De hoeveelheid persoonsgegevens die organisaties verwerken blijft groeien. Deze data en de verwerking ervan zijn noodzakelijk voor een succesvolle bedrijfsvoering. Wel kleven aan onzorgvuldige omgang ermee grote risico’s. Op het niet naleven van ‘opt-in’ afspraken met klanten en prospects bijvoorbeeld staan boetes die kunnen oplopen tot 450 duizend euro. ‘Privacy versterkende technologieën’ en ‘privacy door ontwerp’ kunnen die risico’s verminderen.
Geautomatiseerde gegevensverwerking wordt vaak niet ontworpen en ingezet vanuit een op gegevensbescherming en privacy gerichte benadering. In veel gevallen gebeurt dit onbewust, in sommige gevallen bewust: een organisatie wil zoveel mogelijk gegevens verzamelen, bijvoorbeeld in een datapakhuis. In beide gevallen is het, door het ontbreken van maatregelen die de privacy beschermen, complex en kostbaar om het risico van privacyconflicten te beheersen.
Organisaties moeten hun geautomatiseerde gegevensverwerking opzetten vanuit drie beginpunten: de functionaliteit ervan, de beveiliging ervan en de bescherming van (de privacy van) individuen (hierna ‘privacy’) die in de gegevensverwerking direct of indirect het onderwerp van verwerking zijn.
De (bedrijfs)processen die de geautomatiseerde gegevensverwerking moet ondersteunen bepalen de functionaliteit van die verwerking. Neem het bedrijfsproces ‘marketing’. Gegevens van klanten en prospects worden in een informatiesysteem verzameld. Dat systeem is zo opgezet dat deze data op allerlei wijzen te groeperen en te analyseren is.
Wetgeving
De beveiliging van de gegevensverwerking moet de kwaliteitsaspecten integriteit, vertrouwelijkheid en continuïteit van de data(verwerking) waarborgen. Integriteit betreft de juistheid, tijdigheid en volledigheid van de gegevens. Vertrouwelijkheid betreft de toegang tot de data. Gegevens mogen alleen voor geautoriseerde personen toegankelijk zijn. Continuïteit betreft de beschikbaarheid van de gegevens(verwerking) op het moment dat dit nodig is.
Privacybescherming vindt zijn grondslag primair in wetgeving. Het Europees Verdrag tot bescherming van de rechten van de mens (Evrm) vormt hier een belangrijke basis voor. Dit verdrag regelt onder andere het recht op de bescherming van de persoonlijke levenssfeer. De Nederlandse Grondwet regelt ditzelfde recht in artikel 10. Op Europees niveau speelt de richtlijn 95/46/EG een belangrijke rol. Deze richtlijn regelt de bescherming van de Europese burgers in verband met de verwerking van persoonsgegevens en het vrije verkeer van die data binnen de Europese Gemeenschap. Deze Europese richtlijn dient als basis voor de nationale wetgeving inzake gegevensbescherming en privacy van de Europese lidstaten. Nederland heeft op basis van de richtlijn 95/46/EG de Wet bescherming persoonsgegevens (WBP) opgesteld en geïmplementeerd per 1 september 2001.
De beginpunten functionaliteit, beveiliging en privacybescherming zijn onlosmakelijk verbonden. Privacybescherming valt alleen te waarborgen als de beveiliging van de dataverwerking op orde is en het ontwerp ervan rekening houdt met de rechten van individuen.
Organisaties moeten alle drie de beginpunten invullen om privacy te beschermen. De functionaliteit en de beveiliging van de dataverwerking garanderen niet zonder meer dat gegevensbescherming en privacy(rechten) zijn gewaarborgd. Een voorbeeld van een specifiek privacyrecht waar niet aan wordt voldaan als gegevensverwerking enkel wordt opgezet vanuit functionaliteit en beveiliging is het recht op inzage. Slechts een zeer beperkt aantal informatiesystemen die op dit moment bij organisaties in gebruik zijn, ondersteunen dit recht. Organisaties die informatiesystemen gebruiken die dit recht niet ondersteunen kunnen rekenen op enorme operationele kosten wanneer individuen een beroep op dit recht doen.
