Op 28 mei 2018 treedt de nieuwe Europese privacywet in werking. Terwijl veel organisaties de voorbereidingen treffen op deze algemene verordening gegevensbescherming (AVG), bieden aan de andere kant accountants en juristen hun diensten aan. Maar hoe zit het met de leveranciers en bouwers van applicaties? Zijn zij zich bewust van de impact van de wet? Dit artikel schetst een model waarmee applicaties privacy-compliant zijn te krijgen, om ze te laten voldoen aan de vereisten zoals gedefinieerd in de AVG.
Privacy-portal
Om met de deur in huis te vallen: in een tweetal overwegingen (59 en 63) spreekt de wet over een beveiligd systeem waarmee een betrokkene (dat is een persoon van wie de gegevens door een bedrijf verwerkt worden) direct zijn persoonsgegevens kan inzien, maar ook om zijn overige rechten te kunnen uitoefenen. Zo’n privacy-portal geeft personen de mogelijkheid de over hun verwerkte persoonsgegevens te kunnen inzien en tevens kunnen zij hun overige rechten zoals het recht op correctie, op afscherming, het recht om vergeten te worden via dit portal aan het bedrijf meedelen.
De rechten van personen zijn niet absoluut; bedrijven hoeven ze niet onverkort door te voeren, maar dienen een afweging maken tussen doelstellingen van het bedrijf en de belangen van de betrokkene.
Zo dient het bedrijf te verzoeken van de betrokkene te beoordelen, waarbij een afweging gemaakt wordt of de belangen van het bedrijf zwaarder wegen dan de rechten van de betrokkene. De afwegingen leiden tot toegekende en afgewezen verzoeken. Beide besluiten worden in het portal vastgelegd en gecommuniceerd naar de betrokkene. Dat vastleggen is ook noodzakelijk voor het bedrijf om verantwoordelijkheid te kunnen aantonen.
Het privacy-portal regelt daarom de administratie van de rechten van personen en geeft een persoon inzage in zijn persoonsgegevens. Het bedrijf gebruikt het portal om de verzoeken van personen te beoordelen en al dan niet te honoreren. Ook kan het bedrijf het portal inzetten in situaties waarbij er geen akkoord vooraf is voor de verwerking en de betrokkene achteraf geïnformeerd wordt.
Dat een persoon mutaties niet direct in de bedrijfsdata kan doorvoeren, zal duidelijk zijn en wordt door de wet ook gesteund.
Voor het verkrijgen van toegang tot het privacy-portal vraagt een persoon een account aan. Als de persoon bijvoorbeeld als klant bekend is, kunnen de klantgegevens gebruikt worden om toegang tot het portal te geven en betreffen de persoonsgegevens waarop de betrokkene recht heeft de gegevens van de klant. Maar in ingewikkelde situaties zoals bij databrokers die veel externe bronnen gebruiken zoals sociale media, opendatabronnen en aan website-scraping doen, is er geen directe relatie met de betrokkene en is het geven van toegang tot data niet zonder risico.
Er zijn hier twee problemen: ten eerste het authenticatieprobleem. Is de betrokkene degene die hij zegt te zijn. Een tweede probleem is de verbinding, die gemaakt moet worden tussen de betrokkene en de persoonsgegevens die het bedrijf verwerkt.
De overheid gebruikt het BSN om personen een uniek kenmerk te geven, leveranciers geven hun klanten een klantnummer, maar een bedrijf dat uit vele bronnen gegevens verzamelt, koppelt deze persoonsgegevens op overige kenmerken zoals naam, adres en geboortedatum. Als deze gegevens onvolledig aangeleverd worden maakt het bedrijf een keuze of ze gekoppeld worden aan een reeds bestaande persoon of dat er een nieuwe persoon aangemaakt wordt.
Privacy-warehouse
Om een betrokkene via het privacy-portal goed te informeren, introduceren we tussen het portal en de bedrijfsdata een privacy-warehouse. Dit warehouse bevat geen persoonsgegevens, dat zou wringen met de wettelijke eis om zo min mogelijk persoonsgegevens vast te leggen, maar links, views en scripts naar de bedrijfsdata. Ook kan in dit warehouse de resultaten van privacy impact assessments, zoals het rechtmatige doel, de categorieën van persoonsgegevens, of er sprake is van gevoelige persoonsgegevens, wat de toegepaste business logica is, bewaartermijnen, profilering, wie de afnemers zijn, of dat data puur voor intern gebruik is of ook beschikbaar gesteld wordt aan externen, etc. worden vastgelegd. Deze informatie is nodig en wordt gebruikt bij het eerste informeren van de betrokkene via het privacy portal.
Het applicatielandschap van een bedrijf bestaat vaak uit een samenstel van applicaties die al dan niet onderlinge koppelingen hebben. Een warehouse is speciaal bedoeld om in dit soort complexe situaties data eenduidig samen te brengen voor rapportages of inzichten.
