Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/8.2
8.2. De privacybedreigingen, revisited
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576450:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Weiser 1991, p. 94-104.
Nath & Peissl, 2006, p. 29-37.
Van Rooy & Bus, 2009, p. 2.
Ball, e.a., A Report on the Surveillance Society, Manchester 2006, p. 47
15 Gilbert, 2007
Ball, e.a., 2006, p. 83-84
Klöver, Peissl & Tennoe, 2006, p. 83
Borking, e.a., 2001, p. 24
In Nederland het College bescherming persoonsgegevens in Den Haag.
Artikel 13 van 95/46/EG bevat uitzonderingen en beperkingen op dit verwerkingsbeginsel
ISO/IEC 15408-1: 1999; Evaluation Criteria for IT Security (ook bekend onder de naam Common Criteria for Information Technology Security Evaluation), International Organization for Standardization, 1999, csrc.nist. gov/cc/ccv20/ccv2list.htm. Voor deze bedreigingscategorie dienen de security objectives van ISO/IEC 15408 toegepast te worden
Driml, 2003, http:/lwww.isaca.org/Template.cfm?Section—Home&Templa/Search/SearchDisplay.cfm.Voor deze bedreigingscategorie dienen de security objectives van ISO/IEC 15408 toegepast te wonden
Boer & Grimmius, 2009, p. 26.
Chellappa & Shivenda, 2008, p. 1
Fritsch, 2007, p. 8.
Gellman, 2002.
Little & Rogova, 2006, p. 8: 'Threat is a very complex ontological item, and therefore a proper threat ontology must be constructed in accordance with formal metaphysical principles that can speak to the complexities of the objects, object attributes, processes, events, and relations that make up these states of affairs
Schneier, 2000, p. 225
Little & Rogova, 2006, p. 4
Little richt zich meer op de omgevingsfactoren, terwijl Vidalis zich bezig houdt met de instelling van de agressor zelf.
Koom, e.a., 2004, p. 5-8
Klaver, e.a., 2002, p. 100-108.
Koom, e.a., 2004, p. 13-16
Van Rooy & Bus, 2009, p. 2
PII staat voor Personal Identifiable Information
Gfirses, 2009.
Klöver, Peissl & Tennoe, 2006, p. 87
In hoofdstuk 3 is de tweede onderzoeksvraag beantwoord. De vraag luidde:
Is onze informationele privacy in gevaar doordat de overheid en het bedrijfsleven de burger preventief in de gaten houden ter bestrijding van fraude-, misdrijf-, en terrorismebestrijding? (OV 2).
Geconstateerd is, dat de overheid voor de terrorisme-, fraude- en misdrijfbestrij ding dankbaar gebruik maakt van de stroom locatie- en verkeersgegevens die de telecommunicatie genereert. Bovendien zet de overheid geavanceerde toezichts- en recherchetechnologieën in. Besproken zijn het gebruik van databanken en data warehousing, telecommunicatie, videotoezicht, biometrie en localiseringstechnieken. Individuen en groepen kunnen slechts zeer beperkt zelf bepalen hoeveel zij blootgesteld willen worden aan toezicht en hoe zij de persoonlijke informatie kunnen beperken die over hen wordt verzameld en gebruikt. Toezichtsystemen zijn voor een leek vaak te technisch om te begrijpen en gaan onzichtbaar en daardoor ongemerkt op in de alledaagse structuren en systemen van de maatschappij: op het werk, thuis, op school, op reis en bij communicatie en het gebruik van openbare diensten.1 Het is natuurlijk lovenswaardig dat de overheid haar burgers een hoog niveau van veiligheid wil verschaffen, maar Nath & Peissl merken op dat "the drive for improved security is often attributed to an ulterior motive of increasing surveillance."2