Privacyprincipes
Een aanpak die ervoor zorgt dat bij het opzetten en inrichten van gegevensverwerking rekening wordt gehouden met alle drie de beginpunten is de ‘privacy door ontwerp’- aanpak (privacy-by-design).
Deze benadering geeft invulling aan gegevensbescherming om privacy te waarborgen in geautomatiseerde gegevensverwerking. Uitgangspunt zijn de algemeen aanvaarde privacyprincipes transparantie, doelbinding, rechtmatige grondslag, kwaliteit van gegevens, rechten van individuen, beveiliging van gegevens en grensoverschrijdend gegevensverkeer.
Transparantie wil zeggen dat het helder moet zijn welke organisatie voor welke doelstellingen welke persoonsgegevens verwerkt en hoe deze data is verkregen. Doelbinding houdt in dat persoonsgegevens alleen mogen worden verwerkt wanneer dit verenigbaar is met de doelstelling waarvoor deze zijn verkregen. Rechtmatige grondslag betekent dat persoonsgegevens alleen mogen worden verwerkt voor grondslagen zoals deze in de WBP zijn gedefinieerd. Bij kwaliteit van data gaat het erom dat verkregen persoonsgegevens ter zake dienend en niet bovenmatig zijn, en dat ze juist en nauwkeurig zijn. Rechten van individuen wil zeggen dat individuen van wie persoonsgegevens worden verwerkt recht hebben op inzage, verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens. Beveiliging van gegevens betekent dat persoonsgegevens moeten worden beschermd tegen ongeautoriseerde toegang en verlies. Grensoverschrijdend gegevensverkeer buiten de landen van de Europese Unie houdt in dat landen buiten de EU die persoonsgegevens verwerken in opdracht van een organisatie (verantwoordelijke) binnen de EU een passend beschermingsniveau voor de verwerking van de persoonsgegevens moeten waarborgen.
De doelstelling van ‘privacy via ontwerp’ is, naast de gewenste of vereiste functionaliteit en de benodigde beveiliging, de gegevensverwerking dusdanig te ontwerpen en op te zetten dat aan die algemene privacyprincipes wordt voldaan.
Pet
De ‘privacy via ontwerp’-aanpak gaat uit van een combinatie van organisatorische en technische maatregelen. Organisatorische maatregelen moeten ervoor zorgen dat de organisatie handelt naar de regels van de wet en gedragscodes, en de regels vertaalt uit haar eigen normen en waarden. Ze moet deze regels in strategie, beleid en de bedrijfsprocessen verankeren. De zorg voor het naleven van deze regels is vooral een kwestie van management (in de zin van doelstellingen definiëren, realisatie ervan meten en tijdig bijsturen als doelen niet worden gehaald). Technische maatregelen moeten ervoor zorgen dat de privacyprincipes efficiënt en effectief worden nageleefd; ze dienen dus het management te ondersteunen.
Gezien de effectiviteit van technische maatregelen (goed ontworpen en juist ingezet zijn ze lastig tot niet te omzeilen) is daar bij ‘privacy via ontwerp’ een belangrijke rol voor weggelegd. Goed ontworpen en juist ingezette technische maatregelen beperken de risico’s op privacyconflicten. Daarom noemen we ze ook wel ‘privacy enhancing technologies’ (pet). Een veelgebruikte definitie van pet luidt: ‘een samenhangend geheel van ict-maatregelen die de privacy beschermen door het elimineren of minimaliseren van persoonsgegevens of het voorkomen van onnodige en/of ongewenste verwerkingen van persoonsgegevens, zonder het inboeken van functionaliteiten van een informatiesysteem’.
Pet’s zijn in te delen in een aantal categorieën: op beleid gebaseerde privacymanagementsystemen; anonimisering- en pseudonimiseringtechnologie; beveiligingstechnologie die ingezet wordt met privacybescherming als doelstelling; en slim systeemontwerp (smart system design).
