Nieuwe technologieën als datamining brengen dikwijls een andere manier van werken met zich mee. Maar dit hoeft nog niet tot gevolg te hebben dat dit de privacy van de burger in gevaar brengt, schrijft drs A. Lucassen RE.
De voortgaande informatisering en automatisering van onze maatschappij veroorzaakt een groeiend spanningsveld tussen de bescherming van persoonsgegevens en het gebruik ervan door derden.
In de Computable van 14 maart wordt bijvoorbeeld gesteld dat de Registratiekamer veilige technologieën wenst ter waarborging van de privacy van burgers. Specifiek wordt in het artikel aandacht besteed aan het nieuwe verschijnsel ‘datamining’ en de mogelijke dreiging hiervan voor de privacy, als gevolg van het combineren van afzonderlijk aangelegde gegevensverzamelingen. De conclusie luidt dat voor datamining de huidige wetgeving, in de vorm van de Wet Persoonsregistraties (WPR), niet afdoende het risico van inbreuk op privacy afdekt: de toelaatbaarheid van datamining is afhankelijk van de vraag hoe nauwkeurig de doelstelling van datamining gespecificeerd dient te worden. In dit specifieke geval wordt de nadruk gelegd op datamining, maar eigenlijk is deze conclusie technologie-onafhankelijk. Het probleem is dat regelgeving ontbreekt voor het aanleggen van gegevensverzamelingen, waarvan de doelstellingen niet nauwkeurig genoeg gespecificeerd kunnen worden.
Wet Persoonsregistraties
De wetmatige kant moet op orde zijn, dat spreekt voor zich. Wellicht behoeven de huidige bepalingen die zijn vastgelegd in de WPR enige aanpassing om de door de nieuwe technologieën geïntroduceerde onvolkomenheden te ondervangen. Zo zouden additionele eisen opgesteld kunnen worden om de doelstelling van het aanleggen van een gegevensverzameling duidelijker te specificeren dan momenteel het geval is. Hierbij valt te denken aan het toevoegen van de definitie van de verzamelde data-elementen als bijlage bij de regelgeving. De wet zou vervolgens moeten worden uitgebreid met een passage waarin wordt vermeld dat de genoemde data-elementen niet zullen worden gebruikt in combinatie met andere aangelegde gegevensverzamelingen, tenzij hiervoor vóóraf toestemming is verstrekt door �f de personen van wie de gegevens afkomstig zijn �f door een instantie als de Registratiekamer die optreedt als vertegenwoordiger van deze personen.
Door de definitie van de data-elementen toe te voegen aan de wetgeving ontstaat tevens een middel om vast te stellen dat de via datamining verkregen verbanden uitsluitend tot stand zijn gekomen vanuit een goedgekeurde combinatie van gegevensverzamelingen.
Maar om nu de mogelijkheid tot inbreuk op privacy door datamining of iedere andere nieuwe technologie geheel te schuiven op het niet toereikend zijn van de WPR gaat te ver; zij vormt slechts een onderdeel van een geheel van maatregelen dat van kracht zou moeten zijn om inbreuk op privacy tot een acceptabel minimum te beperken. Een en ander is trouwens ook in artikel 8 van de WPR aangegeven.
Stelsel van beheersmaatregelen
Nieuwe technologieën zoals datamining vragen vaak een andere manier van werken. Dit hoeft echter nog niet te betekenen dat het direct een bedreiging vormt voor de privacy van de burger. Het is geheel afhankelijk van het algemene kader waarbinnen gewerkt wordt met nieuwe technologieën. Door een goede balans te vinden tussen organisatorische en systeemtechnische beheersmaatregelen is het mogelijk om ook op een veilige manier met nieuwe technologieën te werken. Een manier die bovendien voldoet aan de daaraan gestelde wettelijke vereisten.
