7.0 Introductie

In het vorige hoofdstuk heb ik aangetoond dat informationele privacy technisch goed kan worden beschermd en dat 'privacy enhancing technologies' (PET) als onderdeel van de informatiearchitectuur een belangrijke rol hierbij kunnen spelen.1 In dit hoofdstuk zal de beantwoording van de zesde onderzoeksvraag aan de orde komen:

Wanneer het mogelijk blijkt te zijn om privacyveilige systemen te ontwikkelen, bestaan er dan belemmeringen in organisatorische en economische zin om op grote schaal PET in informatiesystemen te implementeren? (OV 6).

In paragraaf 7.1 wordt gerefereerd aan de motie Nicolaï, waarin de overheid wordt opgeroepen PET bij de eigen verwerking van persoonsgegevens in te zetten. Paragraaf 7.2 onderzoekt de toepassing van PET bij overheidsinstanties. Vastgesteld wordt dat de Nederlandse overheid in een vicieuze cirkel zit bij de toepassing van PET: zolang PET zich niet hebben bewezen, acht men het risico van mislukking te groot; zolang men het risico te groot vindt, worden PET niet toegepast en kunnen PET zich niet bewijzen. Paragraaf 7.3 stelt de vraag of het niet-inzetten van PET berust op het feit dat organisaties huiverig zouden kunnen zijn voor de mogelijke veranderingen in het arbeidsproces of in de structuur van het bedrijf die PET zouden kunnen veroorzaken. Is er sprake van een weerstand tegen verandering? In de paragrafen 7.4 tot en met 7.8 is naar de oorzaken gezocht die acceptatie van PET kunnen beïnvloeden. In paragraaf 7.4 wordt aan de hand van criteria getoetst of PET een innovatie is. In paragraaf 7.5 zal PET vanuit dit gezichtspunt worden benaderd. Rogers heeft voor innovaties, een adoptietheorie (`diffusion of irmovation theory'(DOI)) ontwikkeld. In paragraaf 7.6 komen de stadia in het adoptieproces aan de orde en in paragraaf 7.7 de rol van organisaties bij adoptie. Paragraaf 7.8 behandelt de uit onderzoek gebleken adoptiefactoren voor innovatieve technologie, de interne aspecten van de adopterende organisatie en de externe omgevingsaspecten die van toepassing zijn op de adopterende organisatie. Dit leidt tot een tabel met een opsomming en waardering van de adoptiefactoren.

In paragraaf 7.9 wordt onderzocht of de maturiteit van een organisatie invloed heeft op het accepteren en toepassen van PET. Het toepassen van identiteits- en toegangsbeheer binnen een organisatie blijkt indicatief te zijn voor het adopteren van PET. In deze paragraaf wordt een aantal maturiteitsmodellen besproken en aan de hand van de reikwijdtematrix van Porter & Millar aangegeven in welke typen organisaties de potentiële vraag van PET kan optreden. In paragraaf 7.10 wordt nagegaan of voor informationele privacybescherming ook een maturiteitsmodel van toepassing is. Het vermijden van reputatieschade blijkt een 'drive? te zijn voor het nemen van PET-maatregelen. In paragraaf 7.11 wordt vastgesteld dat er drie Nolan Norton S-curven zijn te onderscheiden, die een indicatie kunnen geven wanneer een beslissing om in PET te investeren in een organisatie wordt genomen. In paragraaf 7.12 wordt als implementatiestrategie voor PET de multi-actoranalyse toegelicht. Gezien het feit dat de kosten voor innovaties een negatieve adoptiefactor zijn, wordt in paragraaf 7.13 betoogd dat de economische onderbouwing van de PET-investering van groot belang is voor het nemen van een positieve beslissing. Paragraaf 7.14 bespreekt de 'return on security investment' (ROST) formule, die mutatis mutandis ook voor PET-investeringen toegepast kan worden. In paragraaf 6.5 is juridisch en technisch onderzocht of de metazoekmachine Ixquick privacyveilig is. Dat bleek het geval te zijn. In paragraaf 7.15 wordt aan de hand van de ROI-PI-formule nagegaan of de PET-investering voor Ixquick ook economisch verantwoord is. Paragraaf 7.16 bespreekt de netto contante waarde ('net present value') formule als verfijning van de ROI-PI-formule. Paragraaf 7.17 sluit het hoofdstuk af met de beantwoording van de zesde onderzoeksvraag.