Naast de terrorisme-, fraude- en misdaadbestrijding is het streven naar steeds betere efficiency een belangrijke reden dat de risicotoezichtmaatschappij zich ontwikkelt. Efficiëntieverbetering leidt tot meer persoonsgegevens in de commerciële dienstverlening als gevolg van de één-op-éénbenadering en tot meer elektronische patiëntendossiers in de gezondheidssector. Ook de éénloketgedachte bij de overheid leidt ertoe, dat databanken vaker aan elkaar gekoppeld worden en de behoefte aan identificatie toeneemt.3 Adequate risicobeheersing in de moderne samenleving brengt met zich mee dat zo veel mogelijk kennis van de te analyseren situatie voorhanden is. Toegang tot persoonlijke gegevens wordt gezien als een voorwaarde is om te weten waar de overheid de preventieve of curatieve middelen moet inzetten.4 Risico profielen zijn snel te maken dankzij de grote interconnectiviteit van toezichtnetwerken. Sociale sortering zorgt ervoor dat de politie haar aandacht meer richt op overwegend niet-blanke of sociaal lager gekwalificeerde wijken. De risicotoezichtsamenleving, die gestructureerd gebruik maakt van connection technologies, disconnecting technologies en processing technologies5 met een complexe infrastructuur die veel persoonsgegevens verwerkt, zal niet meer verdwijnen.
Het antwoord op de tweede onderzoeksvraag is dat de risicosurveillancemaatschappij de privacy van de burger ondermijnt en dat onze informationele privacy in gevaar wordt gebracht door de privacyonveilige risicosurveillance systemen. Om te voorkomen dat de surveillancesystemen van de overheid uit de hand lopen, moeten er, voordat zo'n systeem operationeel wordt, juridische en ingebouwde technische waarborgen zijn geschapen. Het antwoord op de tweede onderzoeksvraag zou ontkennend kunnen luiden als de burger directe terugkoppeling krijgt over en controle (toezicht) kan uitoefenen op zijn verzamelde persoonsgegevens. Dat is nochtans niet het geval.
De ontwikkeling van de ict is in velerlei opzichten ook een niet-omkeerbaar fenomeen. Wanneer in het huidige ontwerp van ict-systemen de bescherming van persoonsgegevens wordt genegeerd om wille van het toezicht of om andere (commerciële) redenen, dan zal de informationele privacy in de komende tien of twintig jaar steeds meer eroderen. Om te bereiken dat informatiesystemen worden gebouwd die onze privacy adequaat beschermen, het vertrouwen in de verwerking onze persoonsgegevens bevorderen en ons tegen de kwalijke gevolgen van de risicotoezichtmaatschappij beschermen, zullen technologieën die de informationele privacy bevorderen (PET) in gezet moeten worden. PET zijn geen panacee om alle privacyproblemen op te lossen, maar kunnen, wanneer PET systematisch zijn geïntegreerd in de systeemontwikkeling, bijdragen aan een gebalanceerde relatie tussen toezicht en privacybescherming.6
In hoofdstuk 3 is vastgesteld dat er een algemene bedreiging van de risicosurveillance systemen voor de privacy uitgaat. In hoofdstuk 4 is naar aanleiding van de derde onderzoeksvraag: Met welke privacybedreigingen en -risico's moeten de burger en de ontwerper van systemen rekening houden? (OV 3), uiteengezet welke privacybedreigingen en -risico's burgers en consumenten kunnen tegenkomen. De meeste burgers en consumenten zijn zich daar niet van bewust en nemen dan ook geen adequate beveiligingsmaatregelen tegen de vaak ongewilde registratie, verwerking en opslag van de gegevens.7 Bovendien kiezen de burger en consument voor het korte termijnvoordeel dat de elektronische dienstverlening binnen de gezondheidszorg, handel en overheid biedt en stappen zij over de mogelijke risico's heen. Tegenover de korte termijnvoordelen staat nochtans dat zij veel persoonsgegevens moeten prijsgeven. Als informatiesystemen hun persoonsgegevens niet privacyveilig verwerken, kan hun privacy op korte of langere termijn ernstig in gevaar komen.
