Praktische gids – Privacy in de onderneming

admin

Auteurs: Marga Caproni en Stéphanie De Smedt

Dit boek, bestaande uit twee delen met 29 hoofdstukken, vat in 297 blz vol vragen met antwoorden een visie op de GDPR samen uit de advocatenpraktijk van de twee auteurs.

Deel een is een inleiding die een terugblik geeft op de vorige privacyrichtlijnen, maar ook een interpretatie geeft van de aanverwante wetgeving zoals de telecommunicatiewet en de camerawet. Deze komen later in het boek nogmaals aan bod.

In deel twee, wettelijke verplichtingen, doen de auteurs, steeds in vraag en antwoord, die dingen uit de doeken die elke CxO moet weten over de privacywetgeving: ben ik verantwoordelijk, is mijn bedrijf onderhavig aan deze nieuwe wet, en persoonsgegevens, wat is dat allemaal?

Daarna komt de kat op de koord voor de juristen zelf: wat zijn de verplichtingen, waar liggen de grenzen voor de werkgever en de werknemer, voor de verantwoordelijke, de DPO, de verwerker en de betrokkene?

In het boek komen tal van onderwerpen aan bod, die soms zeer verregaand zijn, zoals alcohol en drugstesten, controles bij mogelijke diefstal, schaduwen van personen, geolocatie van wagens of smartphones, overname van een organisatie… Het komt allemaal aan bod, steeds met een uitgebreide motivatie waarom de auteurs een bepaald standpunt innemen, waarbij ze tegen de werkgroep WP29 durven ingaan.

De auteurs brengen met hun schrijfwijze in hun boek een stuk gespecialiseerde nieuwe wetgeving op een aangenaam leesbare manier onder de aandacht van de juridische leek.

Risk Analysis and Governance in EU Policy Making and Regulation – An introductory guide

admin

Auteur: Bernardo Delogu

In dit boek geeft de auteur een aantal concepten en methoden aan van risicoanalyse die het meest relevant zijn voor de ontwikkeling en toepassing van EU risicobeleid en wettelijke maatregelen. Het focust zich daarbij op drie soorten risico’s: gezondheidsrisico’s, veiligheidsrisico’s en milieu risico’s.

Doorheen het boek vertrekt de auteur bij het concept van risico’s en risicoanalyse, en gaat verder met de behandeling van risicomanagement, risicocommunicatie en uiteindelijk risicogovernance. Het boek sluit af met een samenvattend hoofdstuk van de belangrijkste kwesties die behandeld werden doorheen het werk.

Maar wat zijn de zaken die, naast een hoop zaken die moesten behandeld worden als goed principe toegepast op beleid, het meeste bijbleven uit dit werk?

Ten eerste zijn er de risicomanagement principes en criteria die de EU hanteert als regelgevend orgaan. Een eerste is het voorzichtigheidsprincipe (PP: precautionary principle). Een tweede is het subsidiariteitsprincipe. Het derde is het proportionaliteitsprincipe. Hierbij moet telkens elk van deze principes verrechtvaardigd zijn. Zo is bijvoorbeeld overdreven onverantwoordbare voorzichtigheid niet goed te keuren.

Andere punten zijn de risk-risk evaluatie, de kosten-baten evaluatie en het verschil tussen gevaren (Hazard) en risico’s. Dit laatste werd het best uitgelegd tot nogtoe in dit boek. Een Hazard is een eigenschap van bijv. een materiaal of een wezen “an sich” terwijl een risico een bedreiging is waarbij de omgevingssituatie mee in rekening wordt gebracht. Bijvoorbeeld een kaas Camembert en de listeriabacterie. De listeriabacterie op zich is een levensgevaarlijke bacterie. In een ‘omgeving’ van camembert is ze echter niet riskant voor mensen. (https://www.nieuwsblad.be/cnt/goledsud)

Verder is de relatie met belanghebbenden zeer belangrijk voor de EU. Daarbij hanteren ze de principes van deelname (participation), openheid en aansprakelijkheid, effectiviteit en het verzekeren van stelselmatige consultatieprocessen over de diensten van de EU heen, met inbegrip van evaluaties en kwaliteitscontrole.

De belangrijkste boodschap die andere overheden en managers van bedrijven evenwel kunnen trekken uit het boek is dat wetenschappelijk onderzoek van de risico’s wel en niet onafhankelijk van de beleidsmakers moet kunnen gebeuren. Hoewel de wetenschappers hun werk onafhankelijk van moeten kunnen doen van politieke voorkeuren en bijhorende randvoorwaarden, is het belangrijk dat ze de resultaten delen met de politiek zodat deze er andere waarden dan de wetenschappelijke juistheid aan kan toevoegen, zonder echter in te gaan tegen het voorzichtigheidsprincipe. Ook moet de beleidsmaker kunnen aanvaarden dat de wetenschap niet altijd het gewenste antwoord geeft, of zelfs maar een juist eenduidig antwoord heeft. Iedereen, de wetenschappers, de risicomanagers en de beslissing nemers, moeten hun eigen rol kennen en die van de anderen.

