Op de Dag van de Privacy, 28 januari, mogen winnaars niet ontbreken. Privacy First hield gisteren in samenwerking met ECP de Nationale Privacy Conferentie en reikte als afsluiter de Privacy Awards 2021 uit. De vier winnaars: NLdigital, FCInet (in samenwerking met het ministerie van Justitie en Veiligheid), Ster en Schluss.
De Privacy Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. Een vakjury let specifiek op privacyzaken rondom het product, proces of dienst, maar kijkt ook naar de verantwoordelijkheden ten aanzien van de privacy van de inzendende organisatie(s). Het levert uit eindelijk in vier categorieën winnaars op.
De winnaars zijn bepaald door een onafhankelijke vakjury met daarin Wilmar Hendriks, founder van Control Privacy en lid Raad van Advies bij Privacy First (juryvoorzitter), Ancilla van de Leest, voorzitter van Privacy First, Paul Korremans, partner bij Comfort-IA en functionaris gegevensbescherming (tevens bestuurslid bij Privacy First), Marc van Lieshout, managing director van iHub van Radboud Universiteit Nijmegen, Alex Commandeur, senior adviseur bij BMC Advies, Melanie Rieback, ceo en co-founder van Radically Open Security, Nico Mookhoek, privacyjurist bij en oprichter van DePrivacyGuru en Rion Rijker, privacy- en informatiebeveiligingsexpert en it-jurist en partner bij Fresa Consulting.
Data Pro van NLdigital
Organisaties die aan de Privacy Awards meedoen, doen hun inzending dus op basis van een product, proces of dienst. NLdigital won in de zakelijke categorie met Data Pro, waarbij niet zozeer de techniek, maar vooral de aanpak vernieuwend is. Data Pro is namelijk een gedragscode die zich vooral richt op de verwerkers van persoonsgegevens en niet op de verantwoordelijken. Het geeft concrete invulling aan AVG-verplichtingen door afspraken.
Met Data Pro kunnen verwerkers afspraken sneller, praktisch en voldoende zorgvuldig maken en zijn ze daar ook toetsbaar op. Veel bedrijven verlenen diensten door het beschikbaar stellen van applicaties, waarbij dataverwerking aan de orde is. En dat vereist verwerkersovereenkomsten, die niet voor elke organisatie eenvoudig toepasbaar zijn. Het invullen van het bijbehorende statement leidt tot een passende verwerkersovereenkomst voor opdrachtgevers.
Data Pro is volgens de vakjury van de Privacy Awards 2021 een praktisch toepasbaar instrument, bruikbaar voor de doelgroep. Dit zijn ict-bedrijven die in opdracht van anderen data verwerken. Centraal hierin staat de gedragscode Data Pro, die is opgesteld als uitwerking van art. 28 van de AVG, met en door de ongeveer zeshonderd deelnemers/leden, goedgekeurd is door de Autoriteit Persoonsgegevens en leidend is tot een openbaar raadpleegbare certificering.
Contextual targeting van Ster
De Stichting Etherreclame, beter bekend als de Ster, had eventueel ook kunnen meedingen in de zakelijke categorie, maar won met zijn contextual targeting in de consumentencategorie vanwege het directe belang van en voor consumenten. Het biedt namelijk reclame zonder de opslag van persoonsgegevens. De Ster heeft als één van de eerste organisaties in Nederland afscheid genomen van het gangbare model om advertenties aan te bieden op basis van informatie die via cookies verzameld wordt. Het heeft hiervoor een procedure ontwikkeld die alleen nog maar gebruik maakt van de betreffende informatie op de bezochte webpagina. Er worden in het geheel geen persoonlijke gegevens meer verzameld (gegevens zoals browserversie, IP-adres en click-through gedrag).
Adverteerders leveren bij de Ster hun te plaatsen advertenties in. Die advertenties worden geplaatst op basis van het door de Ster ontwikkelde protocol dat gebaseerd is op een aantal eenvoudige categorieën. Die categorieën zijn verbonden aan de informatie die getoond wordt, zoals een tv-programma dat door iemand opgevraagd wordt. Het protocol is in de afgelopen periode opgebouwd en verfijnd en werkt nu naar behoren.