Uit de in hoofdstuk 2 besproken privacyrealisatiebeginselen kunnen ten minste de volgende algemene privacybedreigingen afgeleid worden:8
Bedreiging 1:
Geheim bezit van of controle over persoonsgegevens: de verantwoordelijke en/of de bewerker hebben controle over persoonsgegevens en verwerken deze ook. Zij hebben dit echter niet gemeld bij de nationale commissie voor de bescherming van de persoonlijke levenssfeer (Data Protection Authority (DPA))9 van de lidstaat van de EU waarbinnen de gegevens worden verwerkt of bij een functionaris gegevensbescherming.
Bedreiging 2:
Geheime verwerking van persoonsgegevens zonder toestemming: er is een gebrek aan transparantie. De verantwoordelijke of de bewerker heeft de persoonsgegevens rechtmatig onder zich maar verwerkt ze vervolgens zonder dat de betrokkene daarvoor zijn toestemming heeft gegeven.
Bedreiging 3:
Geheime verwerking van persoonsgegevens: het individu van wie de persoonsgegevens zijn (hierna: de betrokkene), is niet op de hoogte van het bestaan van persoonsgegevens en van de controle die een onbekende verzamelaar over de persoonsgegevens heeft.
Bedreiging 4:
Verwerking van persoonsgegevens in strijd met de wet: de betrokkene heeft niet ondubbelzinnig, specifiek en uit vrije wil toestemming gegeven aan derden om zijn persoonlijke informatie te verzamelen, te gebruiken, te verwerken, openbaar te maken en te verspreiden.10
Bedreiging 5:
Verwerking in strijd met de doelbinding: de persoonsgegevens worden verwerkt in strijd met de privacyvoorkeuren van de betrokkene of de verantwoordelijke beperkt zich bij de verwerking niet tot het opgegeven doel (doelbinding).
Bedreiging 6:
Onrechtmatige verwerking van persoonsgegevens: de verwerking van persoonsgegevens vindt in strijd met de wet plaats.
Bedreiging 7:
Gebrek aan gegevensminimalisatie: er worden meer gegevens verzameld en verwerkt dan strikt noodzakelijk om het doel te realiseren waarvoor de persoonsgegevens zijn bestemd. Dit is in strijd met het beginsel van gegevensminimalisatie en het finaliteitsbeginsel.
Bedreiging 8:
Excessieve identificatie van het individu: de identiteitsgegevens zijn disproportioneel en blijven langer bewaard dan de doeleinden van de verwerking rechtvaardigen. De informatiesystemen zijn zodanig ingericht dat het desbetreffende individu onbeperkt kan worden geïdentificeerd, geobserveerd en getraceerd.
Bedreiging 9:
Verouderde gegevens: de verantwoordelijke neemt verkeerde beslissingen op basis van onjuiste of verouderde gegevens. De persoonsgegevens worden niet correct, niet accuraat, ontoereikend, en niet terzake dienend verzameld en verwerkt.
Bedreiging 10:
Verantwoordelijke is onvindbaar of weigert transparantie: er is geen of een beperkte reactie van de verantwoordelijke wanneer de betrokkene hem aanmaant. Personen van wie gegevens worden verwerkt, krijgen niet de mogelijkheid om hun persoonsgegevens in te zien, te verbeteren, aan te vullen, te verwijderen of af te schermen of bezwaar te maken tegen de verzameling en verwerking van hun persoonsgegevens. De verantwoordelijke is onbekend, onvindbaar of heeft zijn identiteit tenonrechte afgeschermd.
Bedreiging 11:
Onbeveiligd data management:11. er zijn geen passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking of om te voorkomen dat persoonsgegevens onnodig verzameld en verwerkt worden.
Bedreiging 12:
Niet-vertrouwelijk en onzorgvuldig data management: gebrek aan vertrouwelijkheid van de communicatie.12. De communicatie en de verwerking van verkeersgegevens van openbare communicatienetwerken en openbare elektronische communicatiediensten vindt niet op een vertrouwelijke manier plaats.