Understanding Hybrid Warfare

admin

Auteur: Multinational Capability Development Campaign (MCDC)

Hybride wat?

Er is nog geen goede eenduidige definitie. Er bestaan eerder omschrijvingen, zoals:

Een hybride crisis is een samenspel van twee of meer crisissen waartussen een link kan bestaan (niet noodzakelijk) en die elkaar kunnen versterken.

Hybrid warfare is een militaire strategie die politieke oorlog gebruikt en conventionele oorlog, irreguliere oorlog en cyberoorlog mengt met andere methoden met een sterke invloed, zoals fake news, diplomatie en interventie in buitenlandse verkiezingen.

Het is echter geweten dat de agressor probeert vergelding te vermijden. Hybride warfare is typisch op maat gesneden om onder de duidelijke detectie en respons thresholds te blijven.

De gevallen waarop deze studie gebaseerd is zijn:

  • Iran’s activiteiten in Syrië
  • Gebruik van Gas en leningen door Rusland als drukkingsmiddel in Oekraïne
  • IS in Syrië en Irak
  • Hybrid warfare in een stedelijke context
  • Cyber gebruikt door Rusland

Twee dingen zijn duidelijk over dit onderwerp: niemand begrijpt het ten volle, maar iedereen vindt het een probleem

Daarom is er nood aan het ondernemen van 2 stappen

Stap 1: Een gemeenschappelijke taal (begrijpen van het onderwerp en de communicatie erover vlot kunnen voeren)

Stap 2: Een analytisch framework

Stap 1: begrijpen

Er bestaat nog geen goede eenduidige definitie, zoals we al eerder schreven, maar er zijn wel omschrijvingen, bijv.:

“Het gesynchroniseerd gebruik van meerdere machtsinstrumenten op maat gemaakt van specifieke kwetsbaarheden over het volledige spectrum van maatschappelijke functies heen, om synergieën te bekomen.”

Vaak vallen ze terug op de snelheid, het volume en de alomtegenwoordigheid van de digitale technologie.

Het is belangrijk om in te zien dat meerdere machtsinstrumenten gebruikt worden in meerdere dimensies en op verschillende niveaus tegelijk op een synchrone manier. Dit staan de actor toe om verschillende MPECI (Militair, Politiek, Economisch, Civiel, Informatie) middelen te gebruiken die ze te beschikking hebben om synchrone aanvalspakketten te creëren die op maat zijn van opgemerkte of vermoedde kwetsbaarheden. De machtsinstrumenten die gebruikt worden zullen afhangen van de mogelijkheden van de actor en van deze kwetsbaarheden, alsook van de politieke doelstellingen van de actor en zijn geplande weg om zijn doelen te bereiken. Zoals in alle conflicten met oorlogen, zal het karakteristieke van de hybride oorlogsvoering afhankelijk zijn van de context.

Een actor kan zowel verticaal escaleren (in intensiteit) als horizontaal (door te syncen: 1+1+1+1+1>5).

Hybride dreiging leent zich niet tot klassieke dreigingsanalyse om o.a. volgende redenen:

  • Een brede set van MPECI tools
  • Kwetsbaarheden over maatschappijen heen worden uitgebuit, op een manier waar we normaal niet aan denken
  • Het synchroniseren en de manier waarop is onvoorspelbaar.
  • Gebruikt het uitbuiten van ambiguïteiten, creativiteit en ons begrip van oorlogvoering om zijn aanvallen onzichtbaar te houden
  • Een hybride aanval kan ongemerkt blijven tot het te laat is.

We zullen dus in de toekomst anders moeten leren kijken naar conflicten.

escaleren

Stap 2: het Analytisch Framework:

Het analytisch framework is opgebouwd met drie onderdelen:

  1. Kritische functies en kwetsbaarheden
  2. Synchronisatie van de middelen
  3. Effecten en niet-lineariteiten (complexiteiten)

Hierbij geldt dat “1+1+1 > 3” of ook: het geheel is meer dan de som der delen.

We geven een korte uitleg van deze drie onderdelen:

  1. Kritische functies en kwetsbaarheden

Kritische functies hier zijn activiteiten over het PMESII (Politiek, Militair, Economisch, Sociaal, Infrastructuur, Informatie) spectrum heen die, wanneer ze niet meer uitgevoerd worden, kunnen leiden tot een onderbreking van diensten waar de maatschappij van afhangt.