Onder controle
Op beleid gebaseerde privacymanagementsystemen maken het mogelijk privacybeleid en verwerkingsprocessen te definiëren, te implementeren en te managen in de gegevensverwerkingorganisatie. Privacybeleid en verwerkingsprocessen worden beschreven in een elektronische privacytaal (beschreven in XML-formaat).
De elektronische privacytaal is ontworpen om complexe relaties tussen bedrijfsprocessen en persoonsgegevens te beschrijven op een uitvoerbare manier. Deze taal formaliseert privacybeleid en operationele procedures over bedrijfsinformatiesystemen en databases heen. Hierdoor wordt het mogelijk informatiesystemen te gebruiken conform het beleid en de regels.
De privacytaal is de basis van een privacymanagement informatiesysteem, dat organisaties in staat stelt privacybeleid en verwerkingsprocessen te implementeren in de it-organisatie. Het resultaat van deze integratie is geautomatiseerd toezicht en geautomatiseerde handhaving.
Een privacymanagement informatiesysteem helpt organisaties privacyrisico’s onder controle te krijgen zonder specifieke maatregelen te treffen in onderliggende informatiesystemen. Een voorbeeld van een informatiesysteem waar een privacymanagement informatiesysteem direct toegevoegde waarde heeft is een marketingdatapakhuis. Door vanuit het beleid en de verwerkingsprocessen privacyregels te implementeren worden de functionaliteit en flexibiliteit van het datapakhuis niet aangetast, terwijl ongewenste of onnodige verwerkingen van persoonsgegevens geheel te voorkomen zijn.
Pseudo-identiteit
Anonimisering- en pseudonimiseringtechnologie is een type pet dat tot doel heeft persoongegevens te verwijderen of te vervangen door een ‘one-way’ pseudo-identiteit, waardoor gegevens niet meer of niet direct te herleiden zijn naar uniek te identificeren personen.
Anonimiseringtechnologie verwijdert alle persoonsgegevens die het mogelijk maken gegevens direct of indirect te herleiden naar uniek te identificeren personen. Het betreft hier dus niet alleen die data waarmee iemand direct kan worden aangewezen, zoals naam-adres-woonplaats en sofinummer, maar ook die gegevens waarmee dit indirect kan gebeuren. Een voorbeeld hiervan is de combinatie beroep-postcode. Een huisarts in een dorp met een bepaalde postcode is met deze gegevens op indirecte wijze te identificeren.
Pseudoniminseringtechnologie splitst een informatiesysteem in meerdere domeinen. Minimaal één van deze domeinen bevat identiteitgegevens van de betrokkenen in het systeem (het identiteitdomein). De andere domeinen bevatten pseudo-identiteitdata (de pseudo-identiteitdomeinen). De gegevens in de pseudo-identiteitdomeinen zijn alleen door geautoriseerde personen te herleiden naar uniek te identificeren individuen. De functie die identificerende gegevens vertaalt naar pseudo-identiteiten, de ‘identity-protector’, is een geïntegreerd onderdeel van het informatiesysteem en beschermt de privacy van betrokkenen op een transparante wijze voor de eindgebruikers van het systeem.
In omgevingen waar privacyconflicten verstrekkende gevolgen kunnen hebben, bijvoorbeeld de gezondheidszorg, is de autorisatie en authenticatie van gebruikers van het informatiesysteem middels een pki (public key infrastructure) te versterken.
Beveiliging
Beveiligingstechnologie is inzetbaar als pet als ze wordt gebruikt om privacy van individuen te beschermen. Dit is echter niet evident; organisaties zetten beveiligingstechnologie immers vaak in met als doelstelling personen te identificeren, te authenticeren en te autoriseren, en gedrag van personen te administreren. De auditlog is een voorbeeld van het laatste. Deze doelstellingen zijn in strijd met twee privacydoelstellingen: unlinkability (een gebruiker kan middelen of services van een systeem vaker gebruiken zonder dat de afzonderlijke sessies met elkaar in verband te brengen zijn) en unobservability (een gebruiker kan middelen of services van een systeem gebruiken zonder dat derden dit gebruik kunnen observeren).