Bedreiging 13:
Verkeersgegevens worden te lang opgeslagen: belpatronen van de abonnees en gebruikers kunnen langdurig worden geanalyseerd. De aanbieder van een openbaar elektronisch communicatienetwerk of -dienst die de verkeersgegevens van abonnees en gebruikers verwerkt en opslaat, wist of anonimiseert deze gegevens niet wanneer hij deze niet langer nodig heeft voor de communicatietransmissie en/of voor de finale afwikkeling van de facturering van abonnees. De verantwoordelijke interpreteert de bepalingen van de data retentie Richtlijn 2006/24/EG te ruim en slaat meer op en langer dan is toegestaan.
Bedreiging 14:
Niet toegestane verwerking buiten de EU en EEA: de verantwoordelijke verspreidt de persoonsgegevens en/of geeft ze door aan een land dat geen adequate bescherming biedt zoals die geldt binnen de EU en EEA.
Daarnaast zijn er per applicatie specifieke bedreigingen. In hoofdstuk 4 zijn de bedreigingen voor software agents en biometrische toepassingen bij wijze van voorbeeld opgesomd. Als deze bedreigingen zich materialiseren, dan kan er door de betrokkenen materiële en immateriële schade geleden worden. Boer & Grimmius vermelden in hun rapport13 dat burgers op verschillende manieren schade kunnen lijden:
Financiële schade door verlies van creditcard- of pinpasgegevens, wachtwoorden en toegangscodes voor internetbankieren.
Imagoschade of chantage door het bekend worden van gevoelige informatie over bijvoorbeeld religieuze, politieke of seksuele voorkeur.
Fysieke schade, bijvoorbeeld diefstal of molest.
Identiteitsfraude, wanneer iemand anders zich voor de benadeelde burger uitgeeft. De fraudeur heeft niet alleen toegang tot diens gegevens maar kan ook op diens kosten goederen en diensten afnemen of zelfs criminele activiteiten ondernemen onder de naam van zijn slachtoffer. Identiteitsfraude kan overal en op velerlei manier plaatsvinden en is niet beperkt tot specifieke situaties, procedures of documenten.
In paragraaf 8.3 wordt op het belang van identiteitsmanagement ingegaan. Wanneer burgers en consumenten zich wel bewust zijn van de privacyrisico 's, dan is uit gedragsonderzoek (zie paragraaf 4.15) op te maken, dat: "consumers engage in a privacy calculus where they trade off their privacy costs from sharing information against their value from personalization".14
Omdat de verwerking en de aard van de gegevens die beschermd moeten worden risico's met zich meebrengen, schrijven de Europese privacyrichtlijnen en de daarop geënte nationale wetgevingen van de EU-lidstaten een passend beveiligingsniveau van persoonsgegevens voor. Om dergelijke data adequaat te beschermen, moet duidelijk zijn welke privacyrisico's er ontstaan wanneer persoonsgegevens worden verwerkt en nieuwe informatiesystemen worden geïntroduceerd. De interpretatie van artikel 17 van Richtlijn 95/46/EG en artikel 4 van Richtlijn 2002/58/EG, leidt tot de conclusie dat een objectieve methodologische privacybedreigingsanalyse een sine qua non is. In hoofdstuk 4 zijn verschillende methoden om privacybedreigingen en -risico's te analyseren onder de loep genomen.