Privacy-filter
Het derde onderdeel van een privacy-compliantomgeving is het privacy-filter. De functie van dit filter is de in het privacy-portal gehonoreerde verzoeken van betrokken uit te voeren. Dat kan op verschillende manieren, maar laten we eerst iets dieper inzoomen op de rechten van de betrokkene die hierop van invloed zijn:
- Het recht op rectificatie: vernieuwen, uitbreiden, corrigeren. Een betrokkene kan bijvoorbeeld een verhuizing doorgeven vanaf 1 maart 2017(vernieuwen), zijn adres corrigeren: het is niet huisnummer 18, maar 18a, of een e-mailadres toevoegen;
- Recht op gegevenswissing: ook het recht om vergeten te worden genoemd;
- Recht op beperking: persoon kan een bedrijf verzoeken (tijdelijk) de verwerking te stoppen;
- Recht op overdraagbaarheid (portabiliteit): een persoon kan een bedrijf verzoeken zijn gegevens aan anderen over te dragen. Dit geldt ook voor rectificaties, gegevenswissing en beperkingen;
- Recht van bezwaar: een persoon kan bezwaar maken tegen de verwerking van zijn gegevens door een bedrijf. Hieronder valt ook de mogelijkheid bezwaar te maken tegen geautomatiseerde individuele besluitvorming en profilering.
Een bedrijf kan onder meer een keuze maken uit de volgende mogelijkheden:
- De bron informeren en zelf niets doen tot de wijziging uit de (externe) bron doorkomt;
- De betrokkene doorverwijzen naar de bron en de wijziging tijdelijk doorvoeren totdat de update uit de bron komt;
- De data direct wijzigen. Dit kan dan ik de vorm van een mutatie waarbij de vorige situatie al dan niet bewaard blijft;
- De data intact laten, maar het gehonoreerde verzoek in het privacy-portal bij verwerking met de hoogste prioriteit doorvoeren. In feite werkt dit als een echt filter.
(Zie figuur 1.)
In het schema is het filter geplaatst tussen applicatie en klant om toegekende verzoeken te corrigeren voor uitlevering. Maar het filter is ook in te zetten als extra bron.
Het recht op overdraagbaarheid zorgt ervoor dat het bedrijf zowel de bronnen als de afnemers gaat informeren. Voor een data broker betekent dat eenmaal geleverde data onderhoud behoeft en dat mogelijk naleveringen zullen plaatsvinden.
Problemen en kansen
In gevallen waarbij het bedrijf werkt met expliciete toestemming door de betrokkene en de betrokkene de bron is van zijn persoonsgegevens, is de identificatie van de betrokkene verzekerd. Het bedrijf kan tegelijkertijd een account uitdelen en dit account aan de persoonsgegevens koppelen.
Ook bij het achteraf informeren kan het bedrijf meteen een account aanbieden waarmee personen hun gegevens kunnen controleren en hun rechten kunnen uitoefenen. Personen die zich online melden bij het portal, een account aanvragen en hun persoonsgegevens willen inzien, kunnen makkelijk frauderen. Het bedrijf zal dan extra zekerheid moeten zoeken in bijvoorbeeld het tonen van een paspoort en een webcam-opname om de authenticatie af te ronden.
Voor databrokers die gegevens uit externe bronnen verzamelen, is de identificatie een behoorlijk probleem. Veelal worden slechts beperkt gegevens verzameld en is de persoon niet via een adres, e-mail of telefoon te benaderen, laat staan dat dit bij de verwerking van miljoenen personen mogelijk is. Een digitale identiteit zou hierbij kunnen helpen, maar ook hier zijn problemen en nadelen. DigiD en het BSN zijn voorbehouden aan de overheid. Banken beginnen met het alternatief IDIN, Facebook of LinkedIn zijn als digitale ID niet sterk en worden ook nog eens aangeboden door niet-Europese bedrijven.
Een digitale identiteit heeft – nog even afgezien van hoe die dan vorm gegeven moet worden – als groot nadeel dat het een doelwit wordt voor hackers en cybercrime. Bovendien zou je als persoon meerdere typen ID´s willen gebruiken voor verschillende typen toepassingen. Net zoals je wachtwoord voor je bank anders en veiliger is dan voor je sociale-mediaprofiel.
Kansen zijn er voor de bedrijven ook. De wet stelt dat betrokkenen regelmatig hun rechten mogen uitoefenen, maar dat bedrijven in buitengewone omstandigheden voor deze dienstverlening geld mogen vragen. Een privacy-portal zou zichzelf zo (deels) terug kunnen verdienen.
Voor databrokers zijn er nog extra verdienmogelijkheden. Vanwege het portabiliteitsprincipe zijn eenmalige dataleveringen met persoonsgegevens aan klanten niet correct meer. Als een betrokkene de dag na de levering een wijziging of beperking doorgevoerd wil, dan dient het bedrijf dit te communiceren naar de klant. Hierdoor zullen eenmalige dataleveringen in de toekomst verdwijnen en vervangen worden door leveringen met een onderhoudscontract voor bepaalde tijd.
Samenvatting
Door de nieuwe Europese privacywet zullen applicaties die persoonsgegevens verwerken, aangepast moeten worden om aan de eisen van de wet te voldoen.
Dit artikel beschrijft in een model drie aanvullingen op applicaties: het privacy-portal, het privacy-warehouse en het privacy-filter. Hiermee kunnen personen hun rechten uitoefenen en bedrijven hun accountability tonen. Ontwikkelaars en leveranciers van software staan voor de uitdaging tools te ontwikkelen om bedrijven ook met applicaties te ondersteunen om ze compliant te maken met de nieuwe AVG.