Daarom onderscheiden we twee typen privacybescherming in gegevensverwerking. De eerste betreft de bescherming van de privacy van betrokkenen die in het systeem worden verwerkt. De tweede betreft de bescherming van de personen die het systeem gebruiken. Dit laatste type is weer onder te verdelen in twee categorieën gebruikers. De eerste betreft gebruikers die het systeem gebruiken als onderdeel van hun werkzaamheden (veelal personeel in dienst bij een werkgever). De tweede betreft personen die gebruik maken van een bepaalde (vaak elektronische) dienst. Een voorbeeld hiervan is Microsoft Messenger (MSN).
Als pet ingezette beveiligingstechnologie heeft vooral betrekking op de bescherming van individuen van wie gegevens in een systeem worden verwerkt en de gebruikers van een bepaalde dienst, zoals MSN. Voor de overgebleven groep, de gebruikers die systemen gebruiken als onderdeel van hun werkzaamheden, wordt namelijk beveiligingstechnologie ingezet om ongeautoriseerde toegang tot gegevens te voorkomen.
Minimalisatie
Een voorbeeld van beveiligingstechnologie als pet is de toepassing van biometrie door Privium op Schiphol. Klanten van Privium ontvangen een ‘smartcard’ met daarop persoonsgegevens (in dit geval een irisscan en andere relevante persoonsgegevens). Bij het inchecken op Schiphol stop de klant zijn smartcard in een leesstation voordat hij zijn oog laat scannen. Het Privium-systeem controleert of de persoon geautoriseerd is om doorgang te krijgen. Het systeem (de database die Privium gebruikt om gegevens in op te slaan om klanten te autoriseren) bevat geen persoonsgegevens.
Slim systeemontwerp houdt in dat bij het ontwerpen van gegevensverwerkende systemen rekening gehouden wordt met privacywaarborgen. Een voorbeeld hiervan is dataminimalisatie. Dit houdt in dat een database alleen die gegevens kan registreren die strikt noodzakelijk zijn voor de functie van het systeem. Een belangrijk aandachtsgebied hierbij is de bewaartermijn van gegevens. Als deze verloopt, moeten persoonsgegevens worden verwijderd of geanonimiseerd. Een ander voorbeeld van slim systeemontwerp is het rekening houden met het recht van inzage. Geautomatiseerde informatiesystemen moeten dit recht ondersteunen.
De ‘privacy via ontwerp’-aanpak kent een ‘van boven naar beneden’-benadering. Vanuit de privacyprincipes worden een privacyraamwerk en een privacy-architectuur opgesteld die past bij de doelstellingen van de organisatie. Het privacyraamwerk beschrijft de strategische prioriteiten en beleidsdoelstellingen. Het houdt ook rekening met beschikbare technologie die inzetbaar is als pet.
In de privacy-architectuur worden vervolgens de strategische prioriteiten en beleidsdoelstellingen vertaald naar de functionele vereisten en ontwerpspecificaties. Deze moeten vervolgens leiden tot informatiesystemen die voldoen aan de privacyvereisten.
Literatuur
Brouwer, J.G.: Compendium Wet bescherming persoonsgegevens.
Blarkom, G.W. van, J.J. Borking en J.G.E. Olk: Handbook of Privacy and Privacy-Enhancing Technologies.
Cavoukian, A., en T.J. Hamilton: Privacy payoff.
Borking, John: ‘The Status of Privacy Enhancing Technologies’. In: Certification and Security in E-Services. E. Nardelli, S. Posadziejewski, M. Talamo (Editors), Norwell (Mass) 2003, p. 211-246.
Borking, John: ‘Privacy Enhancing Technologies (PET): Online and Offline, A structural contribution towards the solution of informational privacy problems’. In: Privacy, Ein Grundrecht mit Ablaufdatum? Walter Peissl (Hrsg.), Wien 2003, p. 107-144.
Norea: Zekere Privacy handleiding.
Jeroen de Rooij RE, senior consultant bij Law ID’s