Fritsch15 stelt dat de beveiligingsdeskundigen de classificatie van privacyrisico's in de verschillende risicoanalysemethoden en de hieraan gerelateerde kosten niet op een overtuigende manier hebben uitgevoerd en verkeerde beslissingen nemen op grond van onjuiste gegevens. Bovendien zijn de privacyrisico's in de bestaande literatuur niet goed gedefinieerd.16 Het is belangrijk om een privacyrisico- of bedreigingsanalyse uit te voeren die zo veel mogelijk met de omstandigheden rekening houdt. Daarom verdient een ontologische beschrijving van de bedreigingen, zoals die van Little & Rogova,17 de voorkeur boven een niet-limitatieve opsomming van privacyinbreuken met daarmee verbonden bedreigingen en risico's die beveiligingsdeskundigen vanuit de praktijk hebben opgesteld.18 In paragraaf 4.11 is de aanpak van Little & Rogava toegelicht. Het innovatieve van hun aanpak is dat zij in de door hun ontwikkelde bedreigingsontologieen een drie dimensionaal matrixmodel gebruiken, om duidelijk te maken aan welke noodzakelijke aan elkaar gerelateerde attributen19 een bedreiging en degene die de bedreiging uitvoert dienen te voldoen om de potentie te hebben een zwakke plek in het systeem te kunnen uitbuiten.20
Omdat deze attributen binnen een bedreiging zo met elkaar verbonden en van elkaar afhankelijk zijn, is het gevolg van de verstoring of uitschakeling van één van deze elementen dat de bedreiging verdwijnt of zodanig wordt verstoord, dat de bedreiging niet meer effectief kan zijn. Daarom is het van belang om de rol van elk van deze attributen: intenties of motivatie, capaciteiten en (gunstige) omstandigheden binnen een bepaalde dreiging goed te onderkennen. De hiervoor vermelde elementen van een bedreiging kunnen als extern-, intra- of interngerelateerde delen van het geheel van een bedreiging bestaan. Het verdient aanbeveling een wetenschappelijk vervolgonderzoek te doen naar de toepasselijkheid van het bedreigingsmodel van Little & Rogova. Het inzetten van PET-maatregelen verstoren de bedreigingsattributen.
Een van de privacybedreigingen die individuen lopen bij het gebruik van informatiesystemen, is identiteitsfraude. Om ongewenste identificatie van personen te voorkomen en waarborgen tegen onrechtmatige verwerking van persoonsgegevens te scheppen, passen organisaties versleuteling en logische toegangsbeveiliging breed toe. Binnen de logische toegangsbeveiliging is het met name belangrijk dat uniek identificerende persoonsgegevens en bijbehorende autorisatiegegevens goed beheerd worden. Bovendien blijkt het veelal effectiever en efficiënter om privacy-maatregelen te automatiseren dan louter te steunen op organisatorische procedures en handmatige activiteiten.21 Aan de vooraf geconstateerde privacybedreigingen en risico's moet in het ontwerp van informatiesystemen het hoofd worden geboden.
Het antwoord op de tweede onderzoeksvraag dat onze privacy gevaar loopt in de risicotoezichtsmaatschappij leidt tot de constatering dat dit gevaar slechts gekeerd kan worden als er informatiesystemen worden ingezet voorzien van PET-maatregelen met terugkoppeling en controlemogelijkheden voor burger. De in hoofdstuk 4 behandelde methoden van privacyimpact-, privacyrisico- c.q. bedreigingsanalyse, zowel die van de Registratiekamer (classificatie van risico's in klassen), als die van de Canadese PIA, het EU PISA research project en het Noorse PETWEB project, leiden bij toepassing op in dit boek besproken informatiesystemen tot de bevinding dat een keur van PET maatregelen onvermijdelijk zijn om de geconstateerde risico's te voorkomen.