Op deze wijze slaat Ster volgens de vakjury een aantal vliegen in één klap. Uit de eerste toepassingen blijkt dat deze aanpak voor adverteerders ten minste net zo effectief is als de oude, op cookies gebaseerde manier. Ten tweede haalt de aanpak partijen uit de keten weg. Databrokers die in het oude systeem een rol vervulden zijn nu overbodig geworden. Buiten de financiële winst die dit voor de keten oplevert, voorkomt het ook dat gegevens bij partijen terechtkomen die daar eigenlijk niets mee te maken hebben. Ten derde houdt Ster de advertentiecampagnes in eigen hand.
Ma³tch van FCInet en J&V
Ma³tch is de privacy enhancing-techniek van FCInet, die nu het ministerie van Justitie en Veiligheid helpt bij het bestrijden van criminaliteit. Zo kunnen de Financial Criminal Investigation-diensten beveiligd en gepseudonimiseerd datasets delen op nationaal, maar ook in internationaal verband. Ma³tch is een technologie die ondersteunt maar ook afdwingt dat betrokken partijen per gegevensveld een zorgvuldige afweging kunnen maken. Dit kan zowel over de vraag welke gegevens ze willen vergelijken en op basis van welke voorwaarden. Dit zorgt er voor dat partijen de infrastructuur zo kunnen inrichten dat technisch kan worden afgedwongen dat alleen op rechtmatige basis gegevens worden uitgewisseld.
Via hashing versleutelt een organisatie A persoonsgegevens op een zodanige wijze dat een ontvangende partij B de mogelijkheid heeft te controleren of een persoon die bij organisatie B bekend is ook bij organisatie A bekend is. Pas als blijkt dat er een match is, omdat de lijst van bekende personen in gehashte vorm van organisatie B wordt uitgedraaid tegen de lijst van personen in de opgestuurde lijst, vindt de vervolgstap plaats waarbij ook daadwerkelijk informatie over de betreffende persoon door organisatie B bij organisatie A wordt opgevraagd. De check vindt plaats in een beveiligde decentrale omgeving, waardoor organisatie A niet weet of er sprake is van een hit of niet. De techniek voorkomt daarmee het onnodig kennisnemen van persoonsgegevens in het kader van vergelijkingen.
Deze techniek biedt volgens de vakjury bredere mogelijkheden voor toepassing. Dit was ook een belangrijke reden voor de inzending: de techniek kan worden hergebruikt in heel veel andere organisaties en systemen. De open source-code laat zien hoe het werkt, hergebruik op veel terreinen is mogelijk en wordt aangemoedigd. De jury heeft dit initiatief mede daarom beoordeeld als een goede investering in privacy door de overheid, waaruit ook blijkt dat privacy daar echt op de agenda staat.
Schluss
Schluss meldde zich voor de Privacy Awards in 2021 voor de derde keer aan. Dat is volgens de vakjury niet de reden om de aanmoedigingsprijs aan hen toe te kennen, ook al kan het anderen stimuleren om vol te houden. De reden volgens de jury is dat het een heel mooi initiatief is, gericht op eigen beheer van persoonsgegevens.
De particuliere gebruiker krijgt in de vorm van een app een kluis voor de persoonsgegevens, van medisch tot financiële en andere gegevens. De gebruiker bepaalt zelf wie of welke organisatie inzage in de gegevens krijgt. De anderen die inzage krijgen in de gegevens hoeven deze gegevens niet meer zelf op te slaan, is het idee. Schluss krijgt zelf ook geen inzage in wie de app gebruikt, zij faciliteert alleen. De technologie, die open source is, garandeert transparantie over de werking van de app.
De jury kent de aanmoedigingsprijs toe omdat Schluss nog in een betaversie leeft. Wel zijn er veelbelovende trajecten opgestart met de Volksbank en een pilot in samenwerking met het Koninklijke Notariële Beroepsorganisatie. Schluss heeft gekozen voor de organisatievorm van een coöperatie, dat de jury aansprak. Met deze nationale aanmoedigingsprijs hoopt de jury de initiatiefnemers aan te moedigen om op de ingeslagen weg door te gaan en partijen over te halen om samen met Schluss op te trekken.