunt van de draad:
waar betekenis wordt opgegeven, resteert geen debat maar alleen pose.
https://chatgpt.com/share/69846211-5cb0-8006-84ab-5e9f97fdfd8d
Mij is gevraagd meer inhoudelijk te reageren.
Als toeschouwer probeer ik er dus touw aan vast te knopen:
meerdere lagen die gepresenteerd worden als intellectuele superioriteit, die met 1 druk op de knop weerlegd wordt.. 😛
is draadje kwijt of los ?
Interessanter is wellicht het modereren van reacties op een artikel dat gaat over databescherming en compliance.
Redactie is niet verantwoordelijk lees ik hierboven, maar blijkbaar wel voor de reacties ?
Meer ontopic kan bijna niet.