Sven: 43, getrouwd, 3
kinderen, academische opleiding, goed inkomen. Marte: 41, getrouwd, 2 kinderen,
academische opleiding, goed inkomen. Vraag: moeten deze personen (die geen
relatie met elkaar hebben maar dus wel veel op elkaar lijken) evenveel
verzekeringspremies betalen?
Extra informatie: hij gaat
iedere dag met de auto naar z’n werk, doet de gordel niet om en rijdt steevast
te snel. Zij rijdt als een engel: niet te snel, niet te langzaam, keurig
volgens de regels en bovendien alleen als ze ergens heen moet waar je niet
gemakkelijk met het OV kunt komen. Opnieuw de vraag: laten we deze mensen
evenveel betalen voor hun verzekeringen? Nog meer informatie: Sven sport zowat
iedere dag, Marte heeft overgewicht en is na werktijd een couch potato. Wat doen we met de premies?
Deze case werd op het ISACA
Risk Event geschetst door de Noor Magnus Solberg, werkzaam bij Storebrand (‘Stoerebrand’), de grootste in
verzekeringen en pensioenen in Scandinavië. Hij voegde er nog aan toe dat de
extra informatie over de verzekerden beschikbaar komt via “een kastje in de
auto” en een activity tracker om de
pols. Hij zei dit alles op serieuze toon, maar ik meende een goed
gecamoufleerde spottende ondertoon te bespeuren. Je zou eigenlijk hopen dat die
technische foefjes fictief zijn, maar dat kastje voor in de auto bestaat in
Nederland ook al.
Ik zou het geen prettig idee
vinden als een bedrijf dergelijke informatie over mij zou kunnen verzamelen. De
rijstijlgegevens (zonder locatie) zijn nog tot daaraantoe, omdat ik toch altijd
vrij netjes rijd. Maar de gegevens van een activity tracker? Waar ik wanneer
ben, hoe snel ik mij beweeg, mijn polsslag? En dat alles bij elkaar in één
dossier? Ik moet er niet aan denken. “U bent in een fastfoodrestaurant geweest,
daarom betaalt u volgende maand vijf euro meer premie voor uw
ziektekostenverzekering.” Of, met een positieve – zij het betuttelende –
insteek: “U hebt al een poosje niet meer gesport. Wij sturen u een voucher voor
de sportschool.”
Storebrand heeft een enquête
gehouden onder duizend klanten. Die willen best graag informatie met de
verzekering delen als dat tot lagere premies leidt, op voorwaarde dat het
bedrijf honderd procent transparant is over wat het met klantgegevens doet.
Voor mij voelt dat toch als het verkopen van je ziel. Maar Storebrand heeft het
over de circle of trust: meer
gegevens leiden tot beter inzicht, waardoor het bedrijf producten op maat kan
aanbieden, waardoor de omzet stijgt. De volgende twee stappen in de cirkel van
vertrouwen zijn control/security/transparantie en gestegen vertrouwen bij de
klant. De pijl tussen die twee snap ik wel, en ook dat het daarna opnieuw
begint met het afstaan van nog meer gegevens. Maar de link tussen omzetstijging
en meer control/security/transparantie vind ik lastig. Ja, natuurlijk, als je
meer geld verdient, dan kun je meer investeren, maar het hebben van adequate
control, beveiliging en transparantie is toch sowieso een voorwaarde om
verantwoord te kunnen werken?
Privacy is moeilijk.
Iedereen heeft een heleboel dingen die hij wil verbergen (ook al beseffen
sommige mensen dat nog niet). Locatie en gezondheid zijn bij uitstek gegevens
waarvan veel mensen zélf van willen bepalen wie ze krijgt en wat ermee wordt
gedaan. Heb je daarin nog een vrije keus als het je portemonnee beïnvloedt? Of
wordt privacy een ding voor mensen die het zich kunnen veroorloven? En als je
op een goede dag besluit dat je je ziel terug wilt kopen, kan dat dan nog? De
AVG kent het recht om vergeten te worden, maar wat als een bedrijf, dat jouw
gegevens mocht oogsten, een datalek heeft gehad? Dat scenario is bepaald niet
denkbeeldig, zoals onlangs weer eens bleek (zie de GBBW).
Ik zie mogelijkheden voor
een compromis. De kastjes in onze auto’s, om onze polsen en wat je in de
toekomst nog meer kunt verzinnen, sturen niet allerlei meetgegevens naar de
bedrijven waarmee we zaken doen, maar ze berekenen zelf een rapportcijfer. De
bedrijven ontvangen alleen dat rapportcijfer, of misschien zelfs alleen maar
een ‘+’ of een ‘-’, maar niet de onderliggende gegevens – die blijven in het
kastje en worden gewist zodra het cijfer is berekend en doorgeseind. Dat zou
toch ook een win-winsituatie moeten opleveren. De gedachte achter de
vraagstelling aan het begin van deze blog was eigenlijk of het wel eerlijk is
om iedereen evenveel premie te laten betalen, en het voor de hand liggende
antwoord is nee. Een rechtvaardige premie die met een flinke inbreuk op mijn
privacy moet worden betaald, gaat mij echter te ver. Mijn compromis maakt een
eerlijkere premie mogelijk en geeft de verzekeraars tegelijkertijd iets meer
inzicht – maar niet teveel.
En in de grote boze buitenwereld …
... zijn de dossiers van duizenden kwetsbare kinderen gelekt. Doordat de
registratie van een internetdomein verlopen was.
... heeft de functionaris
gegevensbescherming heel wat vrienden nodig, waaronder de security officer.
... neemt de browser van een
cybercrimineel gemakkelijk jouw identiteit aan, als die op het dark web te koop is. Je bent dan vijf
tot tweehonderd dollar waard.
... wordt er flink gebruikgemaakt
van gestolen identiteiten.
... kan beveiligingsbeleid
ook leuk worden opgeschreven.
... zouden Siri, Google en
Alexa eigenlijk moeten zeggen: “Alles wat je zegt wordt voor
trainingsdoeleinden opgenomen en kan door menselijke medewerkers worden
beluisterd.”
... kun je (waarschijnlijk)
voorkomen dat apps je afluisteren.
... had een Ier, die zijn
huis via Airbnb aanbod, een verborgen camera geïnstalleerd waarmee hij
live-streamde wat er in zijn huis gebeurde.
... blijft biometrie nog
even moeilijk.
... hebben onderzoekers
miljoenen e-mails onderzocht op phishing.
https://www.darkreading.com/cloud/25--of-phishing-emails-sneak-into-office-365-report/d/d-id/1334397
... heeft de zeer geavanceerde
TajMahal-spyware zich vijf jaar lang weten te verbergen.
... publiceerde het grootste
Zwitserse ICT-bedrijf een boekje over DevSecOps. https://www.swisscom.ch/content/dam/swisscom/en/about/company/portrait/network/security/documents/devsecops-dynamic-fast-effective-and-secure.pdf.dl.res/devsecops-dynamic-fast-effective-and-secure.pdf
... is het moeilijk om een
echte expert te herkennen.
Geen opmerkingen:
Een reactie posten