Ze kunnen allemaal opgedeeld worden in een combinatie van actoren, infrastructuren en processen. Ze hebben allemaal kwetsbaarheden.

  1. Synchronisatie van de middelen

Synchronisatie (syncen) is de mogelijkheid van de aanvaller om effectieve machtsinstrumenten (MPECI) te coördineren in de tijd, ruimte en met bepaalde doelen om een gewenst effect te bekomen. Hiermee kan hij grotere effecten halen dan met openlijke dwang. Voordelen voor de aanvaller zijn:

Middelen en kwetsbaarheden op maat benutten

Dwang uitoefenen maar zelf onder de radar blijven van de detectie thresholds en respons thresholds

Gemakkelijker om tegelijk te escaleren en de-escaleren van verschillende MPECI

  1. Effecten en niet-lineariteiten (complexiteiten)

Effecten zijn veranderingen in de toestand van het doelwit. Ze kunnen niet goed onder controle gehouden worden door de aanvaller omdat men kan geen lineaire opeenvolging van effecten meer voorspellen. Causaliteit wordt steeds moeilijker naarmate er meer elementen van de MPECI gebruikt worden en variëren.

Framework

Men moet “BTIM’s” opzetten om de zaken te leren (her)kennen:

Baselines, Thresholds, Indicators, Monitoring in real time, vanuit de filosofie : “Je weet niet wat abnormaal is als je niet weet wat normaal is en als je niet meet wat de evolutie is”

Voor de baselines moet men een oplijsting en assessment van maatschappelijke kritische functies maken. Indicatoren moeten helpen bepalen of er een aanval bezig is of begint. Thresholds helpen bepalen wat de normale / abnormale werking is.

Zonder te weten wat er normale werking is, kan men niets beginnen.

Helaas geen echte voorbeelden van bestaande “BTIM’s” gegeven in het document.

Wat zijn nu de adviezen van dit document?

  1. Maak regelmatig een nationale self-assessment van kritieke functies en de kwetsbaarheden van alle sectoren en van de maatschappij.
  2. Verbeter de klassieke dreigingsanalyse zodat het de volgende tools en mogelijkheden bevat: Politieke, Economische, Civiele, Internationale en onderzoek hoe deze middelen kunnen gesynchroniseerd worden in een aanval op kwetsbaarheden
  3. Creëer een nationale methodiek voor het coördineren van self-assessment en dreigingsanalyse specifiek voor: het begrijpen van, het detecteren van, het reageren op hybride dreigingen
  4. Internationaliseer, werk coherent samen over grenzen heen.

Conclusie: Hier ga ik even tegendraads zijn.

De studie vindt dat het framework een visuele tool is om respons te leveren tijdens een hybride aanval.

Dat lijkt me onzinnig. Behalve de BTIM’s die opgezet moeten worden, en die los van het framework moeten kunnen functioneren, zal de visuele tool m.i. eerder een tool blijven voor analyse achteraf.

Wel geeft de tool duiding van wat er tijdens de crisis aan informatie moet bewaard blijven.

De Perfecte Ramp – Het einde van de wereld en hoe dat te voorkomen

admin

Auteur: John Casti

Het boek is geschreven “Voor de kenners van unknown unknowns” en is opgedeeld in drie delen.

Het eerste deel – Waarom normaal niet meer normaal is – vertelt over complexiteitstheorie. De complexiteitstheorie houdt in dat elke issue twee (of meer) kanten heeft, bijvoorbeeld een dienstlevering van een organisatie heeft een organisatiezijde en een klantenzijde. Beide hebben een bepaalde graad van complexiteit. Zonder in te gaan op de definities van complexiteit hier, maar vanuit het buikgevoel kunnen we hiervoor als overduidelijk voorbeeld de levering van elektriciteit bekijken in de USA. Daarvan kunnen we zeggen dat de vraagzijde zeer complex is: verschillende hoeveelheden, verschillende tijden, verschillende behoeften die doorheen de geschiedenis als een zeer complex systeem gegroeid zijn. Maar daar staat een verouderde infrastructuur tegenover, die ten aanzien van de huidige stand van technologie een lage complexiteit heeft. Tussen beide complexiteitsniveaus bestaat er een gap, die volgens de complexiteitstheorie een bron zijn van kwetsbaarheden, en een extreme gebeurtenis kunnen uitlokken om het systeem te corrigeren. Bijvoorbeeld een black-out. Dit voorbeeld is een eenvoudige illustratie van de theorie, die overduidelijk is. De beste oplossing voor de continuïteit van de klantzijde en de leverancierszijde is in dit geval een verhoging van de complexiteit aan de leverancierszijde, tot deze die van de klantzijde evenaart. Met andere woorden een technische upgrade.