In hoofdstuk 5 is de vierde onderzoeksvraag: Wat houdt het concept Privacy Enhancing Technologies (PET) in? (OV 4) behandeld. PET is een technologisch concept en kan theoretisch gezien worden als een belangrijke aanvulling op het bestaande juridisch kader en de organisatorische uitwerking daarvan. PET kan het gebruik van persoonsgegevens elimineren, aanmerkelijk verminderen of de verwerking dwingend binden aan de wettelijke voorwaarden, waardoor de privacy bescherming door de verantwoordelijken geen lege huls wordt. Bovendien stelt PET de burger en consument in staat om de verwerking van zijn persoonsgegevens te controleren en daardoor zijn vertrouwen in de rechtmatige verwerking vergroten.22 Koorn23 wijst erop dat PET bepaalde toepassingen binnen informatiesystemen mogelijk maakt, die anders wettelijk onmogelijk zouden zijn. In functionele zin is het toepassen van PET niet problematisch. PET omvat alle technische maatregelen om de privacy te waarborgen en om risico's op inbreuken op de bescherming van privacy te voorkomen en te managen. Met behulp van PET kan een organisatie al aan de bron technische maatregelen nemen en het aantal identificerende gegevens tot het absolute minimum beperken en de identiteit loskoppelen van de overige persoonsgegevens. De in hoofdstuk 5 besproken research toont aan dat de mogelijkheden toenemen om effectief en automatisch de informationele privacy te beschermen. Omdat er steeds meer transacties niet direct tussen mensen alleen gebeuren, maar in toenemende mate het contact en de afhandeling van de transactie direct tussen informatiesystemen, software agents, intelligente sensoren en robots plaatsvinden, is dit een gunstige ontwikkeling. Het is tegelijkertijd dringend noodzakelijk dat technologische oplossingen worden ontwikkeld om de persoonlijke levenssfeer effectief te beschermen, bij gebreke waarvan de informationele privacy steeds meer zal eroderen.
De Commissie van de EU steunt het gebruik van PET en stimuleert in haar onderzoeksprogramma's het fundamenteel onderzoek naar PET. In verschillende lidstaten zijn expliciete PET maatregelen in de wetgeving opgenomen. Van Rooy en Bus24 wijzen erop dat niet alleen PET maatregelen moeten worden toegepast om ervoor te zorgen dat de burger en consument vertrouwen krijgen en houden in de gegevensverwerking van hun persoonsgegevens, maar dat het informatiesysteem, het proces en de toegepaste applicatie(s) robuust dienen te zijn.
De kern van PET is de 'Identity protector'. Deze systeemmodule kan samen met de gegenereerde pseudo-identiteiten persoonlijke informatie op een gecontroleerde manier met toestemming van de betrokkene vrijgeven. De 'Identity protector' zorgt ervoor dat de pseudo-identiteiten niet met elkaar zijn te verbinden en dat de doelbinding van persoonsgegevens afdwingbaar is. Wanneer iemand meerdere pseudo-identiteiten (zie figuur 5.6: digitale (deel)identiteiten) heeft, dan is identiteitsmanagement noodzakelijk. In paragraaf 8.3 kom ik hierop terug. De `Identity protector' draagt verder bij aan de adequate beveiliging van de PII,25. zorgt voor een beveiliging die de privacy niet corrumpeert en bevordert dat de verantwoordelijken en bewerkers van data de noodzakelijke verantwoording kunnen afleggen.26. PET-maatregelen ondersteunen de juridische specificaties in de architectuur. Aangezien privacyvraagstukken te vaak worden verwaarloosd bij de ontwikkeling van informatiesystemen, dringen Klöver, Peissl en Terme erop aan dat "Privacy Enhancing Technologies (PETS) should be systematically integrated in systems development. Such technologies are not a panacea to solve all privacy issues, but they can significantly contribute to minimizing data collection and analysis."27.
In hoofdstuk 4 is tevens de vijfde onderzoeksvraag: Is het mogelijk privacy-veilige architecturen en systemen te ontwerpen en te bouwen? (OV 5) theoretisch positief beantwoord, maar in dit hoofdstuk is niet beantwoord of PET en de daarbij behorende ontwerpelementen inderdaad in de praktijk in de architectuur van informatiesystemen kan worden aangewend waardoor er privacyveilige systemen ontstaan. The proof of the pudding is in the eating. Dat is gebeurd in hoofdstuk 6, waarover hieronder.