Tijdens Data Privacy Week staan we stil bij de cruciale rol van gegevensbescherming: niet alleen als wettelijke verplichting, maar als kans om klantvertrouwen te winnen en innovatie te stimuleren. Dit artikel neemt je mee langs de hoogtepunten van 2024 en biedt inzichten om 2025 voorbereid en sterker tegemoet te gaan.
Nieuwe wetgeving, gecombineerd met bredere ontwikkelingen binnen het dreigingslandschap, creëert extra complexiteit en urgentie voor beveiligings- en compliance-teams. Naar aanleiding van Data Privacy Week (27-31 januari) en Data Protection Day (28 januari) is het een ideaal moment om het cruciale belang van gegevensbescherming voor het succes van moderne organisaties te benadrukken.
Gegevensprivacy en -bescherming gaan hand in hand met cybersecurity. Belangrijke wetten zoals de AVG onderstrepen niet alleen het belang van het waarborgen van privacyrechten van klanten, maar ook van het beschermen van hun meest gevoelige persoonsgegevens met geavanceerde technologieën zoals encryptie. Campagnes zoals Data Privacy Week zijn meer dan jaarlijkse evenementen: ze vormen een oproep om gegevensveiligheid en privacy prioriteit te geven in een voortdurend veranderend digitaal landschap.
Belangrijke gebeurtenissen in 2024
Het afgelopen jaar was baanbrekend voor wereldwijde privacy, met nieuwe wetten, belangrijke gerechtelijke uitspraken en opkomende technologische en dreigingstrends. Hier volgen hoogtepunten van 2024:
Enkele opmerkelijke boetes en schikkingen:
- €310 miljoen GDPR-boete voor LinkedIn wegens het verwerken van gegevens zonder expliciete toestemming.
- €294 miljoen GDPR-boete voor Uber vanwege het niet adequaat beschermen van gegevens van chauffeurs in de VS.
- €91 miljoen GDPR-boete voor Meta vanwege het opslaan van wachtwoorden in platte tekst.
- $1,4 miljard schikking tussen Meta en de staat Texas voor het onrechtmatig vastleggen van biometrische gegevens.
Belangrijke juridische uitspraken:
- In de Lindenpotheke-zaak heeft het Hof van Justitie van de Europese Unie (HvJEU) bepaald dat bedrijven concurrenten kunnen aanklagen wegens schending van de AVG. Bovendien werd de definitie van gezondheidsgegevens uitgebreid.
- In zaak C-621/22 verduidelijkte het HvJEU “gerechtvaardigde belangen” als basis voor gegevensverwerking, mits strikte privacymaatregelen worden gevolgd.
Nieuwe cybersecuritywetten:
- NIS2, dat strengere eisen stelt aan een breder scala aan organisaties.
- De Cyber Resilience Act (CRA), met strikte beveiligingseisen voor hardware en software.
- De Cyber Solidarity Act (CSA), bedoeld om lidstaten te ondersteunen bij het detecteren, voorbereiden en reageren op grootschalige cyberdreigingen.
Wereldwijde AI-regulering:
- De EU AI Act.
- Meer ondertekenaars van het Council of Europe Framework Convention on AI.
- Het Chinese AI Safety Governance Framework.
Vooruitblik op 2025
De impact van de gebeurtenissen in 2024 zal ook in 2025 voelbaar zijn. Daarnaast zullen nieuwe wetgeving en trends binnen het dreigingslandschap verdere uitdagingen en druk opleveren voor teams die verantwoordelijk zijn voor beveiliging en compliance.
Wat kun je verwachten?
- Nieuwe gegevensbeschermingswetten: zoals Canada's C-27 Bill, het Britse Data (Use and Access) Bill en acht nieuwe privacywetten in verschillende Amerikaanse staten. Dit zal leiden tot meer bewustzijn, wettelijke bescherming en handhaving, maar ook tot verhoogde druk op compliance-teams.
- Striktere handhaving: bijvoorbeeld boetes en eisen onder de EU AI Act, inclusief verboden op systemen met onaanvaardbare risico’s en verplichtingen voor generatieve AI (GenAI) vanaf augustus 2025.
- Meer dreigingen en privacyrisico's: De toename van AI-tools en gestolen inloggegevens zal geavanceerdere aanvallen mogelijk maken. Organisaties die hun beveiliging niet aanpassen, lopen risico op sancties van toezichthouders.
- Cybercriminelen die nieuwe wetten misbruiken: Dreigingen van boetes onder NIS2 kunnen worden gebruikt voor afpersingsaanvallen.
- AI en privacyuitdagingen: AI-systemen vereisen grote hoeveelheden data, wat kan leiden tot privacyproblemen als toestemming niet duidelijk is verkregen.
Wat kun je doen?
- Regelgevende en wetgevende veranderingen op de voet te volgen.
- Jouw databeveiliging te versterken volgens branchebest practices.
- Duidelijke verantwoordelijkheden en rapportagesystemen in te richten.
- Data Protection Impact Assessments (DPIA's) uit te voeren en passende maatregelen te nemen.
- Regelmatig prestaties te evalueren en beveiligingsprotocollen bij te werken.
Gegevensbescherming biedt niet alleen een kans om klantvertrouwen te vergroten, maar ook om financiële en reputatieschade te voorkomen. Door 2025 te beschouwen als een kans voor innovatie en verbetering, kun je deuren openen naar nieuwe zakelijke mogelijkheden.