Het eerste deel eindigt met zeven complexiteitsprincipes:

Complexiteit Voornaamste eigenschap
Emergentie Het geheel is niet gelijk aan de som der delen
Rode Koningin-hypothese Evolueren om te overleven
Voor niets gaat de zon op Uitwisseling tussen efficiëntie en veerkracht
Goudlokje-principe Vrijheidsniveaus zijn ‘precies goed’
Onvolledigheid Alleen logica is niet genoeg
Vlindereffect Kleine veranderingen kunnen enorme gevolgen hebben
De wet van de vereiste variëteit (deze is de ietwat belangrijkste) Alleen complexiteit kan complexiteit controleren

 

Deel twee is een verzameling van 11 hoofdstukken, die elk over een apart geval gaan, waarin telkens de complexiteitsgap getoond wordt en hoe daaruit een ramp kan ontstaan.

In deel drie beargumenteert de auteur dat de breedte van de kloof of de overdaad aan complexiteit, gezien kan worden als een nieuwe manier voor het kwantificeren van het risico op een extreme gebeurtenis. Dit echter zonder echt in te gaan op formules.

Ten slotte bepaalt de auteur drie principes waarmee de gap kleiner kan gemaakt worden of kan voorkomen worden.

Een eerste principe is dat systemen en personen zo adaptief mogelijk moeten zijn. Omdat de toekomst ongekend is maar steeds gevaarlijker wordt, is het verstandig om de infrastructuren te ontwikkelen met een grote mate van vrijheden, om datgene wat je tegenkomt te kunnen pareren of te gebruiken.

Het tweede aspect, veerkracht, is nauw verwant aan het eerste principe, dat van adaptatie. Hiermee kun je niet enkel klappen incasseren maar ook je voordeel er uit halen.

Het derde principe is redundantie. Dit is een beproefde methode in de veiligheidswetenschappen om een systeem of infrastructuur gaande te houden wanneer het geconfronteerd wordt met onbekende onvoorzienbare en voorzienbare schokken. Eigenlijk draait het hier om extra capaciteit die ter beschikking staat wanneer er bijvoorbeeld een defect optreedt.

Exponential Organizations

admin

Auteurs: Salim Ismail; Michael S. Malone; Yuri Van Geest

Sinds mensheugenis is de mensheid bezig met productiviteit. Productie voorzag de mensen van schaarse middelen die door hun schaarste veel waard waren/zijn. De laatste decenia is het internet fel op de voorgrond gekomen, en daarbij horend het begrip “Creative Destruction” en “disruptieve technologie”.  De grote bedrijven dachten 15 jaar geleden meestal nog over het internet als “iets dat een fenomeen is van de tijd”. Heden ten dagen, na een uitleg over exponentiële organisaties zien ze in dat het internet een fenomeen is dat het begin is van alles.

Maar wat zijn dat nu, die “Exponentiële organisaties”?

Het zijn doorgaans kleine organisaties die gebruik maken van de modernste technologie om nieuwe oplossingen te bedenken voor vragen uit de markt, waarvoor soms al oplossingen bestaan. Ze veroveren door de nieuwe toepassing de markt op zeer korte tijd, op een exponentiële manier. Voorbeelden hiervan zijn smartphones en tablets, die de fotografie en de papieren krantenwereld een ferme deuk gegeven hebben.

Het “leuke” van dit verschijnsel, is dat doordat technologie gemeenschappelijk goed geworden is, een puber in een garage een uitvinding kan doen die de wereld van een gigantische firma met duizenden werknemers op zijn kop kan zetten in zeer korte tijd.

Daarom is het belangrijk dat alle organisaties zichzelf omvormen tot exponentiële organisaties en zichzelf disruptief aanpakken. Want als ze het niet zelf doen, doet een ander het. Disruptie dus als middel om aan risicobeheer en business continuïteit te doen.

In het boek, dat het resultaat is van een studie van SU (Singularity University) geven de auteurs een aantal aandachtspunten mee. Deze worden gegeven door de mnemonics MTP, SCALE en IDEAS.

Heel belangrijk is daarbij dat in tegenstelling tot grote monolieten de kleine ExO’s zeer Lean en Mean georganiseerd zijn. Het boek gaat op dit laatste niet heel diep in, maar grote monolieten kunnen door samenwerking met bestaande ExO’s, of door ExO’s te creëren aan de grenzen van hun organisatie, ook profiteren van hun voordelen.