Er zijn enkele beheersmaatregelen die in aanmerking komen. Zoals een adequate functiescheiding in de organisatie bij het onderhoud aan (de toegang tot) de gegevensverzameling. Hierbij dient tenminste onderscheid gemaakt te worden tussen personen die gebruikmaken van de data ten behoeve van analyses, de personen die onderhoud aan de toegang goedkeuren en de personen die dit onderhoud daadwerkelijk uitvoeren. Een andere maatregel kan zijn het toewijzen van de verantwoordelijkheid voor het naleven van de bepalingen die zijn neergelegd in de wet. Deze verantwoordelijkheid zal veelal komen te liggen bij die persoon die ook verantwoordelijk is voor het goedkeuren van onderhoud aan de toegang tot de gegevensverzameling. Een derde mogelijkheid zijn adequate procedures bij het verstrekken of wijzigen van de logische toegang tot de betreffende gegevensverzamelingen. Tenslotte een adequate implementatie van de logische toegangsbeveiliging waardoor een scheiding op systeemniveau tussen de verschillende gegevensverzamelingen wordt bereikt. Hierbij is het allereerst noodzakelijk dat een nieuwe technologie de mogelijkheden biedt dit tot stand te brengen. Gelukkig sluiten de ontwikkelaars van nieuwe technologieën zich aan bij het groeiend bewustzijn van de maatschappij als het gaat om privacy-aspecten en worden er standaard vele mogelijkheden ingebouwd om hier op een adequate manier mee om te gaan. Het is zaak van de organisatie deze mogelijkheden goed te gebruiken.
Koppelen zonder toestemming
In de huidige situatie is het echter nog steeds mogelijk dat organisaties alsnog verschillende gegevensverzamelingen koppelen op zoek naar verbanden, zonder daar vooraf toestemming voor te vragen. Om dit enigszins te ondervangen zou de WPR zodanig aangepast moeten worden dat aan organisaties die zich bezighouden met het aanleggen van gegevensverzamelingen de verplichting wordt opgelegd om met een bepaalde periodiciteit (bijvoorbeeld met een minimum van eens per jaar) een onderzoek uit te (laten) voeren, om vast te stellen of voldaan wordt aan bovenvermelde bepalingen. Zo’n onderzoek zou uitgevoerd kunnen worden door de interne audit-afdeling van de organisatie, door een onafhankelijke accountantskantoor of door de Registratiekamer zelf.
In de eerste twee situaties zou de Registratiekamer geïnformeerd moeten worden middels een onderzoeksverslag, zodat zij de rol van ‘bewaker van de privacy van de burger’ kan blijven vervullen.
De eindverantwoordelijkheid voor de uitvoering van dergelijke onderzoeken en de bijbehorende oordeelsvorming dient bij voorkeur te liggen bij een Register EDP-auditor (RE) van de Norea (Nederlandse Orde van Register EDP-Auditors).
Dit met name vanwege de onderzoeksdeskundigheid inzake IT in het algemeen en de IT-beveiliging en beheer in het bijzonder, die zij mede op basis van een post-universitaire studie en minimaal een drie jarige praktijkervaring hebben opgedaan.
Een zekere waarborg
Om nieuwe technologieën en hun invloed op de privacy van burgers in de greep te houden is het niet alleen belangrijk de technologie zelve te beheersen, maar ook de manier waarop er met deze technologie binnen een organisatie wordt gewerkt. Door enerzijds regels op te stellen voor het combineren van afzonderlijk aangelegde gegevensverzamelingen en deze regels te verankeren in de WPR en anderzijds deze organisaties te verplichten er een adequaat stelsel van beheersmaatregelen op na te houden, kan een zekere waarborg ontstaan dat op een ‘veilige’ manier wordt omgegaan met nieuwe technologieën. Dat de maatschappij een deskundige audit van deze zaken vereist is tegenwoordig steeds meer ook politiek een vereiste. De Register EDP-auditor van de Norea, al dan niet in dienst van de Registratiekamer, accountantsdiensten of accountantskantoren, kan als onafhankelijke deskundige het beste deze rol vervullen.
Drs. A.J.H.M. Lucassen RE CISA, EDP-Auditor bij Deloitte & Touche Computer Assurance Services Center
