Bestaat privacy nog? Wie wel eens het verkeerde tv-programma binnenzapt en daar ziet hoe gemakkelijk de gemiddelde Nederlander zijn persoonlijk leven tot publiek bezit maakt, zou bijna aan het antwoord twijfelen. Gelukkig hebben we een wetgever die ons op het rechte pad houdt.
Want op 1 september aanstaande treedt na een lichte vertraging de Wet Bescherming Persoonsgegevens (WBP) in werking. De WBP is een uitwerking van de Europese privacyrichtlijn en heeft maar één doel: het beschermen van uw privacy in een steeds sterker geautomatiseerde informatiemaatschappij waar bestanden aan elkaar worden gekoppeld alsof het niets is en u bij elke muisklik een digitaal spoor achterlaat dat niet vervliegt en altijd gebruikt kan worden om na te gaan waar u op een bepaald moment in uw leven mee bezig was. Onzin? Verre van. Wie naar Yahoo surft en de naam van een of andere columnist intikt komt er snel achter dat dit figuur op 12 oktober 1989 om 14:35 als medewerker van een rekencentrum in Amsterdam niets beters te doen had dan berichtjes in een nieuwsgroep over synthesizers te plaatsen. Het had erger gekund, maar het punt is hopelijk duidelijk. Elke bestelling die u plaatst, elke pagina die u opvraagt, elk mailtje dat u stuurt kan en zal geregistreerd worden om jaren later ongevraagd weer op te duiken, ook als het u niet uitkomt.
Zo gek is die nieuwe WBP dus nog niet. Hij geeft u meer mogelijkheden om de verwerking van gegevens over uzelf te controleren en te beheersen en legt tegelijkertijd verplichtingen op aan de natuurlijke persoon of rechtspersoon die verantwoordelijk is voor het verwerken van persoonsgegevens. Eén van die verplichtingen, vastgelegd in artikel 13, is het treffen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen. De wet geeft niet aan hoe dat moet gebeuren, en terecht, want keuzevrijheid is een groot goed en de technologie ontwikkelt zich snel. Toch zullen veel organisaties zich afvragen wat er nu precies van ze wordt verwacht. Die vraag is terecht – als iemand schade lijdt doordat een bedrijf zich niet aan de WBP houdt, kan die schade zonder meer worden verhaald. Gelukkig biedt een heldere handleiding van het ministerie van Justitie uitkomst. Die handleiding noemt weliswaar geen beveiligingstechnieken bij naam, maar wijst de lezer nadrukkelijk op het bestaan van praktijkstandaarden. En daarmee kan natuurlijk maar één standaard bedoeld worden: de Code voor Informatiebeveiliging, vorig jaar geheel opgefrist en tot officiële internationale standaard geslagen (ISO 17799).
De Code voor Informatiebeveiliging vormt zonder twijfel een goed uitgangspunt voor het beveiligen van persoonsgegevens. Meer dan een uitgangspunt is het echter niet. Want het treffen van algemene maatregelen zoals die in de Code zijn beschreven is weliswaar noodzakelijk, maar daarmee nog niet voldoende om aan artikel 13 van de WBP te voldoen. Voor het beschermen van persoonsgegevens zijn aanvullende maatregelen nodig. In de handleiding van het ministerie wordt versleuteling als voorbeeld genoemd. En dat brengt ons op een aardig dilemma. Bij het versleutelen van gegevens wordt steeds vaker gebruik gemaakt van digitale certificaten. De publieke sleutels in die certificaten kunnen worden gebruikt om encryptiesleutels te versleutelen en ook om digitale handtekeningen te verifiëren. Digitale certificaten worden dan ook aangeprezen als de meest voor de hand liggende manier om een digitale handtekening te implementeren – u weet wel, de digitale handtekening die, als alles goed is gegaan, rond 19 juli rechtsgeldigheid heeft gekregen. Het idee is dat elke burger een digitaal certificaat krijgt dat hij bij een elektronische transactie overhandigt zodat de andere partij zijn identiteit kan controleren.
Hoe verhouden digitale certificaten zich nu tot het begrip privacy? Laat dit net het onderwerp zijn van een recent proefschrift van onderzoeker Stefan Brands, getiteld Rethinking public key infrastructures and digital certificates – building in privacy. Brands constateert dat digitale certificaten altijd herleidbaar zijn tot individuele gebruikers en vindt dat digitale certificaten de privacy daardoor niet beschermen, maar juist in gevaar brengen. Het is waar: het spoor dat je achterlaat door een digitaal certificaat aan te bieden is veel betrouwbaarder en blijft veel langer zichtbaar dan een spoor dat je achterlaat in de vorm van een IP-adres of een fancy gebruikersnaam. Geen broodkruimels, maar kiezelsteentjes.
De WBP voegt een nieuwe dimensie toe aan de bescherming van onze privacy. Maar het probleem van de digitale sporen kan de WBP niet oplossen. De meeste broodkruimels en kiezelsteentjes zijn immers niet handen van gezagsgetrouwe Nederlandse bedrijven en instellingen, maar van organisaties die zich weinig van de WBP hoeven aan te trekken en dat vermoedelijk ook niet uit zichzelf zullen doen.
Edo Roos Lindgreen, partner bij KPMG Information Risk Management, en docent IT & Auditing aan de Universiteit van Amsterdam.