8.5.2. De cruciale rol van de toezichthouder

Bos signaleert dat het College Bescherming Persoonsgegevens (CBP) een belangrijke rol kan spelen bij de acceptatie van PET. Tot 2002 hebben het CBP en haar voorgangster de Registratiekamer proactief het gebruik van privacyverbeterende technologieën gestimuleerd, met name bij de introductie van grootschalige projecten. De Registratiekamer en het CBP hebben daarmee in belangrijke mate ervoor gezorgd dat twaalf overheidsorganisaties in Nederland PET hebben toegepast. Momenteel bevordert het CBP deze technologieën niet meer actief adviserend, waardoor de toepassing van PET achterblijft, of zelfs stil valt.1 Uit onderzoek naar de adoptiefactoren van PET blijkt dat de toezichthouders die de bescherming van persoonsgegevens bewaken en bevorderen in belangrijke mate de toepassing van PET actief kunnen bevorderen.2 Zij kunnen een klankbord zijn voor de betrokken partijen die PET maatregelen in hun informatiesystemen willen implementeren. Deze toezichthouders zouden om privacyveilige informatiesystemen te bevorderen zich dan ook niet ex post door klachtenbehandeling en controles achteraf, maar juist ex ante preventief adviserend moeten opstellen. Het heeft geen zin als toezichthouder informatiesystemen, zoals bijvoorbeeld het electronisch patiëntendossier, af te keuren, als niet tegelijkertijd oplossingen worden aangedragen. De data protection authorities (DPA's) zouden hun technologische experts als PET-consulenten kunnen inzetten. Die kunnen bij het in de wet voorziene vooronderzoek en aan de hand van de voorgelegde privacyrisicoanalyses (of PIA's als die wettelijk verplicht worden) kunnen adviseren om PET toe te passen. Daarmee zou de positieve adoptie factor voor PET optimaal worden benut.

Ik realiseer me dat er dan binnen de DPA's een oplossing moet worden gevonden voor de scheiding tussen preventief adviseren en achteraf controleren. Als die niet gevonden kan worden, dan moet deze specifieke voorlichtende en adviserende functie over PET van de DPA's worden afgesplitst (zie paragraaf 8.5.3).

Godel & Conlon rapporteren dat er een fundamenteel verschil van inzicht bestaat onder de DPA's over de manier hoe PET ingezet moet worden. De Information Commissioner in het Verenigd Koninkrijk meent dat bij het inzetten van PET niet moet worden uitgegaan van altruïsme van de organisaties. De toezichthouder is Estland stelde dat "including PETs in applications by default is the way forward". Het College bescherming persoonsgegevens ziet nochtans:

Deze aanpak zal niet leiden tot structurele privacyveilige oplossingen. Als er geen unanimiteit onder de DPAs is over de inzet van PET, dan werkt dat contraproductief. Multinationals en grote gegevensverwerkers begrijpen dit verschil van inzicht niet. DPA's zijn bij uitstek de gidsen op het gebied van privacybescherming en daar mag juist ten aanzien van het stimuleren van PET één lijn worden verwacht. Gebrek aan unanimiteit is een negatieve adoptiefactor voor PET.

Aanbeveling II aan de Data Protection Authorities (College Bescherming Persoonsgegevens):

Zorg voor unanimiteit in de EU wat betreft het gebruik van PET. Draag dezelfde boodschap over PET EU-breed uit. Bevorder dat PET-standaard (by default) wordt toegepast teneinde de privacyveiligheid van informatiesysteem te stimuleren. Adviseer en bevorder de opneming van een bepaling in de Wbp die PET gebruik in informatiesystemen verplicht stelt.